Post on 06-Apr-2015
Datenschutz in der Personalarbeitund anderen Bereichen
Hamburg – 6. November 2013
Eingangsfall 1:
Arbeitgeber A führt mit länger als 6 Wochen erkrankten Mitarbeitern grundsätzlich ein sog. Krankenrückkehrgespräch. Die Erkenntnisse aus den jeweiligen Gesprächen legt er in handschriftlichen Notizen nieder. Die nach Krankheit zurückkehrende Mitarbeiterin K gibt Auskunft, beschwert sich aber sodann beim Landesdatenschutzbeauftragten.
Was hat A zu befürchten?
Eingangsfall 2:
Arbeitgeber A hat sich eine Excel-Tabelle mit besonders förderungswürdigen Mitarbeitern angelegt. Mitarbeiter M ist dort mit verschiedenen Leistungseinschätzungen verzeichnet. Als M davon erfährt, verlangt er von A
a) Auskunft über alle erfassten Datenb) Berichtigung der Eintragung bei
„Zuverlässigkeit“ undc) Löschung aller übrigen Daten mangels
Erforderlichkeit
Hat M dahingehende Ansprüche?
Eingangsfall 3:
Arbeitgeber A beauftragt den leitenden Angestellten L damit, die Kundendienstfahrzeuge heimlich mit GPS-Sendern auszustatten, um die Einhaltung von Pausenzeiten der Monteure überwachen zu können. L gibt den „Auftrag“ an Mitarbeiter M weiter, der ihn ausführt. Die Sache fliegt auf.
Was haben A, L und M zu befürchten?
I. Datenschutzrechtliche Grundlagen
II. Neufassung des § 32 BDSG
III. Besondere Probleme in der Personalarbeit
IV. Folgen von Datenschutzverstößen
V. Beteiligung des Betriebsrats
VI. Datenschutzrelevante Phasen im Arbeitsverhältnis
VII. Aktuelle Fälle
I. Datenschutzrechtliche Grundlagen
geschützt:
natürliche Person
durch Gesetze
Datenschutz Datensicherheit
geschützt:
Hard- und Software, Daten
durch Verfahren, technische Vorrichtungen, Gesetze
Abgrenzung zwischen BDSG und Landes-DS-Gesetzen:
• Landesdatenschutzgesetze betreffen öffentliche Dienststellen der Länder
• Bundesdatenschutzgesetz betrifft- öffentliche Dienststellen des Bundes- private Unternehmen
BDSG LDSGe
Europarechtliche Grundlagen des Datenschutzes:
• Richtlinie 95/46/EG vom 24.10.1995 (DSRL)
• derzeit verhandelt: Entwurf DatenschutzgrundVO
Europarecht
Zentrales Gesetz: BDSG
• Neuregelung betreffend Beschäftigungsverhältnisse zum 01.09.2009 (§ 32 BDSG)
• Schutzbereich:personenbezogene Daten natürlicher Personen
• Datenschutz ist Querschnittsmaterie
• weitere datenschutzrelevante Gesetze:SGB, BGB, StGB, Telekommunikationsgesetze, HGB, AO, BetrVG
§§ 27 - 38:
Datenverarbeitung der nichtöffentlichen Stellen
= Unternehmen der Privatwirtschaft
Subsidiarität
BDSG nur einschlägig, wenn kein bereichsspezifisches Gesetz einschlägig ist (z.B. TKG)
BDSG
Datenschutzrechtliche Regelungen außerhalb des BDSG:
• Telemedien (Internet)
• § 12 TMG – Grundsätze:
(1) Der Dienstanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. …
Grundbegriffe:
• personenbezogene Daten / Betroffene
• Umgang mit personenbezogenen Daten
• verantwortliche Stelle
• Zulässigkeit der Datenverarbeitung
BDSG
personenbezogene Daten:
• § 3 BDSG:
Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)
BDSG
Anonymisierte und pseudonymisierte Daten:
• absolut anonym: kein Personenbezug
• faktisch anonym: Personenbezug nur mit unverhältnismäßigem Aufwand herstellbar
• pseudonym: Personenbezug wegen Zuordnungsregel besteht
BDSG
Besondere Arten personenbezogener Daten:
• § 4 a Abs. 3 BDSG(Rasse, politische Meinung, Gesundheit, Sexualleben pp.)
• besondere Anforderungen, ausdrückliche Einwilligung
BDSG
Grundbegriffe:
• personenbezogene Daten / Betroffene
• Umgang mit personenbezogenen Daten
• verantwortliche Stelle
• Zulässigkeit der Datenverarbeitung
BDSG
• Erhebung
• Verarbeitung
• Speichern
• Verändern
• Übermitteln
• Sperren und Löschen
• Nutzen
BDSG
Grundbegriffe:
• personenbezogene Daten / Betroffene
• Umgang mit personenbezogenen Daten
• verantwortliche Stelle
• Zulässigkeit der Datenverarbeitung
BDSG
Verantwortliche Stelle:
• funktionale Betrachtung
• Entscheidungsverantwortlichkeit und Verantwortungsstruktur
• aktueller Fall:
ULD Schleswig-Holstein ./. private Unternehmen
Facebook-Fanpages
BDSG
Verantwortliche Stelle:
• „für sich“ –Verarbeitung
• In-House-Verarbeitung
• Auftragsverarbeitung, wenn Auftragnehmer weisungsgebunden (§ 11 BDSG)
BDSG
Grundbegriffe:
• personenbezogene Daten / Betroffene
• Umgang mit personenbezogenen Daten
• verantwortliche Stelle
• Zulässigkeit der Datenverarbeitung
BDSG
Zulässigkeit – „Goldene Regeln“:
• Zulässigkeit / Rechtmäßigkeit
• Einwilligung
• Erforderlichkeit
• Zweckbindung
• Transparenz
• Datensicherheit und Kontrolle
BDSG
Rechtmäßigkeit nach dem BDSG:
• Verbot mit Erlaubnisvorbehalt
• § 4 BDSG: nur zulässig, soweit BDSG selbst oder andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat
• Erlaubnis im BDSG: § 28
BDSG
Prüfung der Rechtsmäßigkeit nach dem BDSG:
• Ist eine bereichsspezifische Sonderregelung einschlägig?
• Erfolgt die Datenverarbeitung im Rahmen eines Vertragsverhältnisses?
• Vertragszweck?
• Wille des Vertragspartners?
• DV vom Vertragszweck gedeckt?
• Besteht ein berechtigtes Interesse?
• Schutzwürdige Belange?
• Sind die Daten allgemein zugänglich?
• Liegt eine Einwilligung vor?
Zulässigkeit – „Goldene Regeln“:
• Zulässigkeit / Rechtmäßigkeit
• Einwilligung
• Erforderlichkeit
• Zweckbindung
• Transparenz
• Datensicherheit und Kontrolle
BDSG
Einwilligung:
• Hervorhebung der Einwilligungserklärung
• i.d.R. Schriftlichkeit
• Ausnahmen: elektronischer Rechtsverkehr, Telefonbanking pp.
BDSG
§ 13 TMG:
(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass […]
• der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,
• die Einwilligung protokolliert wird,
• der Nutzer den Inhalt der Einwilligung jederzeit anrufen kann und
• der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.
(3) Der Diensteanbieter hat den Nutzer vor der Erklärung der Einwilligung auf das Recht nach Abs. 2 Nr. 4 hinzuweisen.
Zulässigkeit – „Goldene Regeln“:
• Zulässigkeit / Rechtmäßigkeit
• Einwilligung
• Erforderlichkeit
• Zweckbindung
• Transparenz
• Datensicherheit und Kontrolle
BDSG
Grundsätze:
• Datenvermeidung und Datensparsamkeit
• offene Erhebung und direkte Erhebung
• zivilrechtliche Schadensersatzpflicht
BDSG
Rechte der Betroffenen
• Benachrichtigung (§ 33 BDSG)
• Auskunft (§ 34 BDSG)
• Berichtigung (§ 35 BDSG)
• Sperrung (§ 35 BDSG)
• Löschung (§ 35 BDSG)
• Anrufung der Aufsichtsbehörden (§ 38 BDSG)
Verpflichtung auf das Datengeheimnis (§ 5 BDSG)
• für Mitarbeiter, die mit personenbezogenen Daten umgehen
• gilt auch für das Fernmeldegeheimnis
• Schriftform
• gilt auch für leitende Angestellte
• Auswahlrecht des Arbeitgebers
Bestellungspflicht (§§ 4 f, g BDSG):
• für jede verantwortliche Stelle, die personenbezogene
Daten automatisiert erhebt und
• in der Regel mindestens 10 Personen ständig in der automatisierten DV oder
• in der Regel mindestens 20 Personen ständig in der konventionellen DV beschäftigt
Datenschutzbeauftragter
• Aufgabe: Überwachung der Einhaltung von Datenschutzvorschriften
• kann Angestellter oder Externer sein
• keine Selbstkontrolle (z.B. IT-Leiter)
• neu: erweiterter Sonderkündigungsschutz
Datenschutzbeauftragter
II. Neufassung des § 32 BDSG
§ 32 BDSG – Datenerhebung, -verarbeitung und -nutzung für Zweckes des Beschäftigungsverhältnisses
• Neuregelung zum 01.09.2009
• „Beschäftigte“
• zentrales Merkmal: Erforderlichkeit(vorher § 28 BDSG: „dienen“)
• besondere Regelung bei Straftaten
§ 32 BDSG betrifft
• Erhebung, Verarbeitung und Nutzung personenbezogener Daten
• anlässlich Entscheidung über Begründung, für die Durchführung oder die Beendigung von Beschäftigungsverhältnissen
BDSG
nur automatisierte DV
§ 32 BDSG
auch manuelle DV
Merkmal der Erforderlichkeit:
• Müssen für diesen Zweck überhaupt Daten erhoben werden?
• Müssen gerade diese Daten erhoben werden?
• Mindestergebnis oder bestes Ergebnis?
• objektiver oder individueller Maßstab?
Erforderlichkeit immer gegeben bei gesetzlichen Vorgaben oder Folgen gesetzlicher Vorgaben, z.B. :
• Betriebliches Eingliederungsmanagement
• Allgemeines Gleichbehandlungsgesetz
• Unfallverhütungsvorschriften
• Arbeits- und Gesundheitsschutz
• Pflegedokumentationen
Fazit:
• Erforderlichkeitsfeststellung am vom Arbeitgeber verfolgten Zweck
• breiter Einschätzungsspielraum
• Ausscheiden nur von schlicht überflüssigen Erhebungen
• faktisch eine Änderung gegenüber § 28 BDSG
Missglückte Regelung bei Straftaten
• Vorliegen tatsächlicher Anhaltspunkte
• diese sind zu dokumentieren
• kein überwiegend schutzwürdiges Interesse des Beschäftigten am Ausschluss der Datennutzung
• Verhältnismäßigkeitsprüfung
Konkrete Anhaltspunkte
• Stichproben (z.B. Arbeitszeitkontrollen)?
• überflüssige Innenrevision?
• problematisch insbesondere wegen der Ausdehnung auch auf manuelle DV-Vorgänge
Dokumentationspflicht
• ewige Aufbewahrungspflicht ./. Löschungpflicht
Besondere Probleme des § 32 BDSG
• keine Regelungen für ausgeschiedene Mitarbeiter
• ungeklärte Frage der geschäftlichen Email-Überwachung bei gestatteter Privatnutzung
• Übermittlung von Daten im Konzern
Eingangsfall 1:
Arbeitgeber A führt mit länger als 6 Wochen erkrankten Mitarbeitern grundsätzlich ein sog. Krankenrückkehrgespräch. Die Erkenntnisse aus den jeweiligen Gesprächen legt er in handschriftlichen Notizen nieder. Die nach Krankheit zurückkehrende Mitarbeiterin K gibt Auskunft, beschwert sich aber sodann beim Landesdatenschutzbeauftragten.
Was hat A zu befürchten?
Eingangsfall 2:
Arbeitgeber A hat sich eine Excel-Tabelle mit besonders förderungswürdigen Mitarbeitern angelegt. Mitarbeiter M ist dort mit verschiedenen Leistungseinschätzungen verzeichnet. Als M davon erfährt, verlangt er von A
a) Auskunft über alle erfassten Datenb) Berichtigung der Eintragung bei
„Zuverlässigkeit“ undc) Löschung aller übrigen Daten mangels
Erforderlichkeit
Hat M dahingehende Ansprüche?
III. Besondere Probleme in der Personalarbeit
• Nutzung von öffentlich zugänglichen Daten
• Erfassung von Krankheitsdaten
• elektronische Personalakte
• Erfassen von Positionsdaten (GPS)
Nutzung von öffentlich zugänglichen Daten
• insbesondere im Zuge von Bewerbungsverfahren
• eher irrelevant für laufendes Arbeitsverhältnis
• grundsätzlich verwendbar (§ 28 Abs. 1 Nr. 3 BDSG)
• Löschungspflicht nach Einstellungsentscheidung
• AGG-veranlasste Aufbewahrung bei Ablehnung
Erfassung von Krankheitsdaten
• im Rahmen BEM (§ 84 Abs. 2 SGB IX) zulässig
• weitergehend zulässig mit Einwilligung (§ 4 a BDSG)
• erforderlich insbesondere bei
- Fragen der Eignung für den Arbeitsplatz- Fragen des Gesundheits- und Arbeitsschutzes- Fragen etwaiger krankheitsbedingter Kündigung
• keine Auskunftspflicht bei Krankenrückkehr und BEM
Elektronische Personalakte
• jetzt einheitlicher Maßstab wie Papierakte(§ 32 Abs. 2 BDSG)
• Einwilligung (§ 4 a BDSG) weitergehend möglich
• Mitbestimmungsfragen insbesondere bei Beurteilungsgrundsätzen (§ 94 BetrVG)
Erfassen von Positionsdaten (GPS)
• Sonderregelung in § 6 c BDSG
• Informationspflicht, auch über Funktionsweise
• Kommunikationswege mit Datenverarbeitung müssen auf dem Gerät erkennbar sein
• anderenfalls: Verwertungsverbot
IV. Folgen von Datenschutzverstößen
Folgen für den Arbeitgeber
• Bußgeld- und Strafvorschriften §§ 43, 44 BDSG
• Untersagungsanordnung
• evtl. Strafvorschriften nach StGB
• Haftung auf Schadensersatz und Schmerzensgeld?
• Presse-Echo
Folgen für den Arbeitnehmer
• Bußgeld- und Strafvorschriften §§ 43, 44 BDSG
• Untersagungsanordnung
• evtl. Strafvorschriften nach StGB
• Haftung auf Schadensersatz und Schmerzensgeld?
• Kündigung des Arbeitsverhältnisses
Eingangsfall 3:
Arbeitgeber A beauftragt den leitenden Angestellten L damit, die Kundendienstfahrzeuge heimlich mit GPS-Sendern auszustatten, um die Einhaltung von Pausenzeiten der Monteure überwachen zu können. L gibt den „Auftrag“ an Mitarbeiter M weiter, der ihn ausführt. Die Sache fliegt auf.
Was haben A, L und M zu befürchten?
V. Beteiligung des Betriebsrats
• Überwachungsanspruch § 80 Abs. 1 S. 1 BetrVG
• Auskunftsanspruch § 80 Abs. 2 BetrVG
• Fragen betrieblicher Ordnung und Arbeitnehmerverhalten § 87 Abs. 1 Nr. 1 BetrVG
• Technische Überwachungseinrichtungen§ 87 Abs. 1 Nr. 6 BetrVG
VI. Datenschutzrelevante Phasen im Arbeitsverhältnis
Bewerbungsverfahren
Laufendes Arbeitsverhältnis
Kündigung
„Nachlauf“
Bewerbungsverfahren
• öffentlich zugängliche Informationen
• Fragerecht und Fragebögen
• Löschungspflichten
• AGG und Aufbewahrung
Laufendes Arbeitsverhältnis
• Mitarbeiterkontrolle
• Erfassung von Krankheitsdaten
• Dokumentation von Arbeitsvorgängen
• individuelle Löschungsbeurteilung
Kündigung
„Nachlauf“
• Aufbewahrungsfristen
• laufende Altersteilzeit
• betriebliche Altersversorgung