Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

64
Datenschutz in der Personalarbeit und anderen Bereichen Hamburg 6. November 2013

Transcript of Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Page 1: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Datenschutz in der Personalarbeitund anderen Bereichen

Hamburg – 6. November 2013

Page 2: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Eingangsfall 1:

Arbeitgeber A führt mit länger als 6 Wochen erkrankten Mitarbeitern grundsätzlich ein sog. Krankenrückkehrgespräch. Die Erkenntnisse aus den jeweiligen Gesprächen legt er in handschriftlichen Notizen nieder. Die nach Krankheit zurückkehrende Mitarbeiterin K gibt Auskunft, beschwert sich aber sodann beim Landesdatenschutzbeauftragten.

Was hat A zu befürchten?

Page 3: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Eingangsfall 2:

Arbeitgeber A hat sich eine Excel-Tabelle mit besonders förderungswürdigen Mitarbeitern angelegt. Mitarbeiter M ist dort mit verschiedenen Leistungseinschätzungen verzeichnet. Als M davon erfährt, verlangt er von A

a) Auskunft über alle erfassten Datenb) Berichtigung der Eintragung bei

„Zuverlässigkeit“ undc) Löschung aller übrigen Daten mangels

Erforderlichkeit

Hat M dahingehende Ansprüche?

Page 4: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Eingangsfall 3:

Arbeitgeber A beauftragt den leitenden Angestellten L damit, die Kundendienstfahrzeuge heimlich mit GPS-Sendern auszustatten, um die Einhaltung von Pausenzeiten der Monteure überwachen zu können. L gibt den „Auftrag“ an Mitarbeiter M weiter, der ihn ausführt. Die Sache fliegt auf.

Was haben A, L und M zu befürchten?

Page 5: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

I. Datenschutzrechtliche Grundlagen

II. Neufassung des § 32 BDSG

III. Besondere Probleme in der Personalarbeit

IV. Folgen von Datenschutzverstößen

V. Beteiligung des Betriebsrats

VI. Datenschutzrelevante Phasen im Arbeitsverhältnis

VII. Aktuelle Fälle

Page 6: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

I. Datenschutzrechtliche Grundlagen

Page 7: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

geschützt:

natürliche Person

durch Gesetze

Datenschutz Datensicherheit

geschützt:

Hard- und Software, Daten

durch Verfahren, technische Vorrichtungen, Gesetze

Page 8: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Abgrenzung zwischen BDSG und Landes-DS-Gesetzen:

• Landesdatenschutzgesetze betreffen öffentliche Dienststellen der Länder

• Bundesdatenschutzgesetz betrifft- öffentliche Dienststellen des Bundes- private Unternehmen

BDSG LDSGe

Page 9: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Europarechtliche Grundlagen des Datenschutzes:

• Richtlinie 95/46/EG vom 24.10.1995 (DSRL)

• derzeit verhandelt: Entwurf DatenschutzgrundVO

Europarecht

Page 10: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Zentrales Gesetz: BDSG

• Neuregelung betreffend Beschäftigungsverhältnisse zum 01.09.2009 (§ 32 BDSG)

• Schutzbereich:personenbezogene Daten natürlicher Personen

• Datenschutz ist Querschnittsmaterie

• weitere datenschutzrelevante Gesetze:SGB, BGB, StGB, Telekommunikationsgesetze, HGB, AO, BetrVG

Page 11: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

§§ 27 - 38:

Datenverarbeitung der nichtöffentlichen Stellen

= Unternehmen der Privatwirtschaft

Subsidiarität

BDSG nur einschlägig, wenn kein bereichsspezifisches Gesetz einschlägig ist (z.B. TKG)

BDSG

Page 12: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Datenschutzrechtliche Regelungen außerhalb des BDSG:

• Telemedien (Internet)

• § 12 TMG – Grundsätze:

(1) Der Dienstanbieter darf personenbezogene Daten zur Bereitstellung von Telemedien nur erheben und verwenden, soweit dieses Gesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, es erlaubt oder der Nutzer eingewilligt hat. …

Page 13: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Grundbegriffe:

• personenbezogene Daten / Betroffene

• Umgang mit personenbezogenen Daten

• verantwortliche Stelle

• Zulässigkeit der Datenverarbeitung

BDSG

Page 14: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

personenbezogene Daten:

• § 3 BDSG:

Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)

BDSG

Page 15: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Anonymisierte und pseudonymisierte Daten:

• absolut anonym: kein Personenbezug

• faktisch anonym: Personenbezug nur mit unverhältnismäßigem Aufwand herstellbar

• pseudonym: Personenbezug wegen Zuordnungsregel besteht

BDSG

Page 16: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Besondere Arten personenbezogener Daten:

• § 4 a Abs. 3 BDSG(Rasse, politische Meinung, Gesundheit, Sexualleben pp.)

• besondere Anforderungen, ausdrückliche Einwilligung

BDSG

Page 17: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Grundbegriffe:

• personenbezogene Daten / Betroffene

• Umgang mit personenbezogenen Daten

• verantwortliche Stelle

• Zulässigkeit der Datenverarbeitung

BDSG

Page 18: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

• Erhebung

• Verarbeitung

• Speichern

• Verändern

• Übermitteln

• Sperren und Löschen

• Nutzen

BDSG

Page 19: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Grundbegriffe:

• personenbezogene Daten / Betroffene

• Umgang mit personenbezogenen Daten

• verantwortliche Stelle

• Zulässigkeit der Datenverarbeitung

BDSG

Page 20: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Verantwortliche Stelle:

• funktionale Betrachtung

• Entscheidungsverantwortlichkeit und Verantwortungsstruktur

• aktueller Fall:

ULD Schleswig-Holstein ./. private Unternehmen

Facebook-Fanpages

BDSG

Page 21: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Verantwortliche Stelle:

• „für sich“ –Verarbeitung

• In-House-Verarbeitung

• Auftragsverarbeitung, wenn Auftragnehmer weisungsgebunden (§ 11 BDSG)

BDSG

Page 22: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Grundbegriffe:

• personenbezogene Daten / Betroffene

• Umgang mit personenbezogenen Daten

• verantwortliche Stelle

• Zulässigkeit der Datenverarbeitung

BDSG

Page 23: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Zulässigkeit – „Goldene Regeln“:

• Zulässigkeit / Rechtmäßigkeit

• Einwilligung

• Erforderlichkeit

• Zweckbindung

• Transparenz

• Datensicherheit und Kontrolle

BDSG

Page 24: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Rechtmäßigkeit nach dem BDSG:

• Verbot mit Erlaubnisvorbehalt

• § 4 BDSG: nur zulässig, soweit BDSG selbst oder andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat

• Erlaubnis im BDSG: § 28

BDSG

Page 25: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Prüfung der Rechtsmäßigkeit nach dem BDSG:

• Ist eine bereichsspezifische Sonderregelung einschlägig?

• Erfolgt die Datenverarbeitung im Rahmen eines Vertragsverhältnisses?

• Vertragszweck?

• Wille des Vertragspartners?

• DV vom Vertragszweck gedeckt?

• Besteht ein berechtigtes Interesse?

• Schutzwürdige Belange?

• Sind die Daten allgemein zugänglich?

• Liegt eine Einwilligung vor?

Page 26: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Zulässigkeit – „Goldene Regeln“:

• Zulässigkeit / Rechtmäßigkeit

• Einwilligung

• Erforderlichkeit

• Zweckbindung

• Transparenz

• Datensicherheit und Kontrolle

BDSG

Page 27: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Einwilligung:

• Hervorhebung der Einwilligungserklärung

• i.d.R. Schriftlichkeit

• Ausnahmen: elektronischer Rechtsverkehr, Telefonbanking pp.

BDSG

Page 28: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

§ 13 TMG:

(2) Die Einwilligung kann elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass […]

• der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,

• die Einwilligung protokolliert wird,

• der Nutzer den Inhalt der Einwilligung jederzeit anrufen kann und

• der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

(3) Der Diensteanbieter hat den Nutzer vor der Erklärung der Einwilligung auf das Recht nach Abs. 2 Nr. 4 hinzuweisen.

Page 29: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Zulässigkeit – „Goldene Regeln“:

• Zulässigkeit / Rechtmäßigkeit

• Einwilligung

• Erforderlichkeit

• Zweckbindung

• Transparenz

• Datensicherheit und Kontrolle

BDSG

Page 30: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Grundsätze:

• Datenvermeidung und Datensparsamkeit

• offene Erhebung und direkte Erhebung

• zivilrechtliche Schadensersatzpflicht

BDSG

Page 31: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Rechte der Betroffenen

• Benachrichtigung (§ 33 BDSG)

• Auskunft (§ 34 BDSG)

• Berichtigung (§ 35 BDSG)

• Sperrung (§ 35 BDSG)

• Löschung (§ 35 BDSG)

• Anrufung der Aufsichtsbehörden (§ 38 BDSG)

Page 32: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Verpflichtung auf das Datengeheimnis (§ 5 BDSG)

• für Mitarbeiter, die mit personenbezogenen Daten umgehen

• gilt auch für das Fernmeldegeheimnis

• Schriftform

• gilt auch für leitende Angestellte

• Auswahlrecht des Arbeitgebers

Page 33: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Bestellungspflicht (§§ 4 f, g BDSG):

• für jede verantwortliche Stelle, die personenbezogene

Daten automatisiert erhebt und

• in der Regel mindestens 10 Personen ständig in der automatisierten DV oder

• in der Regel mindestens 20 Personen ständig in der konventionellen DV beschäftigt

Datenschutzbeauftragter

Page 34: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

• Aufgabe: Überwachung der Einhaltung von Datenschutzvorschriften

• kann Angestellter oder Externer sein

• keine Selbstkontrolle (z.B. IT-Leiter)

• neu: erweiterter Sonderkündigungsschutz

Datenschutzbeauftragter

Page 35: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

II. Neufassung des § 32 BDSG

Page 36: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

§ 32 BDSG – Datenerhebung, -verarbeitung und -nutzung für Zweckes des Beschäftigungsverhältnisses

• Neuregelung zum 01.09.2009

• „Beschäftigte“

• zentrales Merkmal: Erforderlichkeit(vorher § 28 BDSG: „dienen“)

• besondere Regelung bei Straftaten

Page 37: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

§ 32 BDSG betrifft

• Erhebung, Verarbeitung und Nutzung personenbezogener Daten

• anlässlich Entscheidung über Begründung, für die Durchführung oder die Beendigung von Beschäftigungsverhältnissen

Page 38: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

BDSG

nur automatisierte DV

§ 32 BDSG

auch manuelle DV

Page 39: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Merkmal der Erforderlichkeit:

• Müssen für diesen Zweck überhaupt Daten erhoben werden?

• Müssen gerade diese Daten erhoben werden?

• Mindestergebnis oder bestes Ergebnis?

• objektiver oder individueller Maßstab?

Page 40: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Erforderlichkeit immer gegeben bei gesetzlichen Vorgaben oder Folgen gesetzlicher Vorgaben, z.B. :

• Betriebliches Eingliederungsmanagement

• Allgemeines Gleichbehandlungsgesetz

• Unfallverhütungsvorschriften

• Arbeits- und Gesundheitsschutz

• Pflegedokumentationen

Page 41: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Fazit:

• Erforderlichkeitsfeststellung am vom Arbeitgeber verfolgten Zweck

• breiter Einschätzungsspielraum

• Ausscheiden nur von schlicht überflüssigen Erhebungen

• faktisch eine Änderung gegenüber § 28 BDSG

Page 42: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Missglückte Regelung bei Straftaten

• Vorliegen tatsächlicher Anhaltspunkte

• diese sind zu dokumentieren

• kein überwiegend schutzwürdiges Interesse des Beschäftigten am Ausschluss der Datennutzung

• Verhältnismäßigkeitsprüfung

Page 43: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Konkrete Anhaltspunkte

• Stichproben (z.B. Arbeitszeitkontrollen)?

• überflüssige Innenrevision?

• problematisch insbesondere wegen der Ausdehnung auch auf manuelle DV-Vorgänge

Dokumentationspflicht

• ewige Aufbewahrungspflicht ./. Löschungpflicht

Page 44: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Besondere Probleme des § 32 BDSG

• keine Regelungen für ausgeschiedene Mitarbeiter

• ungeklärte Frage der geschäftlichen Email-Überwachung bei gestatteter Privatnutzung

• Übermittlung von Daten im Konzern

Page 45: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Eingangsfall 1:

Arbeitgeber A führt mit länger als 6 Wochen erkrankten Mitarbeitern grundsätzlich ein sog. Krankenrückkehrgespräch. Die Erkenntnisse aus den jeweiligen Gesprächen legt er in handschriftlichen Notizen nieder. Die nach Krankheit zurückkehrende Mitarbeiterin K gibt Auskunft, beschwert sich aber sodann beim Landesdatenschutzbeauftragten.

Was hat A zu befürchten?

Page 46: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Eingangsfall 2:

Arbeitgeber A hat sich eine Excel-Tabelle mit besonders förderungswürdigen Mitarbeitern angelegt. Mitarbeiter M ist dort mit verschiedenen Leistungseinschätzungen verzeichnet. Als M davon erfährt, verlangt er von A

a) Auskunft über alle erfassten Datenb) Berichtigung der Eintragung bei

„Zuverlässigkeit“ undc) Löschung aller übrigen Daten mangels

Erforderlichkeit

Hat M dahingehende Ansprüche?

Page 47: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

III. Besondere Probleme in der Personalarbeit

Page 48: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

• Nutzung von öffentlich zugänglichen Daten

• Erfassung von Krankheitsdaten

• elektronische Personalakte

• Erfassen von Positionsdaten (GPS)

Page 49: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Nutzung von öffentlich zugänglichen Daten

• insbesondere im Zuge von Bewerbungsverfahren

• eher irrelevant für laufendes Arbeitsverhältnis

• grundsätzlich verwendbar (§ 28 Abs. 1 Nr. 3 BDSG)

• Löschungspflicht nach Einstellungsentscheidung

• AGG-veranlasste Aufbewahrung bei Ablehnung

Page 50: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Erfassung von Krankheitsdaten

• im Rahmen BEM (§ 84 Abs. 2 SGB IX) zulässig

• weitergehend zulässig mit Einwilligung (§ 4 a BDSG)

• erforderlich insbesondere bei

- Fragen der Eignung für den Arbeitsplatz- Fragen des Gesundheits- und Arbeitsschutzes- Fragen etwaiger krankheitsbedingter Kündigung

• keine Auskunftspflicht bei Krankenrückkehr und BEM

Page 51: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Elektronische Personalakte

• jetzt einheitlicher Maßstab wie Papierakte(§ 32 Abs. 2 BDSG)

• Einwilligung (§ 4 a BDSG) weitergehend möglich

• Mitbestimmungsfragen insbesondere bei Beurteilungsgrundsätzen (§ 94 BetrVG)

Page 52: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Erfassen von Positionsdaten (GPS)

• Sonderregelung in § 6 c BDSG

• Informationspflicht, auch über Funktionsweise

• Kommunikationswege mit Datenverarbeitung müssen auf dem Gerät erkennbar sein

• anderenfalls: Verwertungsverbot

Page 53: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

IV. Folgen von Datenschutzverstößen

Page 54: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Folgen für den Arbeitgeber

• Bußgeld- und Strafvorschriften §§ 43, 44 BDSG

• Untersagungsanordnung

• evtl. Strafvorschriften nach StGB

• Haftung auf Schadensersatz und Schmerzensgeld?

• Presse-Echo

Page 55: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Folgen für den Arbeitnehmer

• Bußgeld- und Strafvorschriften §§ 43, 44 BDSG

• Untersagungsanordnung

• evtl. Strafvorschriften nach StGB

• Haftung auf Schadensersatz und Schmerzensgeld?

• Kündigung des Arbeitsverhältnisses

Page 56: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Eingangsfall 3:

Arbeitgeber A beauftragt den leitenden Angestellten L damit, die Kundendienstfahrzeuge heimlich mit GPS-Sendern auszustatten, um die Einhaltung von Pausenzeiten der Monteure überwachen zu können. L gibt den „Auftrag“ an Mitarbeiter M weiter, der ihn ausführt. Die Sache fliegt auf.

Was haben A, L und M zu befürchten?

Page 57: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

V. Beteiligung des Betriebsrats

Page 58: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

• Überwachungsanspruch § 80 Abs. 1 S. 1 BetrVG

• Auskunftsanspruch § 80 Abs. 2 BetrVG

• Fragen betrieblicher Ordnung und Arbeitnehmerverhalten § 87 Abs. 1 Nr. 1 BetrVG

• Technische Überwachungseinrichtungen§ 87 Abs. 1 Nr. 6 BetrVG

Page 59: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

VI. Datenschutzrelevante Phasen im Arbeitsverhältnis

Page 60: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Bewerbungsverfahren

Laufendes Arbeitsverhältnis

Kündigung

„Nachlauf“

Page 61: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Bewerbungsverfahren

• öffentlich zugängliche Informationen

• Fragerecht und Fragebögen

• Löschungspflichten

• AGG und Aufbewahrung

Page 62: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Laufendes Arbeitsverhältnis

• Mitarbeiterkontrolle

• Erfassung von Krankheitsdaten

• Dokumentation von Arbeitsvorgängen

• individuelle Löschungsbeurteilung

Page 63: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

Kündigung

Page 64: Datenschutz in der Personalarbeit und anderen Bereichen Hamburg – 6. November 2013.

„Nachlauf“

• Aufbewahrungsfristen

• laufende Altersteilzeit

• betriebliche Altersversorgung