Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Betriebsvereinbarungen sollten jedenfalls die zentralen Grundsätze der DSGVO für den Umgang mit Daten abbilden bzw. die Betriebsparteien sollten diese als eine erste, noch recht grobkörnige Checkliste für eine datenschutzgerechte Vereinbarung durchgehen. Art. 5 DSGVO gibt folgende Grundsätze für den Umgang mit personenbezogenen Daten vor, die auch für etwaige Verarbeitungen ...mehr

Eine solche Öffnungsklausel, die es den Mitgliedstaaten ermöglicht, Rechtsgrundlagen zur Verarbeitung personenbezogener Daten zu schaffen, sieht Art. 88 Abs. 1 DSGVO für den Beschäftigungskontext vor.[1] Die Mitgliedstaaten können Erlaubnistatbestände für Datenverarbeitungen im Beschäftigungskontext nach Art. 88 Abs. 1 DSGVO entweder selbst durch entsprechende Gesetzgebung sc...mehr

Ein weiterer Regelungsbereich der Vorgaben der DSGVO, bei dem eine Zusammenarbeit zwischen Arbeitgeber und Betriebsrat sinnvoll ist, betrifft die Dokumentations- und Rechenschaftspflichten. Wie bereits dargestellt, unterliegen Verantwortliche umfassenden Dokumentationspflichten, etwa nach Art. 30 DSGVO. Dabei haben Unternehmen zudem noch ein ganz erhebliches Eigeninteresse da...mehr

Ein Erfordernis der Zusammenarbeit zwischen Arbeitgeber und Betriebsrat bzw. ein Regelungsbedürfnis für eine trennscharfe Abgrenzung der Verantwortungsbereiche besteht zunächst mit Blick auf das nach Art. 30 DSGVO zu erstellende sogenannte Verarbeitungsverzeichnis. Nach Art. 30 Abs. 1 Satz 1 DSGVO ist grundsätzlich jeder Verantwortliche dazu verpflichtet (Ausnahme Abs. 5: wen...mehr

Schwierigkeiten bereitete lange Zeit im Rahmen der DSGVO die Einordnung der datenschutzrechtlichen Rolle des Betriebsrats. Nach bisherigem Recht ging das BAG tendenziell davon aus, dass der Betriebsrat – ähnlich wie andere Abteilungen oder Stellen innerhalb eines Unternehmens – nicht selbst Verantwortlicher ist, aber – und dies ist eine wichtige Ergänzung – als Teil der vera...mehr

Die Betriebsparteien sind grundsätzlich gut beraten, wenn sie die Verteilung der Verantwortung für den Datenschutz sowie entsprechende Prozesse gemeinsam in einer Betriebsvereinbarung regeln.[1] Diese ist das geeignete Instrument, um das Spannungsfeld von datenschutzrechtlicher Compliance, für die der Arbeitgeber verantwortlich ist (s. o. Abschn. 1) und Unabhängigkeit des Be...mehr

Ähnlich wie beim Verarbeitungsverzeichnis kann eine Mitwirkung des Betriebsrats auch bei der nach Art. 35 DSGVO erforderlichen Datenschutz-Folgenabschätzung zweckmäßig sein, soweit es um die Verarbeitung personenbezogener Daten von Arbeitnehmern (auch) durch den Betriebsrat geht. Zwar werden Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG im Rahmen einer Datenschutz-Folge...mehr

Die letztlich sicherste Methode, Datenverarbeitungen auf der Grundlage von Betriebsvereinbarungen an die DSGVO anzupassen wäre es, sämtliche im Betrieb abgeschlossenen und noch abzuschließenden Betriebsvereinbarungen an den Vorgaben des neuen Beschäftigtendatenschutzes auszurichten. In der Praxis wird es allerdings nur den allerwenigsten Unternehmen tatsächlich und lückenlos...mehr

Gerade da der Verantwortliche grundsätzlich beweisen muss, dass er personenbezogene Daten im Einklang mit der DSGVO verarbeitet[1], kann der Abschluss entsprechender Betriebsvereinbarungen in Bezug auf den Datenschutz am Arbeitsplatz ein wesentlicher Baustein der Erfüllung der Rechenschaftspflichten des Arbeitgebers sein. Zudem lassen sich auch einzelne Dokumentationssysteme...mehr

Art. 12 ff. DSGVO sehen umfassende Betroffenenrechte vor. Diese Rechte gelten uneingeschränkt auch im Beschäftigungsverhältnis. Die konkrete Umsetzung der Betroffenenrechte gegenüber Arbeitnehmern sollte erfahrungsgemäß mit dem Betriebsrat abgestimmt werden. In entsprechenden Betriebsvereinbarungen kann z. B. geregelt werden, in welcher Form und auf der Grundlage welcher Vorl...mehr

Die vorstehenden Beispiele haben deutlich gemacht, dass bei vielen Bausteinen eines Datenschutz-Compliance-Systems eine Zusammenarbeit zwischen Arbeitgeber und Betriebsrat hilfreich sein kann, um die Anforderungen des Datenschutzrechts umzusetzen. Bereits in der Vergangenheit waren Betriebsvereinbarungen dabei ein effektives Mittel, um die Zwecke sowie die Art und Weise von ...mehr

Rz. 2 § 24b beschreibt die Unterstützungsmöglichkeit der Antragsteller durch ein bundesweites Internetportal und stellt klar, dass die Aufgaben und Befugnisse der nach § 12 BEEG zuständigen Stellen (Beratung, Bearbeitung von Anträgen) davon unberührt bleiben. Das Bundesministerium für Familie, Senioren, Frauen und Jugend (BMFSFJ) hat bereits ein bundesweit einheitliches Port...mehr

Art. 88 Abs. 1 DSGVO sieht ausdrücklich vor, dass Arbeitgeber und Betriebsrat Datenverarbeitungen durch entsprechend gestaltete Betriebsvereinbarungen rechtfertigen können. Gerade wenn im Rahmen einer Betriebsvereinbarung klarstellend geregelt wird, dass neben der Rechtfertigung der Datenverarbeitung durch die genannte Betriebsvereinbarung auch ein Rückgriff auf gesetzliche ...mehr

Sowohl für Arbeitgeber und Betriebsräte, aber auch für Arbeitnehmer haben betriebliche Vereinbarungen über Datenverarbeitungen und zum Datenschutz erhebliche Vorteile. Zum einen schaffen sie ein hohes Maß an Rechtssicherheit, zum anderen können klare Regelungen in Betriebsvereinbarungen auch die nach der DSGVO geforderte Transparenz schaffen und sonstige Anforderungen des Da...mehr

Betriebsvereinbarungen dienen gleichzeitig der Ausübung von Mitbestimmungsrechten des Betriebsrats[1], insbesondere nach § 87 Abs. 1 Nr. 6 BetrVG (Einführung technischer Einrichtungen, die eine Leistungs- oder Verhaltenskontrolle ermöglichen) oder nach § 87 Abs. 1 Nr. 1 BetrVG (Fragen der Ordnung des Betriebs). Gerade die aktuelle Rechtsprechung des BAG zu § 87 Abs. 1 Nr. 6 ...mehr

Rz. 61 Abs. 6 Satz 5 verpflichtet das Bundesinstitut für Arzneimittel und Medizinprodukte zur Erstellung einer bis zum 31.3.2022 laufenden nichtinterventionellen Begleiterhebung, die dazu dient, Erkenntnisse über die Wirkung von Cannabis zu medizinischen Zwecken zu gewinnen. Hierdurch soll eine Grundlage für die Entscheidung über die dauerhafte Aufnahme in die Versorgung ges...mehr

Wo die Ransomware-Attacke gemeldet werden muss, ist abhängig von der Art des Unternehmens. Betreiber kritischer Infrastrukturen, Betreiber von Energieversorgungsnetzen und Anbieter digitaler Dienste melden die Ransomware-Attacke "unverzüglich" als Sicherheitsvorfall beim BSI ( § 8b Abs. 4 BSIG, § 11 Abs. 1c EnWG, § 8c Abs. 3 BSIG ). Betreiber von öffentlichen Telekommunikations...mehr

Im Falle eines Ransomware-Angriffs müssen IT-Verantwortliche schnell handeln, um die betroffenen Geräte zu isolieren und die Arbeitsfähigkeit wiederherzustellen. Kommt es trotz aller Vorsichtsmaßnahmen doch zu einer Infektion durch Ransomware müssen IT-Verantwortliche unverzüglich feststellen, welche Geräte und Systeme betroffen sind. Infizierte Geräte müssen isoliert und vom...mehr

Rz. 2 Die Telematikinfrastruktur soll als zentrale Sicherheitsinfrastruktur des Gesundheitswesens eine sichere Umgebung für die Digitalisierung und Vernetzung des gesamten Gesundheitswesens bieten (BT-Drs. 19/18793 S. 107). Soweit von Komponenten und Diensten eine Gefahr für die Funktionsfähigkeit oder Sicherheit der Telematikinfrastruktur ausgeht, ist die gematik in Abstimm...mehr

Rz. 5 Der Bund kann ein Internetportal zur elektronischen Unterstützung der Antragstellung einrichten. Träger des Portals ist der Bund. Für Einrichtung und Betrieb des Portals ist das BMFSFJ zuständig (Abs. 1 Satz 3). Die Verwaltungskompetenz der Elterngeldstellen der Länder, die das BEEG in Auftragsverwaltung ausführen, bleibt unberührt (Abs. 1 Satz 4). Kern des Abs. 1 ist ...mehr

Grundsätzlich hat der Arbeitgeber die Einhaltung und Durchführung des BDSG und der DSGVO durch technische und organisatorische Maßnahmen zu gewährleisten. Dies gilt unabhängig davon, wo und in welcher Form der Arbeitnehmer seine Arbeitsleistung erbringt. Auch bei der mobilen Arbeit muss daher sichergestellt werden, dass die innerbetrieblich geltenden Richtlinien, eventuelle ...mehr

Rz. 25 Die Nutzung des Verfahrens nach § 108a SGB IV setzt weiter die Einwilligung des Arbeitnehmers oder der Arbeitnehmerin voraus (Abs. 2 Satz 2). Die Elterngeldstellen dürfen die Abfrage nur beauftragen, wenn sich die Betroffenen "zuvor", d. h. vor der Abfrage, mit der Nutzung dieses Verfahrens einverstanden erklärt haben. Die Elterngeldstellen (§ 12 Abs. 1 BEEG) ihrersei...mehr

Bei dienstlichen Internet- und E-Mail-Anschlüssen handelt es sich um Betriebsmittel des Arbeitgebers, die ohne dessen Erlaubnis nicht privat genutzt werden dürfen. Ein Anspruch auf Privatnutzung folgt auch nicht aus Art. 9 Abs. 3 GG, wenn der Arbeitnehmer den Account für Zwecke des Arbeitskampfes nutzen will.[1] Die private Internet- und E-Mail-Nutzung am Arbeitsplatz stellt ...mehr

(1) Die Bundesregierung wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates vorzuschreiben, dass der Energieverbrauch der Benutzer von heizungs-, kühl- oder raumlufttechnischen oder der Versorgung mit Warmwasser dienenden gemeinschaftlichen Anlagen oder Einrichtungen erfasst wird, die Betriebskosten dieser Anlagen oder Einrichtungen so auf die Benutzer zu ve...mehr

(1) Die zuständige Behörde (Kontrollstelle) unterzieht Inspektionsberichte über Klimaanlagen oder über kombinierte Klima- und Lüftungsanlagen nach § 78 und Energieausweise nach § 79 nach Maßgabe der folgenden Absätze einer Stichprobenkontrolle. (2) 1Die Stichproben müssen jeweils einen statistisch signifikanten Prozentanteil aller in einem Kalenderjahr neu ausgestellten Energ...mehr

Überblick Der Beitrag liefert einen Überblick zum Mitarbeiterdatenschutz im Zusammenhang mit Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums ("EWR"). Hierbei werden die Vorgaben der Europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) berücksichtigt sowie die Regelungen des Bundesdatenschutzgesetzes. Eingegangen wir...mehr

Seit dem 25.5.2018 gilt für die Verarbeitung von personenbezogenen Daten und somit auch für die Verarbeitung von Mitarbeiterdaten die Europäische Datenschutz-Grundverordnung ("DSGVO"). Die DSGVO wird durch die Vorschriften des Bundesdatenschutzgesetzes vom 30.6.2017 ( "BDSG") ergänzt. Die DSGVO und das BDSG 2018 lösen damit die Vorschriften des Bundesdatenschutzgesetzes in de...mehr

Derzeit hat die Europäische Kommission Angemessenheitsbeschlüsse nach Art. 45 DSGVO für folgende Drittländer veröffentlicht: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel (eingeschränkt), Japan, Jersey, Kanada (eingeschränkt), Neuseeland, Schweiz, Südkorea, Uruguay, Vereinigtes Königreich (eingeschränkt) und Vereinigte Staaten von Amerika (eingeschränkt)...mehr

Die Ausnahmen des Art. 49 DSGVO haben für Arbeitgeber eine eher untergeordnete Rolle. Denn selbst wenn diese Spezialfälle zutreffen, sind die Ausnahmen eng auszulegen und dürfen entsprechend den Vorgaben des EDSA nicht als Rechtsgrundlage für regelmäßige Drittstaatentransfers von Daten einer Vielzahl von Personen herangezogen werden.[1]mehr

Neben den Standardvertragsklauseln können sich Verantwortliche auch auf andere geeignete Garantien berufen, um Datenübermittlungen in Drittländer zu legitimieren. Einzeln ausgehandelte Vertragsklauseln Vertragsparteien können die Vertragsklauseln einzeln aushandeln, um sie als geeignete Garantie zu nutzen. Allerdings müssen diese Klauseln einen Genehmigungsprozess durch die zu...mehr

Nach § 26 BDSG ist der Arbeitgeber berechtigt, personenbezogene Daten des einzelnen Beschäftigten nur zu bestimmten Zwecken zu erheben, zu verarbeiten oder zu nutzen. Allerdings ist die Norm nach der neuesten Rechtsprechung des EuGH[1] nicht mehr anwendbar, weil sie gegenüber der DSGVO keinen weitergehenden, eigenständigen Regelungsgehalt besitzt. Somit muss auch für die dat...mehr

Gemäß der DSGVO dürfen personenbezogene Daten von Mitarbeitern grundsätzlich nur dann an Drittländer übermittelt werden, wenn das durch die DSGVO gewährleistete Schutzniveau nicht untergraben wird. So sind Datenübermittlungen nur dann zulässig, wenn ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO vorliegt, der ein angemessenes Schutzniveau im Drit...mehr

Begriff Unter Personalakte ist jede Sammlung von Urkunden und Vorgängen durch den Arbeitgeber zu verstehen, die Angaben zu den persönlichen und dienstlichen Verhältnissen des Arbeitnehmers enthalten und in einem inneren Zusammenhang mit dem Arbeitsverhältnis stehen. Eine Personalakte liegt unabhängig davon vor, an welcher Stelle die Sammlung geführt wird und welche Form (nor...mehr

Bezüglich der Standardvertragsklauseln hat der EuGH entschieden[1], dass diese grundsätzlich weiterhin genutzt werden können. Allerdings muss ergänzend sichergestellt sein, dass auch tatsächlich ein Schutzniveau für die personenbezogenen Daten vorliegt, das dem in der Europäischen Union entspricht. Insbesondere bei extensiven Zugriffsbefugnissen staatlicher Behörden im Dritt...mehr

Auf der Grundlage der Privacy-Shield-Übereinkunft zwischen der EU und den USA hatte die EU-Kommission 2016 in einem Durchführungsbeschluss festgestellt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten und eine Datenübermittlung demnach nach Art. 45 DSGVO zulässig ist. Der EuGH[1] hat diesen Durchführungsbeschluss zum Privacy Shield für unw...mehr

Die Neuen Standardvertragsklauseln sind für Arbeitgeber dann relevant, wenn der Arbeitgeber (entweder direkt oder indirekt) der DSGVO unterliegt; und der Arbeitgeber personenbezogene Daten in Länder übermittelt oder übermitteln wird, die keine EU-Länder sind oder nicht über einen Angemessenheitsbeschluss der Europäischen Kommission verfügen. Die Neuen Standardvertragsklauseln s...mehr

Sowohl die Führung als auch die Aufbewahrung der Personalakte muss dem Grundsatz der Vertraulichkeit genügen. Der Grundsatz der Vertraulichkeit wird u. a. in Art. 5 Abs. 2f DSGVO konkretisiert. Der Arbeitgeber ist verpflichtet, die Personalakten sorgfältig zu verwahren, bestimmte Informationen (insbesondere über den Gesundheitszustand und allgemeine Aussagen über die Persönl...mehr

Die Neuen Standardvertragsklauseln decken einen breiteren Bereich ab. Sie sind modular aufgebaut, sodass Importeur und Exporteuer diejenigen Klauseln auswählen können, die im Hinblick auf die für sie relevante(n) Art(en) der Datenübermittlung einschlägig sind. Während zuvor nur Übermittlungen von Verantwortlichen an Verantwortliche und Übermittlungen von Verantwortlichen an D...mehr

Jeder Arbeitnehmer hat das Recht, in die über ihn geführten vollständigen Personalakten Einsicht zu nehmen. Das Einsichtsrecht folgt im laufenden Arbeitsverhältnis aus § 83 Abs. 1 Satz 1 BetrVG für alle betriebsangehörigen Beschäftigten, die dem Anwendungsbereich des Betriebsverfassungsgesetzes unterfallen. Die Norm ist als individualrechtlicher Anspruch konzipiert, auf das ...mehr

Die Parteien können die Neuen Standardvertragsklauseln durch zusätzliche Pflichten ergänzen, wenn dies für die jeweilige Datenübermittlungsvereinbarung erforderlich ist. Bei Widersprüchen zwischen den Neuen Standardvertragsklauseln und anderen Bestimmungen, die zwischen den Parteien vereinbart wurden, haben die Neuen Standardvertragsklauseln jedoch Vorrang. Die Neuen Standar...mehr

Eine Übermittlung personenbezogener Daten in das Vereinigte Königreich ist trotz des Brexits weiterhin ungehindert möglich, da die Europäische Kommission in Form eines Angemessenheitsbeschlusses im Juni 2021 festgestellt hat, dass das Datenschutzniveau im Vereinigten Königreich dem in der EU entspricht und aus diesem Grund keine Standardvertragsklauseln oder zusätzliche Date...mehr

Einfluss nationaler Rechtsvorschriften Sowohl Exporteure als auch Importeure müssen zukünftig versichern, dass sie keinen Grund zu der Annahme haben, dass die Rechtsvorschriften und Gepflogenheiten im Bestimmungsland, einschließlich Offenlegungs- und Überwachungsvorschriften, den Datenimporteur an der Erfüllung seiner Pflichten gemäß den Neuen Standardvertragsklauseln hindern...mehr

Ausgangsfall Anwendbarkeit bei Exporteuren mit Sitz außerhalb der EU und für Rückübermittlungen (Datenverarbeiter an Verantwortliche) Datenexporteure müssen nicht mehr in der EU ansässig sein, um die Neuen Standardvertragsklauseln anwenden zu können. Die Neuen Standardvertragsklauseln decken auch ein Szenario ab, in dem personenbezogene Daten von einem Exporteur mit Sitz auße...mehr

Der Bayerische Landesbeauftragte für den Datenschutz hat eine Orientierungshilfe für internationale Datentransfers veröffentlicht, die ein mehrstufiges Prüfungsschema vorsieht, anhand dessen verantwortliche Arbeitgeber die Zulässigkeit ihrer Übermittlung von Mitarbeiterdaten in ein Drittland beurteilen können.[1] Hierbei wird zunächst gefragt, ob für das entsprechende Drittla...mehr

Arbeitgeber sollten zunächst die Gelegenheit nutzen und internationale Datenübermittlungen ihrer Organisation in weiterem Sinne unter die Lupe nehmen. Ein korrektes und aktuelles Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ist bei dieser Betrachtung von großer Wichtigkeit. Anschließend sollte ermittelt werden, welche Rechtsgrundlagen für die Datenübermittl...mehr

Verantwortliche müssen angesichts des Schrems II-Urteils anschließend prüfen, ob die gewählte Übermittlungsmethode ein wirksames Mittel darstellt, um ein "der Sache nach gleichwertiges" Schutzniveau für die personenbezogenen Daten im Bestimmungsland zu gewährleisten. So können die implementierten Klauseln und damit ein angemessenes Datenschutzniveau insbesondere dann untermi...mehr

Der Arbeitgeber ist arbeitsrechtlich gegenüber dem Arbeitnehmer nicht zur Führung einer Personalakte verpflichtet. Er wird jedoch kaum anders als durch Führung von Personalakten den arbeits-, handels-, gesellschafts- und steuerrechtlich gebotenen Pflichten nachkommen und z. B. die für Krankheitsfälle notwendige Abrechnung der Entgeltfortzahlung gegenüber den gesetzlichen Kra...mehr

Eine Legaldefinition des Begriffs der Personalakte besteht nicht. Gesetzliche, aber auch tarifvertragliche Normen setzen den Begriff regelmäßig voraus (vgl. § 83 BetrVG, § 3 Abs. 5 TVöD-AT). Das BAG unterscheidet zwischen dem formellen und dem materiellen Personalaktenbegriff.[1] Personalakten im formellen Sinn sind danach die Schriftstücke, die der Arbeitgeber als "Personal...mehr

Für die Bestimmung von Reichweite und Grenzen des Inhalts der Personalakte sind die divergierenden Interessen von Arbeitnehmer und Arbeitgeber zu berücksichtigen und gegeneinander abwägen.[1] Die Personalakte soll ein möglichst vollständiges, wahrheitsgemäßes und sorgfältiges Bild über die persönlichen und dienstlichen Verhältnisse des Arbeitnehmers geben.[2] Deshalb gehören...mehr

Die digitale Aufzeichnung, Speicherung und Verwertung von Gesundheitsdaten und -aktivitäten bringt auch Hürden und Herausforderungen mit sich. So führt die zunehmende Digitalisierung zu einer erhöhten Datensammlung mit der Gefahr, dass die Daten nicht im Sinne der Person, von der sie stammen, verwendet werden. In diesem Zusammenhang rücken insbesondere die Themen Akzeptanz u...mehr