Datenschutz im Arbeitsrecht

Datenschutz & Beschäftigungsverhältnis

Die Europäische Datenschutzgrundverordnung (EU DSGVO) hatte 4000 Änderungsanträge zum ersten Entwurf, und wurde doch a.E. mit grossem Konsens zwischen Europäischem Parlament, Europarat und der EU - Kommission vereinbart. Sie gilt seit Mai 2018 und hat auch die Rechte des einzelnen Arbeitnehmers , Beschäftigter nach der DSGVO, gestärkt und neue sanktionsbewährte Informations- sowie Beteiligungsrechte für Arbeitnehmer geschaffen.

Musterformulare Datenschutz

Merkblatt pdf Datenschutz

Datenschutz - Fragen mit Antworten

Verstoss gegen Datenschutz

Bei Verstoss gegen Datenschutzvorschriften, jetzt insbesondere auch die DSGVO, gewährleisten Art. 77 - 84 DSGVO ein ganzes Bündel an abgestuften Rechts- und Sanktionsmöglichkeiten gegen die zuständige Aufsichtbehörde sowie vor allem gegen Verantwortliche und Auftragsverarbeiter.

Bei Verstössen gegen die DSGVO und das Datenschutzgesetz

  • macht der Arbeitgeber sich grundsätzlich nach  30 OWIG bussgeldpflichtig.

Die Kriterien für die Höhe der zu verhängender Geldbussen sind in Art. 83 II DSGVO im allgemeinen aufgestellt. Art. 83 III DSGVO listet zusätzlich einen

  • Katalog wichtiger Verstösse auf, die mit Geldbussen bis 10.000 000,00 €,  oder bei Unternehmen bis zu 2 % des Jahresumsatz,

sanktioniert sein können. Bei besonders schwerwiegenden Verstössen nach Art. 83 IV DSGVO  sieht das Gesetz

  • sogar Geldbussen bis € 20.000 000,00 , oder bei Unternehmen 4 % des Jahresumsatzes, vor.

Weiterhin besteht nach § 29a OWIG neuerdings die

  • Möglichkeit zu "Gewinn - Einzug" des durch Datenschutzverstoss erwirtschafteten, wenn eine Geldbusse nicht festgesetzt wird.

 

Nach Art. 82 I DSGVO hat der Beschäftigte

  • Anspruch auf Schadensersatz, wenn ihm
  1. wegen eines Verstosses gegen die DSGVO,
  2. durch Verschulden des Verantwortlichen, oder Auftragsverarbeiters,
  3. ein materieller oder immaterieller Schadenentstanden ist.

Der Verantwortliche kann sich "exculpieren", wenn er nach Art. 82 III DSGVO

  1. nachweist,
  2. dass er für den Umstand, durch den der Schaden entstanden ist,
    nicht verantwortlich

Mehrere Verantwortliche haften als Gesamtschulder.

Nach dem Wortlaut ist "jeder" Verstoss gegen die DSGVO sanktioniert. Nach den Erwägungsgründen zur DSGVO sollen Schäden ersetzt werden, die "einer Person aufgrund einer Verarbeitung entstehen".

Denkbar sind weiter auch deliktische Schadensersatzansprüche wegen Eingriff in die aus Art 1 I , Art 2 I GG geschützten Persönlichkeitsrechte des Beschäftigten.

Ob und inwieweit ein gerichtliches Verwertungsverbot "rechtswidrig" erlangter Daten besteht, ist nur im konkreten Einzelfall feststellbar.

Die Speicherung und Verarbeitung der Arbeitnehmer-, ebenso wie Kunden - Daten, müssen  nach Art. 5 DSGVO

  1. auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden(„Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
  2. für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; ...... („Zweckbindung“);
  3. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
  4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
  5. in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
  6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Der Arbeitgeber ist für die Einhaltung  und Überwachung verantwortlich, und muss die Einhaltung nachweisen können

Nach Art. 30 DSGVO  treffen den Arbeitgeber, genauer die Entscheidungsträger über Zweck und Mittel der verarbeiteten Daten soweit in ihrer Zuständigkeit , strenge  im einzelnen benannte Dokumentationspflichten.

 Jeder Verantwortliche, ebenso wie jeder Auftragsverarbeiter des Arbeitgebers, muss ein

  • Verzeichnis aller Verarbeitungstätigkeiten seines Zuständigkeitsbereiches führen.

Grundsätzlich soll die Verzeichnispflicht nur für für Unternehmen mit mehr als 250 Mitarbeitern gelten. ABER tatsächlich gilt sie für jeden Arbeitgeber - unabhängig von der Beschäftigtenzahl - weil dieser gem. Art. 30 V DSGVO

  • nicht nur gelegentlich Daten seiner Beschäftigten verarbeitet (z.B. Lohnbuchhaltung, Urlaubspläne),
  • besonders geschützte Datenkategorien i.S. von Art. 9 I DSGVO verarbeitet(z.B. Gesundheitsdaten bei Arbeitsunfähigkeit, Religion wg. Kirchensteuer),oder weil
  • die vorgenommene Verarbeitung besondere Risiken für die Rechte und Freiheiten der Beschäftigtenbirgt (z.B. Videoüberwachung, Kontrolle von e - mail Telefon oder Internet).

Soweit der Arbeitgeber ohne Einwilligung des Beschäftigten Daten speichern darf, treffen ihn nach Art. 13 DSGVO - bereits schon im Bewerbungsverfahren, i.d.R. erneut bei Abschluss des Arbeitsvertrags - besondere Informationspflichten.

Die Informationspflicht muss nach Art. 14 DSGVO

  • innerhalb einer angemessenen Frist - längstens nach 1 Monat- ,
  • spätestens zum Zeitpunkt einer ersten Mitteilung an einen Bewerber,

erfolgen

Spätestes aber zum Zeitpunkt der Erhebung von Arbeitnehmerdaten muss der Arbeitgeber dem Beschäftigten / Bewerber (!) bereits folgendes mitteilen:

  1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlagefür die Verarbeitung;
  4. wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Arbeitgebers erfolgt  (Art. 6 I 1 f DSGVO) beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Datenund
  6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

 

Zusätzlich muss der Arbeitgeber dem Beschäftigten  zum Zeitpunkt der Erhebung folgende weitere Informationen zur Verfügung stellen, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

  1. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  2. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Datensowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  3. wenndie Verarbeitung auf einer Einwilligung des Beschäftigten beruht (Art. 6 I a oder Art. 9 II a DSGVO)
    - das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen,
    - ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  4. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  5. ob die Bereitstellungder personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich istob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  6. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profilingnach Art. 22 I, IV DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

 

Beabsichtigt der Arbeitgeber - soweit er überhaupt nach der DSGO ohne Einwilligung des Beschäftigten berechtigt ist - später die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den diese ursprünglich erhoben wurden, so muss er dem Beschäftigten / Bewerber VOR dieser Weiterverarbeitung Informationen über diesen anderen "neuen" Zweck und alle anderen maßgeblichen Informationen wie oben "zusätzlich"  zur Verfügung stellen.

Nach § 26  BDSG n.F. ist die Erhebung, Verarbeitung, und Nutzung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn dies

  • für die Entscheidung über dieBegründung eines Arbeitsverhältnisses (im Bewerbungsverfahren),
  • für die Durchführungdes Arbeitsverhältnisses,
  • für die Beendigungdes Arbeitsverhältnisses,
  • oder zur Ausübung oder Erfüllung, der sich aus - Gesetz, - Tarifvertrag, - Betriebs- oder Dienstvereinbarung ergebenden Rechte und Pflichten

- erforderlich - ist.

Für alle "weitergehende" Datennutzung - und verarbeitung durch den Arbeitgeber ist die

  • "Einwilligungdes Beschäftigten für den jeweils konkreten Einzelfall" erforderlich.

Die Einwilligung des Beschäftigten ist nach Art. 6 I a DSGVO nur dann wirksam, wenn sie

  • freiwilligerfolgt,
  • eindeutig und unmisverständlichist,
  • für einen konkreten festgelegten Zweckabgegeben wird,
  • der Arbeitnehmer vor der Verarbeitung über den Zweck ausreichend informiertwird,
    und rein vorsorglich wohl auch der Arbeitnehmer - je nach besonderem Einzelfall oder auf seine nachfrage hin - auf die Folgen der Verweigerung der Einwilligung hingewiesen wird.

 

Die Einwilligung ist formgebunden. Sie ist grundsätzlich

  • schriftlich zu erteilen, soweit nicht ausnahmsweise die Umstände des Einzelfalls eine andere Form zulassen,
  • drucktechnisch besonders hervorzuheben, wenn mit der Einwilligung weitere Erklärungen erteilt werden,
  • sollte "besser nicht" in einer gemeinsamen Erklärung mit weiteren Beschäftigten, z.B. Unterschriftenliste, erteilt werden ("kein Gruppenzwang")

Der Arbeitnehmer wird tatsächlich in vielen Fällen über den Verarbeitungszweck nur dann hinreichend informiert sein, wenn der Arbeitgeber gem. Art.7, 35 VII DSGVO eine Datenschutz - Folgenabschätzung , vornimmt.

 

Fallbeispiele erforderliche Einwilligung des Arbeitnehmers / Sanktionen

Besondere Informationspflichten , sowie insbesondere auch eine – gesonderte - Einwilligung der Beschäftigtgen nach § 6 I DSGVO, können den Arbeitgeber insbesondere auch in folgenden Fallkonstalltionen treffen:

  • Videoüberwachung
  • Überwachung von PC, e - mail und Telekommunikationsverkehr
  • Bewerbungsverfahren

Einzelheiten sind im konkreten Einzelfall zu prüfen und abzuwägen.

Eine Datenschutz - Folgenabschätzung ist nach Art. 35 I DSGVO  erforderlich , wenn eine Form der Verarbeitung bei

  • Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge

 Insbesondere liegt nach Art. 35 III DSGVO ein "Risikofall" nach Art. 35 I DSGVO mit notwendiger Datenschutz - Folgenabschätzung vor, bei

  1. systematischer und umfassende Bewertung persönlicher Aspektenatürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Datengemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
  3. systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche.

Hierunter dürften auch fallen die Auswertung von Gesundheitsdaten- / Arbeitsunfähigkeitstagen bei beabsichtigten arbeitsrechtlichen Massnahmen wegen Arbeitsunfähigkeit, die Erhebung und Auswertung von Bewerberdaten im Bewerbungsverfahren sowie jegliche Überwachungsmassnahmen von Beschäftigten.

 

Eine Datenschutz - Folgeabschätzung erfordert

  1. eine systematische Beschreibung
    der beabsichtigten Verarbeitungsvorgänge,
    b. dem Zweck der Verarbeitung,
    c. der berechigten Interessen des Arbeitgebers
    ,
  2. eine Bewertung von Notwendigkeit und Verhältnismässigkeitder erarbeitungsvorgänge zum beabsichtigtem Zweck,
  3. eine Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen,
  4. die zur Bewältigung der Risiken beabsichtigten Abhilfemasnahmen, einschlieslich Garantien, Sicherheitsvorkehrungen und Verfahren durch die der Schutz personenbezogener Daten sicher gestellt wird, UND der Nachweis erbracht wird,dass die DSGVO eingehalten wird.

Die Datenschutzfolgenabschätzung müssen, ebenso wie das Verfahrensverzeichnis für Dokumentationsvorgaben und die massnahmen der Datensicherheit in einem gesonderten Verfahrensverzeichnis dokumentiert werden.

Im einzelnen sollte die Datenschutzfolgenabschätzung nach  Art. 28 DSGVO in einem internen Datenschutzbericht  dokumentieren:

  • Erstellung und Pflege eines Verzeichnisses der geplanten und umgesetzten Verarbeitungpersonenbezogener Daten,
  • Bestimmung der Datenkategorien und ihrer Sensibilität,
  • Bestimmung des Zwecks der Datenverarbeitung,
  • Prüfung ob Weitergabe der Daten an Dritte vorgesehen ist, und wenn ja a. an wen, und b. zu welchem Zweck,
  • Prüfung  wer, zu welchem Zweck auf die Daten zugreifen kann,
  • Prüfung der geplanten Aufbewahrungsfrist,
  • Prüfung, ob die Daten wirklich erforderlichsind,
  • Bestimmung der erforderlichen Schutzmasnahmen.

Die Qualität und Einhaltung der dokumentierten Massnahme muss regelmässig in der Folgezeit von den Verantwortlichen überprüft werden.

Der Beschäftigte hat Anspruch auf 

  • Auskunft (Art. 15 DSGVO),
  • Berichtigung (Art. 16 DSGVO) und
  • Löschung (Art. 17 DSGVO)seiner Daten.

 

Er hat Anspruch auf Auskunft

  • ob, und wenn ja,
  • welche

 Beschäftigtendaten verarbeitet werden.

Die Auskunft ist

  • "in angemessener Zeit, längstens innerhalb 1 Monats" entsprechend Art. 14 III DSGVO,

zu erteilen.

 Im einzelnen hat der  Beschäftigte nach Art. 15 I DSGVO

  • auf Antrag Anspruch auf Information über
  1. die Verarbeitungszwecke;
  2. die Kategorien personenbezogener Daten, die verarbeitet werden;
  3. die Empfänger oder Kategorien von Empfängerngegenüber denen die personenbezogenen Daten offengelegt worden sindoder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  5. das Bestehen eines Rechts auf Berichtigung oder Löschungder sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profilinggemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

 

Der Arbeitgeber muss dem Beschäftigten

  • eine vollständige Kopie aller gespeicherten / verarbeiteten Daten,
  • in unveränderter Form- wie verarbeitet -
  • kostenlos(für die 1. Kopie, angemessene Kosten für Zweitkopien)
    so zur Verfügung stellen, dass dieser die Informationen,
  • mit einer allgemein üblichen  Software verarbeitet / gelesen werden kann.

Grundsätzlich wird vom Arbeitgeber danach die Übersendung einer pdf Datei zu allen verarbeiteten Daten zu verlangen sein.

Ändert sich der Datenbestand, hat der Arbeitnehmer erneut Anspruch auf Auskunft.

 

Der Arbeitgeber muss sicher stellen,

  • die Identitätdes Beschäftigten beim Auskunfsverlangen zu überprüfen,
  • nur dem BerechigtenBeschäftiggten, und nicht unberechtigten dritten, die Informationen / Kopien zu erteilen.

Hat der Arbeitgeber begründete Zweifel an der Identität des Antragstellers, kann er zusätzliche Informationen zur Bestätigung der Identität, zB  Personalausweis / Reisepass, anfordern.

Der Beschäftigte hat "unverzüglich" Anspruch auf

  • Berichtigung unrichtiger Tatsachen/nicht Meinungen und Bewertungen),
  • Vervollständigung unvollständiger Personendaten.

Die Berichtigung kann in Form einer berichtigenden Erklärung erfolgen. Der Berichtigungsanspruch kann gerade auch bei Bewerbungen erfoderlich sein wenn der Arbeitgebeber die Unterlagen in einer Bewerberdatenbank aufnimmt.

Der Arbeitgeber muss die Daten der Beschäftigten  "unverzüglich" löschen, wenn

  • personenbezogene Daten sind für die Zweckefür die sie erhoben oder auf sonstige Weise verarbeitet wurdennicht mehr notwendig, - also grundsätzlich bei Ende des Bewerbungsverfahrens / Beschäftigungsverhältnisses,
  • der Beschäftigte / Bewerber ihre (erforderliche) widerruft, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung,
  • die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitungein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
  • die personenbezogenen Daten wurden unrechtmäßig verarbeitet,
  • die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtungnach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt,

 es sein denn, es liegt kein Ausschlussgrund zur Löschung vor soweit die Verarbeitung erforderlich ist

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
  • zur Erfüllung einer rechtlichen Verpflichtung, welcher der Verantwortliche unterliegt, oder
  • zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesseliegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Der Arbeitgeber muss einen betrieblichen Datenschutzbeauftragten nach § 38 I BDSG benennen, wenn

  • er in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, oder
  • Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung nach Art. 35DSGVO unterliegen, oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung bearbeitet.

 

Nach § 38 II BDSG i.V.m. § 6 BDSG

  • hat - nur - der "Pflicht - Datenschutzbeauftragte" besonderen Kündigungsschutz.

Eine Kündigung ist also nur aus "wichtigem Grund" ausserordentlich nach § 626 BGB zulässig. Der besondere Kündigungsschutz gilt auch für die Zeit von 1 Jahr nach Beendigung der Tätigkeit als Datenschutzbeauftragter.

 

Die Kontaktdaten des Datenschutzbeauftragten muss der Arbeitgeber nach Art. 37 III DSGVO

  • veröffentlichen,
  • der zuständigen Aufsichtsbehörde melden.

Kontaktdaten sind

  • Adresse
  • Telefon - Nummer
  • e - mail Adresse

 

Nicht zwingend nach Art. 37 VII DSGVO, aber anzuraten ist die Angabe des

  • Namen des Datenschutzbeauftragten.

 

Die arbeitsvertraglichen Aufgabenfelder des Datenschutzbeauftragten

  • dürfen keinen engen Bezug zur Verarbeitung von personenbezogen Daten haben
    = "kein Interessenkonflikt"

Deshalb dürften insbesondere folgende Beschäftigte diese Anforderungen nicht erfüllen:

  • Unternehmungsleitung
  • Leitung IT - Abteilung
  • Leitung Personal - abteilung
  • Leitung Rechts - abteilung
  • Beschäftigte Personal, IT oder Recht , soweit sie Datenverarbeitung bestimmen oder wesentlich beeinflussen

Der Arbeitgeber kann auch freiwillig einen Datenschutzbeauftragten benennen, wenn er hierzu nicht nach § 38 I BDSG verpflichtet ist.

Der Datenschutzbeauftragte ist

  • weisungsfrei und unabhängig.

Die wichtigsten Aufgaben und Rechte des Datenschutzbeauftragten ergeben sich aus

  • 38 DSGVO "Stellung des Datenschutzbeauftragten" im Unternehmen,
  • 39 DSGVO "Aufgabenfelder im einzelnen".

 

Der Arbeitgeber muss den Datenschutzbeauftragten nach Art. 38 DSGVO

  • bei allen Fragen, die mit dem Schutz personenbezogener Daten zu tun haben, ordnungsgemäs und frühzeitig einbinden,
  • beiseiner Aufgabenerfüllung unterstützen, also
    Arbeitszeit, Räume, Mitarbeiter bereitstellen,
    Zugang zu allen personenbezogenen Daten und Verarbeitungen gewähren,
    Informationsmedien und Fortbildungsmöglichkeiten bereitstellen / anbieten

 

Zu den Aufgaben des Datenschutzbeauftragten nach Art. 39 DSGVO zählen insbesondere

  • Unterrichtung und Beratung, der
    Verantwortlichen,
    Beschäftigten, die Verarbeitungen durchführen,
  • Überwachungder Einhaltung der DSGVO einschliesslich
    - Zuweisung von Zuständigkeiten,
    - Überprüfung, Sensibilisierung und Schulung mit w befasster Mitarbeiter,
  • Beratung und Überwachung bei Datenschutzfolgenabschätzung,
  • Zusammenarbeit und Ansprechperson für Aufsichtsbehörde,
  • Ansprechpartner für Beschäftigte und Betroffenein allen Fragen zur Datenverarbeitung.

Der Arbeitgeber darf nicht ihm übertragenen Aufgaben auf den Datenschutzbeauftragten übertragen, und bleibt „allein“ verantwortlich für die Einführung und Überwachung aller aktuellen Datenschutzvorschriften.

Grundlagen Datenschutz

Der Schutz des in Art 1 I, 2 I GG garantierten Rechts auf "informationelle Selbstbestimmung" gilt auch im Arbeitsrecht.

Der Arbeitgeber darf deshalb ganz allgemein nur insoweit in die Persönlichkeitsrechte seiner Arbeitnehmer eingreifensoweit diese Massnahme

  • geeignet ist, einen erstrebten Erfolg zu fördern,
  • erforderlich ist, also kein relativ milderes Mittel für den erstrebten Zweck möglich ist,
  • angemessen ist, also nicht unverhältnismässig ist, was durch Gesamtabwägung "Intensität des Eingriffs - Gewicht der Rechtfertigungsgründe"  gerichtlich überprüfbar ist.

 

Datenschutzrechte für Arbeitnehmer, genauer "Beschäftigte",  sind geregelt in

  • der Datenschutzrichtlinie95/46/EG vom 24.10.1995,
  • dem Bundesdatenschutzgesetz(BDSG),
  • der EU - Datenschutzgrundverordnung(EU - DSGVO).

 

 

Verstoss gegen Datenschutz

Bei Verstoss gegen Datenschutzvorschriften, jetzt insbesondere auch die DSGVO, gewährleisten Art. 77 - 84 DSGVO ein ganzes Bündel an abgestuften Rechts- und Sanktionsmöglichkeiten gegen die zuständige Aufsichtbehörde sowie vor allem gegen Verantwortliche und Auftragsverarbeiter.

Bei Verstössen gegen die DSGVO und das Datenschutzgesetz

  • macht der Arbeitgeber sich grundsätzlich nach  30 OWIG bussgeldpflichtig.

Die Kriterien für die Höhe der zu verhängender Geldbussen sind in Art. 83 II DSGVO im allgemeinen aufgestellt. Art. 83 III DSGVO listet zusätzlich einen

  • Katalog wichtiger Verstösse auf, die mit Geldbussen bis 10.000 000,00 €,  oder bei Unternehmen bis zu 2 % des Jahresumsatz,

sanktioniert sein können. Bei besonders schwerwiegenden Verstössen nach Art. 83 IV DSGVO  sieht das Gesetz

  • sogar Geldbussen bis € 20.000 000,00 , oder bei Unternehmen 4 % des Jahresumsatzes, vor.

Weiterhin besteht nach § 29a OWIG neuerdings die

  • Möglichkeit zu "Gewinn - Einzug" des durch Datenschutzverstoss erwirtschafteten, wenn eine Geldbusse nicht festgesetzt wird.

 

Nach Art. 82 I DSGVO hat der Beschäftigte

  • Anspruch auf Schadensersatz, wenn ihm
  1. wegen eines Verstosses gegen die DSGVO,
  2. durch Verschulden des Verantwortlichen, oder Auftragsverarbeiters,
  3. ein materieller oder immaterieller Schadenentstanden ist.

Der Verantwortliche kann sich "exculpieren", wenn er nach Art. 82 III DSGVO

  1. nachweist,
  2. dass er für den Umstand, durch den der Schaden entstanden ist,
    nicht verantwortlich

Mehrere Verantwortliche haften als Gesamtschulder.

Nach dem Wortlaut ist "jeder" Verstoss gegen die DSGVO sanktioniert. Nach den Erwägungsgründen zur DSGVO sollen Schäden ersetzt werden, die "einer Person aufgrund einer Verarbeitung entstehen".

Denkbar sind weiter auch deliktische Schadensersatzansprüche wegen Eingriff in die aus Art 1 I , Art 2 I GG geschützten Persönlichkeitsrechte des Beschäftigten.

Ob und inwieweit ein gerichtliches Verwertungsverbot "rechtswidrig" erlangter Daten besteht, ist nur im konkreten Einzelfall feststellbar.

 

Speicherung / Schutz der Arbeitnehmerdaten

Die Speicherung und Verarbeitung der Arbeitnehmer-, ebenso wie Kunden - Daten, müssen  nach Art. 5 DSGVO

  1. auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden(„Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
  2. für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; ...... („Zweckbindung“);
  3. dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
  4. sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
  5. in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“);
  6. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Der Arbeitgeber ist für die Einhaltung  und Überwachung verantwortlich, und muss die Einhaltung nachweisen können.

 

Dokumentations- / Verzeichnispflicht

Nach Art. 30 DSGVO  treffen den Arbeitgeber, genauer die Entscheidungsträger über Zweck und Mittel der verarbeiteten Daten soweit in ihrer Zuständigkeit , strenge  im einzelnen benannte Dokumentationspflichten.

 Jeder Verantwortliche, ebenso wie jeder Auftragsverarbeiter des Arbeitgebers, muss ein

  • Verzeichnis aller Verarbeitungstätigkeiten seines Zuständigkeitsbereiches führen.

Grundsätzlich soll die Verzeichnispflicht nur für für Unternehmen mit mehr als 250 Mitarbeitern gelten. ABER tatsächlich gilt sie für jeden Arbeitgeber - unabhängig von der Beschäftigtenzahl - weil dieser gem. Art. 30 V DSGVO

  • nicht nur gelegentlich Daten seiner Beschäftigten verarbeitet (z.B. Lohnbuchhaltung, Urlaubspläne),
  • besonders geschützte Datenkategorien i.S. von Art. 9 I DSGVO verarbeitet(z.B. Gesundheitsdaten bei Arbeitsunfähigkeit, Religion wg. Kirchensteuer),oder weil
  • die vorgenommene Verarbeitung besondere Risiken für die Rechte und Freiheiten der Beschäftigtenbirgt (z.B. Videoüberwachung, Kontrolle von e - mail Telefon oder Internet).

 

Frist / Inhalt Informationspflicht nach Art. 13 DSGVO

Soweit der Arbeitgeber ohne Einwilligung des Beschäftigten Daten speichern darf, treffen ihn nach Art. 13 DSGVO - bereits schon im Bewerbungsverfahren, i.d.R. erneut bei Abschluss des Arbeitsvertrags - besondere Informationspflichten.

Die Informationspflicht muss nach Art. 14 DSGVO

  • innerhalb einer angemessenen Frist - längstens nach 1 Monat- ,
  • spätestens zum Zeitpunkt einer ersten Mitteilung an einen Bewerber,

erfolgen

Spätestes aber zum Zeitpunkt der Erhebung von Arbeitnehmerdaten muss der Arbeitgeber dem Beschäftigten / Bewerber (!) bereits folgendes mitteilen:

  1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlagefür die Verarbeitung;
  4. wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Arbeitgebers erfolgt  (Art. 6 I 1 f DSGVO) beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Datenund
  6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

 

Zusätzlich muss der Arbeitgeber dem Beschäftigten  zum Zeitpunkt der Erhebung folgende weitere Informationen zur Verfügung stellen, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

  1. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  2. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Datensowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  3. wenndie Verarbeitung auf einer Einwilligung des Beschäftigten beruht (Art. 6 I a oder Art. 9 II a DSGVO)
    - das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen,
    - ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  4. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  5. ob die Bereitstellungder personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich istob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  6. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profilingnach Art. 22 I, IV DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

 

Beabsichtigt der Arbeitgeber - soweit er überhaupt nach der DSGO ohne Einwilligung des Beschäftigten berechtigt ist - später die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den diese ursprünglich erhoben wurden, so muss er dem Beschäftigten / Bewerber VOR dieser Weiterverarbeitung Informationen über diesen anderen "neuen" Zweck und alle anderen maßgeblichen Informationen wie oben "zusätzlich"  zur Verfügung stellen.

 

 Zulässige Datenverarbeitung -  ohne Einwilligung -

Nach § 26  BDSG n.F. ist die Erhebung, Verarbeitung, und Nutzung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn dies

  • für die Entscheidung über dieBegründung eines Arbeitsverhältnisses (im Bewerbungsverfahren),
  • für die Durchführungdes Arbeitsverhältnisses,
  • für die Beendigungdes Arbeitsverhältnisses,
  • oder zur Ausübung oder Erfüllung, der sich aus - Gesetz, - Tarifvertrag, - Betriebs- oder Dienstvereinbarung ergebenden Rechte und Pflichten

- erforderlich - ist.

 

Weitergehende Datenverarbeitung - nur mit Einwilligung -

Für alle "weitergehende" Datennutzung - und verarbeitung durch den Arbeitgeber ist die

  • "Einwilligungdes Beschäftigten für den jeweils konkreten Einzelfall" erforderlich.

Die Einwilligung des Beschäftigten ist nach Art. 6 I a DSGVO nur dann wirksam, wenn sie

  • freiwilligerfolgt,
  • eindeutig und unmisverständlichist,
  • für einen konkreten festgelegten Zweckabgegeben wird,
  • der Arbeitnehmer vor der Verarbeitung über den Zweck ausreichend informiertwird,
    und rein vorsorglich wohl auch der Arbeitnehmer - je nach besonderem Einzelfall oder auf seine nachfrage hin - auf die Folgen der Verweigerung der Einwilligung hingewiesen wird.

 

Die Einwilligung ist formgebunden. Sie ist grundsätzlich

  • schriftlich zu erteilen, soweit nicht ausnahmsweise die Umstände des Einzelfalls eine andere Form zulassen,
  • drucktechnisch besonders hervorzuheben, wenn mit der Einwilligung weitere Erklärungen erteilt werden,
  • sollte "besser nicht" in einer gemeinsamen Erklärung mit weiteren Beschäftigten, z.B. Unterschriftenliste, erteilt werden ("kein Gruppenzwang")

Der Arbeitnehmer wird tatsächlich in vielen Fällen über den Verarbeitungszweck nur dann hinreichend informiert sein, wenn der Arbeitgeber gem. Art.7, 35 VII DSGVO eine Datenschutz - Folgenabschätzung , vornimmt.

 

Fallbeispiele erforderliche Einwilligung des Arbeitnehmers / Sanktionen

Besondere Informationspflichten , sowie insbesondere auch eine – gesonderte - Einwilligung der Beschäftigtgen nach § 6 I DSGVO, können den Arbeitgeber insbesondere auch in folgenden Fallkonstalltionen treffen:

  • Videoüberwachung
  • Überwachung von PC, e - mail und Telekommunikationsverkehr
  • Bewerbungsverfahren

Einzelheiten sind im konkreten Einzelfall zu prüfen und abzuwägen.

 

Datenschutz - Folgenabschätzung

Eine Datenschutz - Folgenabschätzung ist nach Art. 35 I DSGVO  erforderlich , wenn eine Form der Verarbeitung bei

  • Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge

 Insbesondere liegt nach Art. 35 III DSGVO ein "Risikofall" nach Art. 35 I DSGVO mit notwendiger Datenschutz - Folgenabschätzung vor, bei

  1. systematischer und umfassende Bewertung persönlicher Aspektenatürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
  2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Datengemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder
  3. systematischer umfangreicher Überwachung öffentlich zugänglicher Bereiche.

Hierunter dürften auch fallen die Auswertung von Gesundheitsdaten- / Arbeitsunfähigkeitstagen bei beabsichtigten arbeitsrechtlichen Massnahmen wegen Arbeitsunfähigkeit, die Erhebung und Auswertung von Bewerberdaten im Bewerbungsverfahren sowie jegliche Überwachungsmassnahmen von Beschäftigten.

 

Eine Datenschutz - Folgeabschätzung erfordert

  1. eine systematische Beschreibung
    der beabsichtigten Verarbeitungsvorgänge,
    b. dem Zweck der Verarbeitung,
    c. der berechigten Interessen des Arbeitgebers
    ,
  2. eine Bewertung von Notwendigkeit und Verhältnismässigkeitder erarbeitungsvorgänge zum beabsichtigtem Zweck,
  3. eine Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen,
  4. die zur Bewältigung der Risiken beabsichtigten Abhilfemasnahmen, einschlieslich Garantien, Sicherheitsvorkehrungen und Verfahren durch die der Schutz personenbezogener Daten sicher gestellt wird, UND der Nachweis erbracht wird,dass die DSGVO eingehalten wird.

Die Datenschutzfolgenabschätzung müssen, ebenso wie das Verfahrensverzeichnis für Dokumentationsvorgaben und die massnahmen der Datensicherheit in einem gesonderten Verfahrensverzeichnis dokumentiert werden.

Im einzelnen sollte die Datenschutzfolgenabschätzung nach  Art. 28 DSGVO in einem internen Datenschutzbericht  dokumentieren:

  • Erstellung und Pflege eines Verzeichnisses der geplanten und umgesetzten Verarbeitungpersonenbezogener Daten,
  • Bestimmung der Datenkategorien und ihrer Sensibilität,
  • Bestimmung des Zwecks der Datenverarbeitung,
  • Prüfung ob Weitergabe der Daten an Dritte vorgesehen ist, und wenn ja a. an wen, und b. zu welchem Zweck,
  • Prüfung  wer, zu welchem Zweck auf die Daten zugreifen kann,
  • Prüfung der geplanten Aufbewahrungsfrist,
  • Prüfung, ob die Daten wirklich erforderlichsind,
  • Bestimmung der erforderlichen Schutzmasnahmen.

Die Qualität und Einhaltung der dokumentierten Massnahme muss regelmässig in der Folgezeit von den Verantwortlichen überprüft werden.

 

Auskunftsrecht nach Art. 15 DSGVO

Der Beschäftigte hat Anspruch auf 

  • Auskunft (Art. 15 DSGVO),
  • Berichtigung (Art. 16 DSGVO) und
  • Löschung (Art. 17 DSGVO)seiner Daten.

 

Er hat Anspruch auf Auskunft

  • ob, und wenn ja,
  • welche

 Beschäftigtendaten verarbeitet werden.

Die Auskunft ist

  • "in angemessener Zeit, längstens innerhalb 1 Monats" entsprechend Art. 14 III DSGVO,

zu erteilen.

 Im einzelnen hat der  Beschäftigte nach Art. 15 I DSGVO

  • auf Antrag Anspruch auf Information über
  1. die Verarbeitungszwecke;
  2. die Kategorien personenbezogener Daten, die verarbeitet werden;
  3. die Empfänger oder Kategorien von Empfängerngegenüber denen die personenbezogenen Daten offengelegt worden sindoder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
  4. falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  5. das Bestehen eines Rechts auf Berichtigung oder Löschungder sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
  6. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  7. wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
  8. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profilinggemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

 

Der Arbeitgeber muss dem Beschäftigten

  • eine vollständige Kopie aller gespeicherten / verarbeiteten Daten,
  • in unveränderter Form- wie verarbeitet -
  • kostenlos(für die 1. Kopie, angemessene Kosten für Zweitkopien)
    so zur Verfügung stellen, dass dieser die Informationen,
  • mit einer allgemein üblichen  Software verarbeitet / gelesen werden kann.

Grundsätzlich wird vom Arbeitgeber danach die Übersendung einer pdf Datei zu allen verarbeiteten Daten zu verlangen sein.

Ändert sich der Datenbestand, hat der Arbeitnehmer erneut Anspruch auf Auskunft.

 

Der Arbeitgeber muss sicher stellen,

  • die Identitätdes Beschäftigten beim Auskunfsverlangen zu überprüfen,
  • nur dem BerechigtenBeschäftiggten, und nicht unberechtigten dritten, die Informationen / Kopien zu erteilen.

Hat der Arbeitgeber begründete Zweifel an der Identität des Antragstellers, kann er zusätzliche Informationen zur Bestätigung der Identität, zB  Personalausweis / Reisepass, anfordern.

 

Berichtigungsrecht nach Art. 16 DSGVO

Der Beschäftigte hat "unverzüglich" Anspruch auf

  • Berichtigung unrichtiger Tatsachen/nicht Meinungen und Bewertungen),
  • Vervollständigung unvollständiger Personendaten.

Die Berichtigung kann in Form einer berichtigenden Erklärung erfolgen. Der Berichtigungsanspruch kann gerade auch bei Bewerbungen erfoderlich sein wenn der Arbeitgebeber die Unterlagen in einer Bewerberdatenbank aufnimmt.

 

Löschungsrecht nach Art. 17 DSGVO

Der Arbeitgeber muss die Daten der Beschäftigten  "unverzüglich" löschen, wenn

  • personenbezogene Daten sind für die Zweckefür die sie erhoben oder auf sonstige Weise verarbeitet wurdennicht mehr notwendig, - also grundsätzlich bei Ende des Bewerbungsverfahrens / Beschäftigungsverhältnisses,
  • der Beschäftigte / Bewerber ihre (erforderliche) widerruft, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung,
  • die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitungein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein.
  • die personenbezogenen Daten wurden unrechtmäßig verarbeitet,
  • die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtungnach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt,

 es sein denn, es liegt kein Ausschlussgrund zur Löschung vor soweit die Verarbeitung erforderlich ist

  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
  • zur Erfüllung einer rechtlichen Verpflichtung, welcher der Verantwortliche unterliegt, oder
  • zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesseliegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

 

Widerspruchsrecht - Art 21 DSGVO

 - im Arbeitsrecht wohl irrelevant

Ernennung Datenschutzbeauftragter

Der Arbeitgeber muss einen betrieblichen Datenschutzbeauftragten nach § 38 I BDSG benennen, wenn

  • er in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, oder
  • Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung nach Art. 35DSGVO unterliegen, oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung bearbeitet.

 

Nach § 38 II BDSG i.V.m. § 6 BDSG

  • hat - nur - der "Pflicht - Datenschutzbeauftragte" besonderen Kündigungsschutz.

Eine Kündigung ist also nur aus "wichtigem Grund" ausserordentlich nach § 626 BGB zulässig. Der besondere Kündigungsschutz gilt auch für die Zeit von 1 Jahr nach Beendigung der Tätigkeit als Datenschutzbeauftragter.

 

Die Kontaktdaten des Datenschutzbeauftragten muss der Arbeitgeber nach Art. 37 III DSGVO

  • veröffentlichen,
  • der zuständigen Aufsichtsbehörde melden.

Kontaktdaten sind

  • Adresse
  • Telefon - Nummer
  • e - mail Adresse

 

Nicht zwingend nach Art. 37 VII DSGVO, aber anzuraten ist die Angabe des

  • Namen des Datenschutzbeauftragten.

 

Die arbeitsvertraglichen Aufgabenfelder des Datenschutzbeauftragten

  • dürfen keinen engen Bezug zur Verarbeitung von personenbezogen Daten haben
    = "kein Interessenkonflikt"

Deshalb dürften insbesondere folgende Beschäftigte diese Anforderungen nicht erfüllen:

  • Unternehmungsleitung
  • Leitung IT - Abteilung
  • Leitung Personal - abteilung
  • Leitung Rechts - abteilung
  • Beschäftigte Personal, IT oder Recht , soweit sie Datenverarbeitung bestimmen oder wesentlich beeinflussen

Der Arbeitgeber kann auch freiwillig einen Datenschutzbeauftragten benennen, wenn er hierzu nicht nach § 38 I BDSG verpflichtet ist.

  

Aufgaben Datenschutzbeauftragter

Der Datenschutzbeauftragte ist

  • weisungsfrei und unabhängig.

Die wichtigsten Aufgaben und Rechte des Datenschutzbeauftragten ergeben sich aus

  • 38 DSGVO "Stellung des Datenschutzbeauftragten" im Unternehmen,
  • 39 DSGVO "Aufgabenfelder im einzelnen".

 

Der Arbeitgeber muss den Datenschutzbeauftragten nach Art. 38 DSGVO

  • bei allen Fragen, die mit dem Schutz personenbezogener Daten zu tun haben, ordnungsgemäs und frühzeitig einbinden,
  • beiseiner Aufgabenerfüllung unterstützen, also
    Arbeitszeit, Räume, Mitarbeiter bereitstellen,
    Zugang zu allen personenbezogenen Daten und Verarbeitungen gewähren,
    Informationsmedien und Fortbildungsmöglichkeiten bereitstellen / anbieten

 

Zu den Aufgaben des Datenschutzbeauftragten nach Art. 39 DSGVO zählen insbesondere

  • Unterrichtung und Beratung, der
    Verantwortlichen,
    Beschäftigten, die Verarbeitungen durchführen,
  • Überwachungder Einhaltung der DSGVO einschliesslich
    - Zuweisung von Zuständigkeiten,
    - Überprüfung, Sensibilisierung und Schulung mit w befasster Mitarbeiter,
  • Beratung und Überwachung bei Datenschutzfolgenabschätzung,
  • Zusammenarbeit und Ansprechperson für Aufsichtsbehörde,
  • Ansprechpartner für Beschäftigte und Betroffenein allen Fragen zur Datenverarbeitung.

Der Arbeitgeber darf nicht ihm übertragenen Aufgaben auf den Datenschutzbeauftragten übertragen, und bleibt „allein“ verantwortlich für die Einführung und Überwachung aller aktuellen Datenschutzvorschriften.