Upload
trinhduong
View
225
Download
0
Embed Size (px)
Citation preview
Aktuelles zum Datenschutz im Arbeitsverhältnis mit
EU-Datenschutz
Congress@it-sa 2017 am 10.10.2017
Andrea Bauerschmitt
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 1
Agenda
Grundprinzipien des Datenschutzrechts
Rechtsgrundlagen des Arbeitnehmerdatenschutzes
Aktuelles zum Datenschutzrecht
Arbeitnehmerdatenschutz nach § 26 BDSG n.F.
Die Rechte der Beschäftigten
Regelung zum Datenschutzbeauftragten, § 38 BDSG n.F.
Kontrolle von Mitarbeitern
Beispiele aus der Rechtsprechung
Auswirkungen auf die betriebliche Praxis
Grundsätze des Datenschutzrechts
Zweckbindung
Verbot mit Erlaubnisvorbehalt
Direkterhebung
Datenminimierung
Datensparsamkeit / Speicherbegrenzung
Datenvermeidung
Richtigkeit
Transparenz
Datengeheimnis
Rechenschaftspflicht
Datensicherheit / Integrität und Vertraulichkeit
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 2
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 3
Rechtsgrundlagen des Arbeitnehmerdatenschutzes
Insbesondere:
Grundgesetz
BDSG
TKG
KunstUrhG
Betriebsvereinbarungen
Rechtsprechung des BAG
Neu ab 25.05.2018:
DSGVO
BDSG n.F.
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 4
Aktuelles zum Datenschutz
Datenschutzgrundverordnung (DSGVO):
Inkrafttreten: 25.05.2018
Verordnung unmittelbare Geltung
Ziel: unionsweite Harmonisierung des Datenschutzniveaus, Anpassung an
geänderte Verhältnisse
Art. 88 DSGVO: Keine detaillierten Regelungen zum Beschäftigtendatenschutz,
Öffnungsklauseln
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 5
Aktuelles zum Datenschutz
Neues Bundesdatenschutzgesetz:
Inkrafttreten: 25.05.2018
Beschäftigtendatenschutz ursprünglich § 32 BDSG, jetzt § 26 BDSG n.F.
§ 26 BDSG n.F.:
• Umfangreichere Regelungen als im § 32 BDSG
• Bisher entwickelte Grundsätze bleiben größtenteils gleich
• Neue Hintergründe: Bezugsrahmen verschiebt sich von der nationalen Ebene
auf die europäische Ebene
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 6
Arbeitnehmerdatenschutz
nach § 26 BDSG n.F.
Anwendungsbereich bleibt gleich:
Jede Art der Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
Personenbezogen:
Einzelangaben über persönliche / sachliche Verhältnisse
Beispiele: Geburtsdatum, Gehalt, Eingruppierung eines Beschäftigten
einer natürlichen Person
Nicht: GmbH, AG, Behörde
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 7
Arbeitnehmerdatenschutz
nach § 26 BDSG n.F.
Verbot mit Erlaubnisvorbehalt – Grundsatz bleibt:
Verboten ist, was nicht ausdrücklich erlaubt ist!
Jeglicher Umgang mit personenbezogenen Arbeitnehmerdaten ist auch nach dem
BDSG n.F. grundsätzlich unzulässig.
Es sei denn, Erlaubnistatbestand liegt vor:
Für Zwecke des Beschäftigungsverhältnisses
Zur Erfüllung gesetzlicher / kollektivrechtlicher Rechte und Pflichten der
Interessensvertretungen
Zur Aufdeckung von Straftaten
Durch Betriebsvereinbarung
Mit Einwilligung des Betroffenen
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 8
Arbeitnehmerdatenschutz
nach § 26 BDSG n.F.
I. Erlaubnistatbestände:
Für Zwecke des Beschäftigungsverhältnisses, § 26 Abs. 1 S. 1 BDSG n.F.:
• Wie bisher: Sofern dies für Zwecke der Begründung, Durchführung und
Beendigung des Beschäftigungsverhältnisses „erforderlich” ist.
„Erforderlich“:
• Nicht näher definiert im § 26 Abs. 1 S. 1 BDSG n.F.
• Aber laut Gesetzesbegründung: Interessensabwägung:
Praktische Konkordanz zwischen Interessen des Arbeitsgebers und der der
Arbeitnehmer.
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 9
Arbeitnehmerdatenschutz
nach § 26 BDSG n.F.
I. Erlaubnistatbestände:
Zur Erfüllung gesetzlicher / kollektivrechtlicher Pflichten der Interessensvertretungen,
§ 26 Abs. 1 Satz 1 BDSG n.F.:
• Neuregelung: Soweit dies für die Erfüllung gesetzlicher, betriebsverfassungs- und
kollektivrechtlicher Rechte und Pflichten „erforderlich“ ist.
• Umsetzung der bisherigen Rechtsprechung
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 10
Arbeitnehmerdatenschutz
nach § 26 BDSG n.F.
I. Erlaubnistatbestände:
Für Zwecke der Aufdeckung von Straftaten, § 26 Abs. 1 Satz 2 BDSG n.F.:
• Verarbeitung personenbezogener Daten für Zwecke der Aufdeckung von
Straftaten im Beschäftigungsverhältnis.
• Entspricht bisherigen § 32 Abs. 1 Satz 2 BDSG.
• Voraussetzung: angemessener Ausgleich zwischen Aufklärungsinteresse und
Belangen der von einer Datenverarbeitung betroffenen Beschäftigten.
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 11
Arbeitnehmerdatenschutz
nach § 26 BDSG n.F.
I. Erlaubnistatbestände:
Bei Einwilligungen im Beschäftigungsverhältnis, § 26 Abs. 2 BDSG n.F.:
• Einwilligungen im Beschäftigungsverhältnis bleiben grds. weiterhin zulässig
• Einwilligung muss freiwillig sein – Freiwilligkeit nach § 26 Abs. 2 S. 2 BDSG n.F.:
rechtlicher oder wirtschaftlicher Vorteil für Arbeitnehmer, gleichgelagerte Interessen
des Arbeitgebers und des Beschäftigten
Einschränkung zu bisherigen Grundsätzen?
• Grds. schriftliche Einwilligung nötig, Ausnahme: besondere Umstände.
• Aufklärungspflicht über Zweck der Datenverarbeitung und über Widerrufsrecht nach
Artikel 7 Abs. 3 DSGVO.
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 12
Arbeitnehmerdatenschutz
nach § 26 BDSG n.F.
I. Erlaubnistatbestände:
Kollektivvereinbarungen, § 26 Abs. 4 BDSG n.F.:
• Betriebsvereinbarungen und andere Kollektivvereinbarungen können weiterhin die
Verarbeitung von Beschäftigtendaten erlauben.
• Aber: Vorgaben des Art. 88 Abs. 2 DSGVO zu beachten:
Sie müssen angemessene und besondere Maßnahmen zur Wahrung der
menschlichen Würde, der berechtigten Interessen und der Grundrechte der
Betroffenen umfassen:
Regelungen zur Transparenz der Verarbeitung
Regelungen zu Schutzmaßnahmen bei Übermittlung personenbezogener Daten
keine Ausnahmeregelungen für “Altfälle”
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 13
Arbeitnehmerdatenschutz
nach § 26 BDSG n.F.
II. Verarbeitung besonderer Kategorien personenbezogener Daten,
§ 26 Abs. 3 BSDG neu:
• Definition in Art. 9 Abs. 1 DSGVO: bspw. Daten über rassische und ethnische
Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen,
Gesundheitsdaten, etc.
Zulässigkeit der Verarbeitung:
• Erforderlich aufgrund Rechte und Pflichten aus dem Arbeitsrecht, dem Recht der
sozialen Sicherheit und des Sozialschutzes und
• kein Grund zur Annahme gegeben, dass das schutzwürdige Interesse des
Betroffenen überwiegt.
Einwilligung muss sich ausdrücklich auf diese sensiblen Daten beziehen.
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 14
Arbeitnehmerdatenschutz
nach § 26 BDSG n.F.
III. Weitere Regelungen:
§ 26 Abs. 5 BDSG n.F.: Verpflichtung zur Einhaltung der Datenschutzgrundsätze des
Art. 5 DSGVO:
Der für die Verarbeitung personenbezogener Daten Verantwortliche muss
sicherstellen, dass er die Datenschutzprinzipien beachtet und umsetzt.
§ 26 Abs. 6 BDSG n.F.: Beteiligungsrechte der Interessenvertretungen:
• Beteiligungsrechte der Interessenvertretungen bleiben unberührt.
• Informations- und Beteiligungsrechte der Interessenvertretungen sind bei der
Verarbeitung personenbezogener Daten von Beschäftigten an den neuen
Vorgaben zu messen.
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 15
Arbeitnehmerdatenschutz
nach § 26 BDSG n.F.
III. Weitere Regelungen:
§ 26 Abs. 7 BDSG n.F.: Nicht-automatisierte Verarbeitung von Beschäftigtendaten
• Wie bisher im § 32 Abs. 2 BDSG: Die Vorschriften des Datenschutzes sind auch
auf nicht-automatisierte Datenverarbeitungen anzuwenden.
• Bsp.: Protokoll des Bewerbungsgesprächs, handschriftlicher Vermerk in der
Personalakte.
§ 26 Abs. 8 BDSG n.F.: Begriff des Beschäftigten
• Keine nähere Definition in der DSGVO
• Begriffsbestimmung im § 26 Abs. 8 BDSG n.F.:
Neu: auch Leiharbeitnehmer sind im Verhältnis zum Entleiher als Beschäftigte
anzusehen.
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 16
Die Rechte der Beschäftigten
Transparenz- und Informationspflichten des Arbeitgebers, Art. 13, 14 DSGVO
Auskunfts- und Einsichtsrecht der Beschäftigten, Art. 15 DSGVO
Recht auf Berichtigung, Art. 16 DSGVO
Recht auf Löschung – Recht auf Vergessenwerden, Art. 17 DSGVO
Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO
Recht auf Datenübertragbarkeit, Art. 20 DSGVO
Widerspruchsrecht, Art. 21 DSGVO
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 17
Regelung zum
Datenschutzbeauftragten, § 38 BDSG n.F.
Pflicht zur Benennung eines Datenschutzbeauftragten:
Wenn mind. zehn Personen ständig mit der automatisierten Datenverarbeitung
beschäftigt sind,
wenn die Verarbeitung einer Datenschutz-Folgeabschätzung i.S.v. Art. 35 DSGVO
unterliegt oder
wenn die Verarbeitung personenbezogener Daten geschäftsmäßig zum Zweck
der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt-
oder Meinungsforschung erfolgen.
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 18
Regelung zum
Datenschutzbeauftragten, § 38 BDSG n.F.
Aufgaben, Art. 39 DSGVO:
Bsp.:
Überwachung der Einhaltung datenschutzrechtlicher Vorschriften
Beratung des Arbeitgebers und der Beschäftigten
Zusammenarbeit mit der Aufsichtsbehörde
Erstellung des Verfahrensverzeichnisses (übertragbar)
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 19
Regelung zum
Datenschutzbeauftragten, § 38 BDSG n.F.
Stellung und Eigenschaften:
Interne Mitarbeiter oder Externe
Interne: Unmittelbar der Geschäftsleitung unterstellt, weisungsfrei,
keine Interessenkollision (nicht: z.B. IT-/Personalleiter),
Sonderkündigungsschutz
Fachwissen
Verschwiegenheitspflicht, Zeugnisverweigerungsrecht
Allgemeine Haftungsgrundsätze (beschränkte Arbeitnehmerhaftung bzw.
vertragliche Vereinbarung bei Externen)
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 20
Sonstige Neuregelungen
Schadensersatzansprüche auch bei Nicht-Vermögensschäden möglich, § 83 Abs.
2 BDSG n.F.
Höhere Bußgelder möglich
Beweislastumkehr:
Unternehmen müssen künftig in Streitfällen beweisen, dass datenschutzrechtliche
Vorgaben eingehalten wurden, Art. 5 Abs. 2 DSGVO (Rechenschaftspflicht)
umfassende Dokumentationspflicht
Videoüberwachung öffentlich zugänglicher Räume, § 4 BDSG n.F.: entspricht
weitgehend bisherigen § 6b BDSG
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 21
Kontrolle von Mitarbeitern:
Videoüberwachung am Arbeitsplatz
Erheblicher Eingriff in das allgemeine Persönlichkeitsrecht
Zulässig nur unter sehr engen Voraussetzungen:
• Berechtigtes, besonders schutzwürdiges Interesse des AG
• Kontrolle bestimmter Bereiche aus Sicherheitsgründen
• Konkrete Anhaltspunkte für Straftaten/schwere Verfehlungen
• Alle weniger einschneidenden Mittel zur Aufklärung des Verdachts bereits
ausgeschöpft
• Anlage sichtbar, Belegschaft zuvor informiert
• Heimliche Überwachung nur im Ausnahmefall
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 22
Kontrolle von Mitarbeitern:
E-Mail und Internet im Betrieb
Ausschließlich dienstliche Nutzung:
Kontrolle, ob Nutzung dienstlicher Natur:
Stichproben
Missbrauchskontrolle bei konkretem Verdacht
Missbrauchs-, Kosten- und Leistungskontrolle:
E-Mail: Erfassung von Absender/Empfänger, Zeitpunkt der Versendung
Internet: Zeitpunkt des Aufrufs, Art der Website, Kosten
Kenntnisnahme des Inhalts von E-Mails:
Zugriff auf Inhalte soweit betrieblich notwendig
Information der Mitarbeiter über Kenntnisnahme
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 23
Kontrolle von Mitarbeitern:
E-Mail und Internet im Betrieb
Bei geduldeter oder erlaubter Privatnutzung:
Fernmeldegeheimnis § 88 TKG weitgehendes Kontrollverbot
Ausnahmen:
• Abrechnung
• Konkreter Tatverdacht der rechtswidrigen Inanspruchnahme
• Kontrolle nach Viren
Möglich: Privatnutzung an Bedingungen knüpfen, Einwilligung einholen bzgl.:
• regelmäßiger Kontrollen des Zeitrahmens
• Filtern von Spam
• Archivierung
• Einsichtnahme in das Postfach bei Abwesenheit
Abschluss einer Betriebsvereinbarung reicht nicht aus!
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 24
Beispiele aus der Rechtsprechung
Verwertbarkeit von Zufallsfunden aus einer heimlichen Videoüberwachung:
Eingriffe in das Recht der Beschäftigten auf informationelle Selbstbestimmung
durch verdeckte Videoüberwachungen können dann zulässig sein, wenn der
konkrete Verdacht einer strafbaren Handlung oder einer anderen schweren
Verfehlung zu Lasten des Arbeitgebers besteht (BAG vom 22.09.2016, 2 AZR
848/15).
Überwachungssoftware auf Dienst-PC:
Arbeitgeber dürfen Arbeitnehmer nicht ohne Anlass mittels Keyloggers
überwachen (BAG vom 27.07.2017, Az.: 2 AZR 681/16).
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 25
Auswirkungen auf die betriebliche Praxis:
Zusammenfassung
Orientierung an bisheriger Rechtsprechung zum § 32 BDSG möglich, aber unter
Beachtung der DSGVO.
Betriebsvereinbarungen ermöglichen weiterhin die Verarbeitung von
personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses
Anpassung an die Anforderungen des § 88 Abs. 2 DSGVO nötig.
Auch Einwilligungen bleiben weiterhin möglich; der Streit, wann eine Einwilligung
freiwillig ist, wird bleiben; zu beachten ist künftig § 26 Abs. 2 BDSG n.F.
Umfassende Informationspflichten und Löschpflichten sind zusätzlich zu
berücksichtigen.
bayme vbm
Die bayerischen Metall- und
Elektro-Arbeitgeber
www.baymevbm.de
10.10.2017/ Aktuelles zum Datenschutz im Arbeitsverhältnis mit EU-Datenschutz / Andrea BauerschmittFolie 26
Vielen Dank für Ihre Aufmerksamkeit
Max-Joseph-Straße 5
80333 München