Fachbeiträge & Kommentare zu Beschäftigtendatenschutz

Für nicht-öffentliche Stellen gilt das BDSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (§ 1 Abs. 1 Satz 2 BDSG). Der Steuerberater bzw. die Steuerberatungsgesellschaft (alle Rechtsformen) gehört zu d...mehr

Ein gesondertes Beschäftigtendatenschutzgesetz ist trotz einiger Planungen bisher nicht existent. Zum Beschäftigtendatengesetz (BeschDG) liegt seit dem 8.10.2024 ein erster Referentenentwurf vom Bundesministerium für Arbeit und Soziales (BMAS) gemeinsam mit dem Bundesministerium des Innern und für Heimat (BMI) vor. Seit dem 25.5.2018 gilt die EU-Datenschutz-Grundverordnung (...mehr

Nach § 26 Abs. 8 Satz 2 BDSG gelten Bewerber für ein Beschäftigungsverhältnis als "Beschäftigte". Folglich finden auch auf die Verarbeitung von personenbezogenen Daten von Bewerbern die Regelungen zum Beschäftigtendatenschutz Anwendung. Eine Verarbeitung von personenbezogenen Daten von Bewerbern ist nach § 26 Abs. 1 BDSG [1] dann zulässig, wenn diese für die Begründung, Durch...mehr

Zusammenfassung Überblick Der Datenschutz für Beschäftigte hat in den vergangenen Jahren viele Diskussionen und "heiße Themen" erlebt. Hierzu zählen vor allem Fragen der Nutzung des dienstlichen E-Mail-Accounts für private Zwecke oder der Umgang mit den sogenannten sozialen Medien und Netzwerken im und für das Unternehmen. Die beiden hier behandelten Themen zum Einsatz von Soc...mehr

Kaum ein Unternehmen kommt heute noch ohne Social Media-Präsenz aus. Vielmehr sind Social Media-Seiten für viele Unternehmen ein wichtiger Faktor, um von ihrer Zielgruppe (Bewerber, Kunden) gefunden zu werden. Auch das Datenschutzrecht stellt an den Betrieb solcher Social Media-Präsenzen ("Fanpages", "Unternehmensprofile", "Businesspofile") Anforderungen. 1.4.1 Datenschutzrec...mehr

Spätestens wenn Beschäftigte es mit der privaten Nutzung der dienstlichen Arbeitsinstrumente wie Internet und E-Mail übertreiben, stellt sich für den Arbeitgeber die Frage, ob und in welchem Umfang eine Überwachung, Einsichtnahme und Beweissicherung des dienstlichen E-Mail-Accounts zulässig ist. Die Beantwortung der Frage nach der Zulässigkeit des Vorhabens hängt maßgeblich d...mehr

Mit der Bereitstellung einer Fanpage oder eines Unternehmensprofils übernehmen die Unternehmen als Betreiber die Rolle eines Anbieters von Telemedien nach § 2 Abs. 2 Nr. 1 TTDSG. Werden beim Besuch dieser Seite Informationen auf den Endgeräten der Endnutzer gespeichert oder aus diesen ausgelesen (wie dies z. B. bei der Verwendung von Cookies der Fall ist), bedarf dies nach §...mehr

Bei der Durchführung von Marketing-Maßnahmen sind die gleichen Grundsätze zu beachten, die durch die DSGVO und das Wettbewerbsrecht vorgegeben werden. Insofern ergeben sich für die Werbetätigkeiten in sozialen Netzwerken keine Besonderheiten. Dabei ist allerdings zu beachten, dass sogenannte "Inbox-Werbung", also die Schaltung von Werbeeinblendungen in E-Mail-Postfächern, rec...mehr

Lange Zeit war in der Literatur umstritten, welche Rollen den Unternehmen beim Betrieb eines Unternehmensprofils oder einer Fanpage einerseits und den Anbietern sozialer Netzwerke andererseits zukommen. Spätestens mit der Entscheidung "Fashion-ID"[1] hat der Europäische Gerichtshof diese Frage beantwortet. In dem Urteil betont der EuGH, dass der Betreiber einer Website grunds...mehr

Der Betrieb einer Fanpage oder eines Unternehmensprofils stellt für Unternehmen ein gewisses datenschutzrechtliches Risiko dar. Um den oben skizzierten Anforderungen gerecht zu werden, bedarf es der Unterstützung durch den Anbieter des jeweiligen sozialen Netzwerks. Die Datenschutzkonferenz geht in ihrem "Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von F...mehr

Bereits nach "alter" Rechtslage war unklar, ob der Arbeitgeber bei erlaubter oder geduldeter privater E-Mail-Nutzung als Telekommunikationsanbieter einzustufen ist, der dann an das Fernmeldegeheimnis gebunden ist. Die deutschen Datenschutzaufsichtsbehörden haben sich in der Vergangenheit (und zur alten Rechtslage nach § 88 TKG a. F.) eindeutig positioniert. In der "Orientier...mehr

Ist die private Nutzung des dienstlichen E-Mail-Accounts durch das Unternehmen verboten und wird die Einhaltung des Verbots stichprobenartig kontrolliert, finden die Vorschriften des TTDSG und damit das Fernmeldegeheimnis keine Anwendung. Folglich sind bei der Überwachung und Kontrolle "nur" die datenschutzrechtlichen Vorschriften einzuhalten. Dabei ist insbesondere dem in § ...mehr

Begibt sich ein Unternehmen auf die aktive Bewerbersuche in beruflich orientierten sozialen Netzwerken wie LinkedIn und Xing, so haben die Inhaber der abgefragten Profile logischerweise hiervon keine Kenntnis. Auch wenn die Bewerber teilweise einsehen können, welche Unternehmen bzw. Mitarbeiter das Profil eingesehen haben, wissen die potenziellen Kandidaten nicht, dass das U...mehr

Beim Betrieb der Fanpage oder eines Unternehmensprofils werden zwangsläufig personenbezogene Daten verarbeitet. Daher ist der Betreiber einer Fanpage nach Art. 13 DSGVO verpflichtet, die Nutzer in transparenter Art und Weise über die Verarbeitung der personenbezogenen Daten aufzuklären. Auch dies dürfte sich in der Praxis als schwer zu erfüllen darstellen, da dies eine vorher...mehr

Ist die Nutzung des dienstlichen E-Mail-Accounts im Unternehmen entweder ausdrücklich gestattet oder zumindest geduldet, gelten nicht nur die datenschutzrechtlichen Vorschriften, sondern nach ganz überwiegender Auffassung auch die Regelungen des Telekommunikations- und Telemedien-Datenschutzgesetzes (kurz: TTDSG). Leider ist die Frage, ob der Arbeitgeber bei erlaubter oder g...mehr

Folgt man der Auffassung der Datenschutzkonferenz, ist der Arbeitgeber bei Ermöglichung der privaten Nutzung des dienstlichen E-Mail-Accounts ein "Anbieter von Telemedien", der sich an das Fernmeldegeheimnis zu halten hat. Das Fernmeldegeheimnis verbietet dem Arbeitgeber jegliche inhaltliche Überwachung, Überprüfung oder Einsichtnahme in den gesamten E-Mail-Verkehr, der über ...mehr

Haben sich die Kandidaten beim Unternehmen selbst beworben, stellt sich vielen Unternehmen die Frage, ob die geeigneten Kandidaten einem "Social Media Check", also einer Recherche der Profile, unterzogen werden dürfen. Lassen sich von den Kandidaten über eine einfache Suchanfrage personenbezogene Daten finden, so ist davon auszugehen, dass diese vom Betroffenen der "Öffentlic...mehr

Die Nutzung von sozialen Netzwerken inklusive des Knüpfens und Pflegens von (Geschäfts-)Kontakten ist für Millionen Deutsche und Milliarden Menschen weltweit zum Alltag geworden. Für viele sind solche Netzwerke ein wichtiger Bestandteil des sozialen Miteinanders in ihrem Leben. So verwundert es nicht, dass sich berufliche, private und auch geschäftliche Interessen hier berüh...mehr

Die Nutzung der in sozialen Netzwerken vorhandenen Daten, um Bewerber zu bewerten, wird bereits von vielen Unternehmen genutzt. Hier ist es zu begrüßen, dass eine Tendenz festzustellen ist, den aus privaten Netzwerken wie Facebook gewonnenen Informationen nicht allzu viel Gewicht beizumessen, eben gerade weil sie aus dem privaten Umfeld der Bewerber stammen und deshalb für d...mehr

Damit nun der Arbeitgeber trotz erlaubter Privatnutzung des E-Mail-Accounts Einblick in die E-Mails seiner Mitarbeiter nehmen kann, kann von allen Beschäftigten eine Einwilligung eingeholt werden. Einwilligung der Mitarbeiter Mit Blick auf den Anwendungsbereich des Fernmeldegeheimnisses sollten grundsätzlich alle Mitarbeiter eine individuelle Einwilligung in die Kontrolle auch...mehr

Überblick Der Datenschutz für Beschäftigte hat in den vergangenen Jahren viele Diskussionen und "heiße Themen" erlebt. Hierzu zählen vor allem Fragen der Nutzung des dienstlichen E-Mail-Accounts für private Zwecke oder der Umgang mit den sogenannten sozialen Medien und Netzwerken im und für das Unternehmen. Die beiden hier behandelten Themen zum Einsatz von Social Media im Un...mehr

Im Folgenden sollen Hinweise und Anregungen gegeben werden, um für das Unternehmen passende Social Media-Guidelines zu erstellen, die für eine ausgewogene Nutzung von sozialen Netzwerken und kommunikativen Online-Medien sorgen. Die folgenden Punkte und Überlegungen sollten berücksichtigt werden: Bedeutung von Social Media: Folgende Fragen sollten Sie klären: Wie wichtig ist "S...mehr

Die Bestimmungen des BDSG über die Anforderungen an eine zulässige Datenverarbeitung konkretisieren und aktualisieren den Schutz des Rechts auf informationelle Selbstbestimmung.[1] Rechtsgrundlagen DSGVO und BDSG Das Bundesdatenschutzgesetz wurde zum 25.5.2018 sowie zum 26.11.2019[2] den Vorgaben der DSGVO entsprechend novelliert.[3] Das BDSG regelt in erster Linie die automat...mehr

Mit der DSGVO [1] hat der europäische Gesetzgeber erstmals eine unmittelbar zwingende, europaweit einheitliche gesetzliche Regelung zum Datenschutz mit dem Ziel weitgehender Harmonisierung geschaffen. Dabei steht die Verordnung gemäß Art. 1 Abs. 1 DSGVO im Spannungsfeld von freiem Datenverkehr im Europäischen Binnenmarkt und dem persönlichen Datenschutz für den einzelnen EU-B...mehr

Überblick Im Rahmen des Beschäftigungsverhältnisses werden durch den Arbeitgeber zahlreiche personenbezogene Daten von Beschäftigten verarbeitet. Eine herausragende Rolle im Rahmen des Beschäftigtendatenschutzes spielt die Personalakte, in der regelmäßig alle Informationen über einen Mitarbeiter erhoben und verarbeitet werden. Bei der Führung der Personalakte sind umfangreic...mehr

Da der Arbeitgeber über seine Angestellten Leistungsdaten wie z. B. Leistungsbeurteilungen oder Urteile zur sachlichen Befähigung verfassen und speichern darf, ist der Grundsatz der Richtigkeit der Akte nicht ganz einfach umzusetzen. Der Grundsatz der Richtigkeit bezieht sich sowohl auf Tatsachenbehauptungen, sowie auf wertende Aussagen. Es muss bei der Speicherung von Leist...mehr

In der Praxis werden Unternehmen die Umsetzung der digitalen Personalakte häufig nicht selbst vornehmen, sondern vielmehr auf Softwareprodukte von Drittanbietern zurückgreifen. Bei der Auswahl eines passenden Anbieters gilt es eine Reihe von Punkten zu berücksichtigen: So sollte zunächst sichergestellt werden, dass der Anbieter adäquate Mechanismen zum Umgang mit Anfragen von...mehr

Begriff Die aktuellen Entwicklungen auf dem Gebiet des Personalmanagements, der Arbeitsorganisation und der Informationstechnologie am Arbeitsplatz haben die Erfassung personenbezogener Daten von Mitarbeitern verstärkt und ausgeweitet. Dieses Interesse richtet sich immer öfter auf die sog. "besonderen Kategorien personenbezogener Daten" (Art. 9 Abs. 1 DSGVO), bei denen es si...mehr

Wearables sind tragbare Computersysteme, die während ihres Betriebs am Körper getragen werden. Wichtigster Unterschied gegenüber anderen mobilen Computersystemen, wie etwa Smartphones, ist dabei der Zweck. Bei Wearables ist nicht die Nutzung des Computersystems als solches die hauptsächliche Tätigkeit, sondern irgendeine Tätigkeit in der realen Welt, die von dem am Körper ge...mehr

Der Beschäftigtendatenschutz ist durch Art. 88 Abs. 1 DSGVO i. V. m. § 26 BDSG geregelt. Inhaltlich deckt sich § 26 BDSG mit § 32 BDSG a. F. weitestgehend, sodass die bisher bestehenden Grundsätze auch in Zukunft Geltung behalten werden. 1.2.1 Definition des Beschäftigten Der Begriff des "Beschäftigten" ist gesetzlich in § 26 Abs. 8 BDSG definiert. Zu den Beschäftigten im Sinn...mehr

Zusammenfassung Überblick Der Beitrag liefert einen Überblick zum Mitarbeiterdatenschutz im Zusammenhang mit Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums ("EWR"). Hierbei werden die Vorgaben der Europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) berücksichtigt sowie die Regelungen des Bundesdatenschutzgesetzes. ...mehr

Überblick Der Beitrag liefert einen Überblick zum Mitarbeiterdatenschutz im Zusammenhang mit Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums ("EWR"). Hierbei werden die Vorgaben der Europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) berücksichtigt sowie die Regelungen des Bundesdatenschutzgesetzes. Eingegangen wir...mehr

7.1 Prüfung bestehender Übermittlungen Arbeitgeber sollten zunächst die Gelegenheit nutzen und internationale Datenübermittlungen ihrer Organisation in weiterem Sinne unter die Lupe nehmen. Ein korrektes und aktuelles Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ist bei dieser Betrachtung von großer Wichtigkeit. Anschließend sollte ermittelt werden, welche R...mehr

Die Neuen Standardvertragsklauseln konnten seit dem 27.6.2021 für den Schutz von Übermittlungen verwendet werden. Die bestehenden Standardvertragsklauseln behielten bis zum 27.9.2021 ihre Gültigkeit, sodass Verantwortliche in diesem Zeitraum bei neuen Vereinbarungen zwischen den verschiedenen Klauselwerken wählen konnten. Bis zum 27.12.2022 mussten Verantwortliche alle beste...mehr

Die Neuen Standardvertragsklauseln enthalten ähnliche Pflichten und Einschränkungen wie die bestehenden Standardvertragsklauseln. Allerdings regeln die Neuen Standardvertragsklauseln einige Anforderungen, die sich bisher nur aus der Rechtsprechung des EuGH ergeben haben, nunmehr ausdrücklich. Daraus ergeben sich einige Unterschiede. Die wichtigsten Änderungen werden nachfolg...mehr

Für zahlreiche Drittstaaten (z. B. China, Indien, Russland) besteht kein Angemessenheitsbeschluss der Europäischen Kommission. Aus diesem Grund stellen die Standarddatenschutzklauseln ("Standardvertragsklauseln") ein wichtiges Instrument für Verantwortliche dar, um personenbezogene Daten von Mitarbeitern rechtswirksam ins Ausland übermitteln zu können. 4.1 Hintergrund Bezüglic...mehr

Gemäß den Neuen Standardvertragsklauseln können Exporteure im Rahmen der Ausübung ihrer Prüfungsrechte gegenüber dem Importeur sämtliche beim Importeur vorhandenen Prüfzertifikate heranziehen. Praktische Auswirkungen Dies ist insbesondere für datenverarbeitende Importeure eine positive Entwicklung und wird sich vor allem dort auswirken, wo es sich bei dem datenverarbeitenden I...mehr

Auf der Grundlage der Privacy-Shield-Übereinkunft zwischen der EU und den USA hatte die EU-Kommission 2016 in einem Durchführungsbeschluss festgestellt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten und eine Datenübermittlung demnach nach Art. 45 DSGVO zulässig ist. Der EuGH[1] hat diesen Durchführungsbeschluss zum Privacy Shield für unw...mehr

Eine Übermittlung personenbezogener Daten in das Vereinigte Königreich ist trotz des Brexits weiterhin ungehindert möglich, da die Europäische Kommission in Form eines Angemessenheitsbeschlusses im Juni 2021 festgestellt hat, dass das Datenschutzniveau im Vereinigten Königreich dem in der EU entspricht und aus diesem Grund keine Standardvertragsklauseln oder zusätzliche Date...mehr

Gemäß der DSGVO dürfen personenbezogene Daten von Mitarbeitern grundsätzlich nur dann an Drittländer übermittelt werden, wenn das durch die DSGVO gewährleistete Schutzniveau nicht untergraben wird. So sind Datenübermittlungen nur dann zulässig, wenn ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO vorliegt, der ein angemessenes Schutzniveau im Drit...mehr

Während die Neuen Standardvertragsklauseln zweifelsohne von herausragender Bedeutung für Verantwortliche sind, die personenbezogene Daten international übermitteln, dürfen sie nicht alleine für sich betrachtet werden. So sind ergänzend die Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für persone...mehr

Einfluss nationaler Rechtsvorschriften Sowohl Exporteure als auch Importeure müssen zukünftig versichern, dass sie keinen Grund zu der Annahme haben, dass die Rechtsvorschriften und Gepflogenheiten im Bestimmungsland, einschließlich Offenlegungs- und Überwachungsvorschriften, den Datenimporteur an der Erfüllung seiner Pflichten gemäß den Neuen Standardvertragsklauseln hindern...mehr

Die Ausnahmen des Art. 49 DSGVO haben für Arbeitgeber eine eher untergeordnete Rolle. Denn selbst wenn diese Spezialfälle zutreffen, sind die Ausnahmen eng auszulegen und dürfen entsprechend den Vorgaben des EDSA nicht als Rechtsgrundlage für regelmäßige Drittstaatentransfers von Daten einer Vielzahl von Personen herangezogen werden.[1]mehr

Ausgangsfall Anwendbarkeit bei Exporteuren mit Sitz außerhalb der EU und für Rückübermittlungen (Datenverarbeiter an Verantwortliche) Datenexporteure müssen nicht mehr in der EU ansässig sein, um die Neuen Standardvertragsklauseln anwenden zu können. Die Neuen Standardvertragsklauseln decken auch ein Szenario ab, in dem personenbezogene Daten von einem Exporteur mit Sitz auße...mehr

Die Neuen Standardvertragsklauseln sind klarer und präskriptiver (vorschreibender statt nur feststellend) im Hinblick auf die praktischen Sicherheitsmaßnahmen, die zu Compliance-Zwecken getroffen und in Annex II aufgeführt werden müssen. Praktische Auswirkungen Dies ist zwar eine positive Änderung für Organisationen, die sich mehr Klarheit in Bezug auf die zu treffenden Maßnah...mehr

Der Bayerische Landesbeauftragte für den Datenschutz hat eine Orientierungshilfe für internationale Datentransfers veröffentlicht, die ein mehrstufiges Prüfungsschema vorsieht, anhand dessen verantwortliche Arbeitgeber die Zulässigkeit ihrer Übermittlung von Mitarbeiterdaten in ein Drittland beurteilen können.[1] Hierbei wird zunächst gefragt, ob für das entsprechende Drittla...mehr

Arbeitgeber sollten zunächst die Gelegenheit nutzen und internationale Datenübermittlungen ihrer Organisation in weiterem Sinne unter die Lupe nehmen. Ein korrektes und aktuelles Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ist bei dieser Betrachtung von großer Wichtigkeit. Anschließend sollte ermittelt werden, welche Rechtsgrundlagen für die Datenübermittl...mehr

Verantwortliche müssen angesichts des Schrems II-Urteils anschließend prüfen, ob die gewählte Übermittlungsmethode ein wirksames Mittel darstellt, um ein "der Sache nach gleichwertiges" Schutzniveau für die personenbezogenen Daten im Bestimmungsland zu gewährleisten. So können die implementierten Klauseln und damit ein angemessenes Datenschutzniveau insbesondere dann untermi...mehr

Im Rahmen des Arbeitsverhältnisses erlangen die Regelungen der DSGVO und des BDSG regelmäßig hohe Bedeutung. Gerade angesichts von Mitarbeiterklagen nach erfolgter Kündigung oder der Kontrollbefugnisse des Betriebsrates stehen Arbeitgeber unter erheblichem Druck, die gesetzlichen Bestimmungen einzuhalten. Verstärkt wird dieser Druck durch die teils empfindlichen Geldstrafen,...mehr

Bezüglich der Standardvertragsklauseln hat der EuGH entschieden[1], dass diese grundsätzlich weiterhin genutzt werden können. Allerdings muss ergänzend sichergestellt sein, dass auch tatsächlich ein Schutzniveau für die personenbezogenen Daten vorliegt, das dem in der Europäischen Union entspricht. Insbesondere bei extensiven Zugriffsbefugnissen staatlicher Behörden im Dritt...mehr