Folie 1

Datenschutz in der Personalarbeitund anderen BereichenHamburg 6. November 2013Eingangsfall 1:

Arbeitgeber A fhrt mit lnger als 6 Wochen erkrankten Mitarbeitern grundstzlich ein sog. Krankenrckkehrgesprch. Die Erkenntnisse aus den jeweiligen Gesprchen legt er in handschriftlichen Notizen nieder. Die nach Krankheit zurckkehrende Mitarbeiterin K gibt Auskunft, beschwert sich aber sodann beim Landesdatenschutzbeauftragten.

Was hat A zu befrchten?Eingangsfall 2:

Arbeitgeber A hat sich eine Excel-Tabelle mit besonders frderungswrdigen Mitarbeitern angelegt. Mitarbeiter M ist dort mit verschiedenen Leistungseinschtzungen verzeichnet. Als M davon erfhrt, verlangt er von A

a) Auskunft ber alle erfassten Datenb) Berichtigung der Eintragung bei Zuverlssigkeit undc) Lschung aller brigen Daten mangels Erforderlichkeit

Hat M dahingehende Ansprche?Eingangsfall 3:

Arbeitgeber A beauftragt den leitenden Angestellten L damit, die Kundendienstfahrzeuge heimlich mit GPS-Sendern auszustatten, um die Einhaltung von Pausenzeiten der Monteure berwachen zu knnen. L gibt den Auftrag an Mitarbeiter M weiter, der ihn ausfhrt. Die Sache fliegt auf.

Was haben A, L und M zu befrchten?I. Datenschutzrechtliche GrundlagenNeufassung des 32 BDSGBesondere Probleme in der PersonalarbeitFolgen von DatenschutzverstenBeteiligung des BetriebsratsDatenschutzrelevante Phasen im ArbeitsverhltnisAktuelle FlleI. Datenschutzrechtliche Grundlagen

geschtzt:natrliche Person

durch GesetzeDatenschutzDatensicherheitgeschtzt:Hard- und Software, Datendurch Verfahren, technische Vorrichtungen, GesetzeAbgrenzung zwischen BDSG und Landes-DS-Gesetzen: Landesdatenschutzgesetze betreffen ffentliche Dienststellen der Lnder Bundesdatenschutzgesetz betrifft- ffentliche Dienststellen des Bundes- private UnternehmenBDSGLDSGeEuroparechtliche Grundlagen des Datenschutzes: Richtlinie 95/46/EG vom 24.10.1995 (DSRL) derzeit verhandelt: Entwurf DatenschutzgrundVOEuroparechtZentrales Gesetz:BDSG

Neuregelung betreffend Beschftigungsverhltnisse zum 01.09.2009 ( 32 BDSG)Schutzbereich:personenbezogene Daten natrlicher PersonenDatenschutz ist Querschnittsmaterieweitere datenschutzrelevante Gesetze:SGB, BGB, StGB, Telekommunikationsgesetze, HGB, AO, BetrVG 27 - 38:Datenverarbeitung der nichtffentlichen Stellen= Unternehmen der Privatwirtschaft

SubsidiarittBDSG nur einschlgig, wenn kein bereichsspezifisches Gesetz einschlgig ist (z.B. TKG)BDSGDatenschutzrechtliche Regelungen auerhalb des BDSG:

Telemedien (Internet) 12 TMG Grundstze:

(1) Der Dienstanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrcklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. Grundbegriffe: personenbezogene Daten / Betroffene Umgang mit personenbezogenen Daten verantwortliche Stelle Zulssigkeit der DatenverarbeitungBDSGpersonenbezogene Daten: 3 BDSG:

Einzelangaben ber persnliche oder sachliche Verhltnisse einer bestimmten oder bestimmbaren natrlichen Person (Betroffener)BDSGAnonymisierte und pseudonymisierte Daten:absolut anonym: kein Personenbezugfaktisch anonym:Personenbezug nur mit unverhltnismigem Aufwand herstellbarpseudonym:Personenbezug wegen Zuordnungsregel bestehtBDSGBesondere Arten personenbezogener Daten: 4 a Abs. 3 BDSG(Rasse, politische Meinung, Gesundheit, Sexualleben pp.)besondere Anforderungen, ausdrckliche EinwilligungBDSGGrundbegriffe: personenbezogene Daten / Betroffene Umgang mit personenbezogenen Daten verantwortliche Stelle Zulssigkeit der DatenverarbeitungBDSGErhebungVerarbeitungSpeichernVerndernbermittelnSperren und LschenNutzenBDSGGrundbegriffe: personenbezogene Daten / Betroffene Umgang mit personenbezogenen Daten verantwortliche Stelle Zulssigkeit der DatenverarbeitungBDSGVerantwortliche Stelle:funktionale BetrachtungEntscheidungsverantwortlichkeit und Verantwortungsstrukturaktueller Fall:

ULD Schleswig-Holstein ./. private Unternehmen

Facebook-FanpagesBDSGVerantwortliche Stelle:fr sich VerarbeitungIn-House-VerarbeitungAuftragsverarbeitung, wenn Auftragnehmer weisungsgebunden ( 11 BDSG)BDSGGrundbegriffe: personenbezogene Daten / Betroffene Umgang mit personenbezogenen Daten verantwortliche Stelle Zulssigkeit der DatenverarbeitungBDSGZulssigkeit Goldene Regeln:Zulssigkeit / RechtmigkeitEinwilligungErforderlichkeitZweckbindungTransparenzDatensicherheit und KontrolleBDSGRechtmigkeit nach dem BDSG:Verbot mit Erlaubnisvorbehalt 4 BDSG: nur zulssig, soweit BDSG selbst oder andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hatErlaubnis im BDSG: 28BDSGPrfung der Rechtsmigkeit nach dem BDSG:Ist eine bereichsspezifische Sonderregelung einschlgig?Erfolgt die Datenverarbeitung im Rahmen eines Vertragsverhltnisses?Vertragszweck?Wille des Vertragspartners?DV vom Vertragszweck gedeckt?Besteht ein berechtigtes Interesse?Schutzwrdige Belange?Sind die Daten allgemein zugnglich?Liegt eine Einwilligung vor?Zulssigkeit Goldene Regeln:Zulssigkeit / RechtmigkeitEinwilligungErforderlichkeitZweckbindungTransparenzDatensicherheit und KontrolleBDSGEinwilligung:Hervorhebung der Einwilligungserklrungi.d.R. SchriftlichkeitAusnahmen: elektronischer Rechtsverkehr, Telefonbanking pp.BDSG 13 TMG:(2) Die Einwilligung kann elektronisch erklrt werden, wenn der Diensteanbieter sicherstellt, dass []der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,die Einwilligung protokolliert wird,der Nutzer den Inhalt der Einwilligung jederzeit anrufen kann undder Nutzer die Einwilligung jederzeit mit Wirkung fr die Zukunft widerrufen kann.(3) Der Diensteanbieter hat den Nutzer vor der Erklrung der Einwilligung auf das Recht nach Abs. 2 Nr. 4 hinzuweisen.Zulssigkeit Goldene Regeln:Zulssigkeit / RechtmigkeitEinwilligungErforderlichkeitZweckbindungTransparenzDatensicherheit und KontrolleBDSGGrundstze: Datenvermeidung und Datensparsamkeit offene Erhebung und direkte Erhebung zivilrechtliche SchadensersatzpflichtBDSGRechte der Betroffenen

Benachrichtigung ( 33 BDSG)Auskunft ( 34 BDSG)Berichtigung ( 35 BDSG)Sperrung ( 35 BDSG)Lschung ( 35 BDSG)Anrufung der Aufsichtsbehrden ( 38 BDSG)Verpflichtung auf das Datengeheimnis ( 5 BDSG)

fr Mitarbeiter, die mit personenbezogenen Daten umgehengilt auch fr das FernmeldegeheimnisSchriftformgilt auch fr leitende AngestellteAuswahlrecht des ArbeitgebersBestellungspflicht ( 4 f, g BDSG): fr jede verantwortliche Stelle, die personenbezogene Daten automatisiert erhebt und in der Regel mindestens 10 Personen stndig in der automatisierten DV oder in der Regel mindestens 20 Personen stndig in der konventionellen DV beschftigtDatenschutzbeauftragter Aufgabe: berwachung der Einhaltung von Datenschutzvorschriften kann Angestellter oder Externer sein keine Selbstkontrolle (z.B. IT-Leiter) neu: erweiterter SonderkndigungsschutzDatenschutzbeauftragterII. Neufassung des 32 BDSG

32 BDSG Datenerhebung, -verarbeitung und -nutzung fr Zweckes des BeschftigungsverhltnissesNeuregelung zum 01.09.2009Beschftigtezentrales Merkmal: Erforderlichkeit(vorher 28 BDSG: dienen)besondere Regelung bei Straftaten 32 BDSG betrifftErhebung, Verarbeitung und Nutzung personenbezogener Datenanlsslich Entscheidung ber Begrndung, fr die Durchfhrung oder die Beendigung von BeschftigungsverhltnissenBDSG

nur automatisierte DV 32 BDSG

auch manuelle DVMerkmal der Erforderlichkeit:Mssen fr diesen Zweck berhaupt Daten erhoben werden?Mssen gerade diese Daten erhoben werden?Mindestergebnis oder bestes Ergebnis?objektiver oder individueller Mastab?Erforderlichkeit immer gegeben bei gesetzlichen Vorgaben oder Folgen gesetzlicher Vorgaben, z.B. :Betriebliches EingliederungsmanagementAllgemeines GleichbehandlungsgesetzUnfallverhtungsvorschriftenArbeits- und GesundheitsschutzPflegedokumentationenFazit:Erforderlichkeitsfeststellung am vom Arbeitgeber verfolgten Zweckbreiter EinschtzungsspielraumAusscheiden nur von schlicht berflssigen Erhebungenfaktisch eine nderung gegenber 28 BDSGMissglckte Regelung bei StraftatenVorliegen tatschlicher Anhaltspunktediese sind zu dokumentierenkein berwiegend schutzwrdiges Interesse des Beschftigten am Ausschluss der DatennutzungVerhltnismigkeitsprfungKonkrete AnhaltspunkteStichproben (z.B. Arbeitszeitkontrollen)?berflssige Innenrevision?problematisch insbesondere wegen der Ausdehnung auch auf manuelle DV-Vorgnge

Dokumentationspflichtewige Aufbewahrungspflicht ./. LschungpflichtBesondere Probleme des 32 BDSGkeine Regelungen fr ausgeschiedene Mitarbeiterungeklrte Frage der geschftlichen Email-berwachung bei gestatteter Privatnutzungbermittlung von Daten im KonzernEingangsfall 1:

Arbeitgeber A fhrt mit lnger als 6 Wochen erkrankten Mitarbeitern grundstzlich ein sog. Krankenrckkehrgesprch. Die Erkenntnisse aus den jeweiligen Gesprchen legt er in handschriftlichen Notizen nieder. Die nach Krankheit zurckkehrende Mitarbeiterin K gibt Auskunft, beschwert sich aber sodann beim Landesdatenschutzbeauftragten.

Was hat A zu befrchten?Eingangsfall 2:

Arbeitgeber A hat sich eine Excel-Tabelle mit besonders frderungswrdigen Mitarbeitern angelegt. Mitarbeiter M ist dort mit verschiedenen Leistungseinschtzungen verzeichnet. Als M davon erfhrt, verlangt er von A

a) Auskunft ber alle erfassten Datenb) Berichtigung der Eintragung bei Zuverlssigkeit undc) Lschung aller brigen Daten mangels Erforderlichkeit

Hat M dahingehende Ansprche?III. Besondere Probleme in der Personalarbeit

Nutzung von ffentlich zugnglichen DatenErfassung von Krankheitsdatenelektronische PersonalakteErfassen von Positionsdaten (GPS)Nutzung von ffentlich zugnglichen Dateninsbesondere im Zuge von Bewerbungsverfahreneher irrelevant fr laufendes Arbeitsverhltnisgrundstzlich verwendbar ( 28 Abs. 1 Nr. 3 BDSG)Lschungspflicht nach EinstellungsentscheidungAGG-veranlasste Aufbewahrung bei AblehnungErfassung von Krankheitsdatenim Rahmen BEM ( 84 Abs. 2 SGB IX) zulssigweitergehend zulssig mit Einwilligung ( 4 a BDSG)erforderlich insbesondere bei

- Fragen der Eignung fr den Arbeitsplatz- Fragen des Gesundheits- und Arbeitsschutzes- Fragen etwaiger krankheitsbedingter Kndigungkeine Auskunftspflicht bei Krankenrckkehr und BEMElektronische Personalaktejetzt einheitlicher Mastab wie Papierakte( 32 Abs. 2 BDSG)Einwilligung ( 4 a BDSG) weitergehend mglichMitbestimmungsfragen insbesondere bei Beurteilungsgrundstzen ( 94 BetrVG)Erfassen von Positionsdaten (GPS)Sonderregelung in 6 c BDSGInformationspflicht, auch ber FunktionsweiseKommunikationswege mit Datenverarbeitung mssen auf dem Gert erkennbar seinanderenfalls: VerwertungsverbotIV. Folgen von DatenschutzverstenFolgen fr den ArbeitgeberBugeld- und Strafvorschriften 43, 44 BDSGUntersagungsanordnungevtl. Strafvorschriften nach StGBHaftung auf Schadensersatz und Schmerzensgeld?Presse-EchoFolgen fr den ArbeitnehmerBugeld- und Strafvorschriften 43, 44 BDSGUntersagungsanordnungevtl. Strafvorschriften nach StGBHaftung auf Schadensersatz und Schmerzensgeld?Kndigung des ArbeitsverhltnissesEingangsfall 3:

Arbeitgeber A beauftragt den leitenden Angestellten L damit, die Kundendienstfahrzeuge heimlich mit GPS-Sendern auszustatten, um die Einhaltung von Pausenzeiten der Monteure berwachen zu knnen. L gibt den Auftrag an Mitarbeiter M weiter, der ihn ausfhrt. Die Sache fliegt auf.

Was haben A, L und M zu befrchten?V. Beteiligung des Betriebsratsberwachungsanspruch 80 Abs. 1 S. 1 BetrVGAuskunftsanspruch 80 Abs. 2 BetrVGFragen betrieblicher Ordnung und Arbeitnehmerverhalten 87 Abs. 1 Nr. 1 BetrVGTechnische berwachungseinrichtungen 87 Abs. 1 Nr. 6 BetrVGVI. Datenschutzrelevante Phasen im ArbeitsverhltnisBewerbungsverfahrenLaufendes ArbeitsverhltnisKndigungNachlaufBewerbungsverfahrenffentlich zugngliche InformationenFragerecht und FragebgenLschungspflichtenAGG und AufbewahrungLaufendes ArbeitsverhltnisMitarbeiterkontrolleErfassung von KrankheitsdatenDokumentation von Arbeitsvorgngenindividuelle LschungsbeurteilungKndigungNachlaufAufbewahrungsfristenlaufende Altersteilzeitbetriebliche Altersversorgung