Fachbeiträge & Kommentare zu Beschäftigtendatenschutz

Gesetzestitel: Entschließung des Bundesrats zur Modernisierung der betrieblichen Mitbestimmung Stand im Gesetzgebungsverfahrenmehr

Unklar ist, wie lange der Arbeitgeber die Unterlagen aufbewahren darf bzw. wann er die Daten spätestens zu löschen hat. Hierzu werden verschiedene Ansichten vertreten. Ausgangsüberlegung ist dabei, dass es dem Arbeitgeber zu gestatten ist, Unterlagen des Arbeitnehmers so lange aufzubewahren, bis er nicht mehr mit der Geltendmachung von Ansprüchen des Arbeitnehmers oder Dritt...mehr

Der Schutz personenbezogener Daten ist ein wesentliches Element bei der Implementierung digitaler Prozesse. Die Einführung und Nutzung digitaler Technologien wird in aller Regel die Verarbeitung personenbezogener Daten[1] umfassen. Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten richtet sich nach der DSGVO und dem BDSG. Nach Art. 88 Abs. 1 DSGVO ist eine na...mehr

Die Einwilligung kann als eigenständige Rechtsgrundlage für die Verarbeitung von Mitarbeiterdaten herangezogen werden. Die Einwilligung muss frei, spezifisch und unmissverständlich erteilt werden.[1] In einem Beschäftigungsverhältnis kann die Einwilligung eines Mitarbeiters aufgrund des Machtverhältnisses zwischen Arbeitnehmer und Arbeitgeber in der Regel nicht als freiwilli...mehr

Rz. 22 Im Bewerbungsverfahren hat die Arbeitnehmerin ein Interesse, eine bestehende oder geplante Schwangerschaft nicht zu offenbaren, da sie andernfalls befürchten muss, wegen der Schwangerschaft die Stelle nicht zu erhalten. Umgekehrt mag der Arbeitgeber ein Interesse haben, niemanden einzustellen, der die Arbeit wegen schwanger- und mutterschaftsbedingter Ausfallzeiten im...mehr

Der Arbeitgeber darf Bewerberdaten, die im Internet veröffentlicht sind, in den Grenzen des § 26 BDSG und der DSGVO erheben. Teilweise wird eine Datenerhebung dann für zulässig erachtet, wenn diese unter Anwendung allgemein zugänglicher Suchmaschinen möglich ist.[1] Unter der Geltung des Art. 9 Abs. 2 DSGVO und dem BDSG kann zwar sowohl die Erhebung als auch die Verarbeitung...mehr

Arbeitgeber greifen teilweise auch auf als in der Personal-Psychologie unvalide geltende[1] grafologische Gutachten zurück. Es ist umstritten, ob diese überhaupt einen verlässlichen Aussagewert beinhalten.[2] Solche Analysen der Handschrift können nach Meinung ihrer Verfechter Aufschluss über die gesamte Persönlichkeit eines Bewerbers geben, also auch über Eigenschaften, die...mehr

Im Zuge des Bewerbungsverfahrens erhobene Daten über den Bewerber (Personalfragebögen) stellen eine Datenerhebung i. S. d. Art. 4 Nr. 1 und Nr. 2 DSGVO dar, deren Vorgaben zu beachten sind.[1] Die DSGVO enthält keine spezifischen Regelungen zum Arbeitnehmerdatenschutz und insbesondere nicht zum Umgang mit Daten im Bewerbungsverfahren. Allerdings sind bestimmte Vorgaben der D...mehr

Für nicht-öffentliche Stellen gilt das BDSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (§ 1 Abs. 1 Satz 2 BDSG). Der Steuerberater bzw. die Steuerberatungsgesellschaft (alle Rechtsformen) gehört zu d...mehr

Ein gesondertes Beschäftigtendatenschutzgesetz ist trotz einiger Planungen bisher nicht existent. Zum Beschäftigtendatengesetz (BeschDG) liegt seit dem 8.10.2024 ein erster Referentenentwurf vom Bundesministerium für Arbeit und Soziales (BMAS) gemeinsam mit dem Bundesministerium des Innern und für Heimat (BMI) vor. Seit dem 25.5.2018 gilt die EU-Datenschutz-Grundverordnung (...mehr

Zu den öffentlich zugänglichen Räumen gehören alle Bereiche innerhalb oder außerhalb von Gebäuden, die nach dem erkennbaren Willen ihres Inhabers oder desjenigen, der an seiner Stelle das Hausrecht ausübt, von jedermann genutzt oder betreten werden können.[1] Die (offene) Videoüberwachung öffentlich zugänglicher Räume ist nur zulässig, soweit sie zur Wahrnehmung des Hausrech...mehr

Überblick Aufgrund des technischen Fortschritts und dem Einsatz von künstlicher Intelligenz sind die Möglichkeiten der Überwachung von Beschäftigten vielfältig und operativ oft einfach umzusetzen. Gleichzeitig stellen erhöhte Compliance Anforderungen an die IT-Sicherheit Arbeitgeber vor neue Herausforderungen, z. B. im Rahmen der NIS2-Richtlinie, die z. B. die Durchführung v...mehr

Bei der Nutzung des betrieblichen E-Mail-Postfachs, des Telefons oder des Internets ausschließlich zu betrieblichen Zwecken richtet sich die Erhebung, Verarbeitung und Nutzung von anfallenden personenbezogenen Daten nach der DSGVO und dem BDSG. Die Verarbeitung personenbezogener Daten erfordert, wie eingangs beschrieben, stets eine Rechtsgrundlage, also einer Einwilligung ode...mehr

2.1 Problemdarstellung Spätestens wenn Beschäftigte es mit der privaten Nutzung der dienstlichen Arbeitsinstrumente wie Internet und E-Mail übertreiben, stellt sich für den Arbeitgeber die Frage, ob und in welchem Umfang eine Überwachung, Einsichtnahme und Beweissicherung des dienstlichen E-Mail-Accounts zulässig ist. Die Beantwortung der Frage nach der Zulässigkeit des Vorhab...mehr

Zusammenfassung Überblick Der Datenschutz für Beschäftigte hat in den vergangenen Jahren viele Diskussionen und "heiße Themen" erlebt. Hierzu zählen vor allem Fragen der Nutzung des dienstlichen E-Mail-Accounts für private Zwecke oder der Umgang mit den sogenannten sozialen Medien und Netzwerken im und für das Unternehmen. Die beiden hier behandelten Themen zum Einsatz von Soc...mehr

Nach § 26 Abs. 8 Satz 2 BDSG gelten Bewerber für ein Beschäftigungsverhältnis als "Beschäftigte". Folglich finden auch auf die Verarbeitung von personenbezogenen Daten von Bewerbern die Regelungen zum Beschäftigtendatenschutz Anwendung. Eine Verarbeitung von personenbezogenen Daten von Bewerbern ist nach § 26 Abs. 1 BDSG [1] dann zulässig, wenn diese für die Begründung, Durch...mehr

Spätestens wenn Beschäftigte es mit der privaten Nutzung der dienstlichen Arbeitsinstrumente wie Internet und E-Mail übertreiben, stellt sich für den Arbeitgeber die Frage, ob und in welchem Umfang eine Überwachung, Einsichtnahme und Beweissicherung des dienstlichen E-Mail-Accounts zulässig ist. Die Beantwortung der Frage nach der Zulässigkeit des Vorhabens hängt maßgeblich d...mehr

Kaum ein Unternehmen kommt heute noch ohne Social Media-Präsenz aus. Vielmehr sind Social Media-Seiten für viele Unternehmen ein wichtiger Faktor, um von ihrer Zielgruppe (Bewerber, Kunden) gefunden zu werden. Auch das Datenschutzrecht stellt an den Betrieb solcher Social Media-Präsenzen ("Fanpages", "Unternehmensprofile", "Businesspofile") Anforderungen. 1.4.1 Datenschutzrec...mehr

Lange Zeit war in der Literatur umstritten, welche Rollen den Unternehmen beim Betrieb eines Unternehmensprofils oder einer Fanpage einerseits und den Anbietern sozialer Netzwerke andererseits zukommen. Spätestens mit der Entscheidung "Fashion-ID"[1] hat der Europäische Gerichtshof diese Frage beantwortet. In dem Urteil betont der EuGH, dass der Betreiber einer Website grunds...mehr

Mit der Bereitstellung einer Fanpage oder eines Unternehmensprofils übernehmen die Unternehmen als Betreiber die Rolle eines Anbieters von Telemedien nach § 2 Abs. 2 Nr. 1 TTDSG. Werden beim Besuch dieser Seite Informationen auf den Endgeräten der Endnutzer gespeichert oder aus diesen ausgelesen (wie dies z. B. bei der Verwendung von Cookies der Fall ist), bedarf dies nach §...mehr

Bereits nach "alter" Rechtslage war unklar, ob der Arbeitgeber bei erlaubter oder geduldeter privater E-Mail-Nutzung als Telekommunikationsanbieter einzustufen ist, der dann an das Fernmeldegeheimnis gebunden ist. Die deutschen Datenschutzaufsichtsbehörden haben sich in der Vergangenheit (und zur alten Rechtslage nach § 88 TKG a. F.) eindeutig positioniert. In der "Orientier...mehr

Die Nutzung der in sozialen Netzwerken vorhandenen Daten, um Bewerber zu bewerten, wird bereits von vielen Unternehmen genutzt. Hier ist es zu begrüßen, dass eine Tendenz festzustellen ist, den aus privaten Netzwerken wie Facebook gewonnenen Informationen nicht allzu viel Gewicht beizumessen, eben gerade weil sie aus dem privaten Umfeld der Bewerber stammen und deshalb für d...mehr

Haben sich die Kandidaten beim Unternehmen selbst beworben, stellt sich vielen Unternehmen die Frage, ob die geeigneten Kandidaten einem "Social Media Check", also einer Recherche der Profile, unterzogen werden dürfen. Lassen sich von den Kandidaten über eine einfache Suchanfrage personenbezogene Daten finden, so ist davon auszugehen, dass diese vom Betroffenen der "Öffentlic...mehr

Die Nutzung von sozialen Netzwerken inklusive des Knüpfens und Pflegens von (Geschäfts-)Kontakten ist für Millionen Deutsche und Milliarden Menschen weltweit zum Alltag geworden. Für viele sind solche Netzwerke ein wichtiger Bestandteil des sozialen Miteinanders in ihrem Leben. So verwundert es nicht, dass sich berufliche, private und auch geschäftliche Interessen hier berüh...mehr

Der Betrieb einer Fanpage oder eines Unternehmensprofils stellt für Unternehmen ein gewisses datenschutzrechtliches Risiko dar. Um den oben skizzierten Anforderungen gerecht zu werden, bedarf es der Unterstützung durch den Anbieter des jeweiligen sozialen Netzwerks. Die Datenschutzkonferenz geht in ihrem "Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von F...mehr

Überblick Der Datenschutz für Beschäftigte hat in den vergangenen Jahren viele Diskussionen und "heiße Themen" erlebt. Hierzu zählen vor allem Fragen der Nutzung des dienstlichen E-Mail-Accounts für private Zwecke oder der Umgang mit den sogenannten sozialen Medien und Netzwerken im und für das Unternehmen. Die beiden hier behandelten Themen zum Einsatz von Social Media im Un...mehr

Ist die private Nutzung des dienstlichen E-Mail-Accounts durch das Unternehmen verboten und wird die Einhaltung des Verbots stichprobenartig kontrolliert, finden die Vorschriften des TTDSG und damit das Fernmeldegeheimnis keine Anwendung. Folglich sind bei der Überwachung und Kontrolle "nur" die datenschutzrechtlichen Vorschriften einzuhalten. Dabei ist insbesondere dem in § ...mehr

Damit nun der Arbeitgeber trotz erlaubter Privatnutzung des E-Mail-Accounts Einblick in die E-Mails seiner Mitarbeiter nehmen kann, kann von allen Beschäftigten eine Einwilligung eingeholt werden. Einwilligung der Mitarbeiter Mit Blick auf den Anwendungsbereich des Fernmeldegeheimnisses sollten grundsätzlich alle Mitarbeiter eine individuelle Einwilligung in die Kontrolle auch...mehr

Ist die Nutzung des dienstlichen E-Mail-Accounts im Unternehmen entweder ausdrücklich gestattet oder zumindest geduldet, gelten nicht nur die datenschutzrechtlichen Vorschriften, sondern nach ganz überwiegender Auffassung auch die Regelungen des Telekommunikations- und Telemedien-Datenschutzgesetzes (kurz: TTDSG). Leider ist die Frage, ob der Arbeitgeber bei erlaubter oder g...mehr

Folgt man der Auffassung der Datenschutzkonferenz, ist der Arbeitgeber bei Ermöglichung der privaten Nutzung des dienstlichen E-Mail-Accounts ein "Anbieter von Telemedien", der sich an das Fernmeldegeheimnis zu halten hat. Das Fernmeldegeheimnis verbietet dem Arbeitgeber jegliche inhaltliche Überwachung, Überprüfung oder Einsichtnahme in den gesamten E-Mail-Verkehr, der über ...mehr

Bei der Durchführung von Marketing-Maßnahmen sind die gleichen Grundsätze zu beachten, die durch die DSGVO und das Wettbewerbsrecht vorgegeben werden. Insofern ergeben sich für die Werbetätigkeiten in sozialen Netzwerken keine Besonderheiten. Dabei ist allerdings zu beachten, dass sogenannte "Inbox-Werbung", also die Schaltung von Werbeeinblendungen in E-Mail-Postfächern, rec...mehr

Begibt sich ein Unternehmen auf die aktive Bewerbersuche in beruflich orientierten sozialen Netzwerken wie LinkedIn und Xing, so haben die Inhaber der abgefragten Profile logischerweise hiervon keine Kenntnis. Auch wenn die Bewerber teilweise einsehen können, welche Unternehmen bzw. Mitarbeiter das Profil eingesehen haben, wissen die potenziellen Kandidaten nicht, dass das U...mehr

Beim Betrieb der Fanpage oder eines Unternehmensprofils werden zwangsläufig personenbezogene Daten verarbeitet. Daher ist der Betreiber einer Fanpage nach Art. 13 DSGVO verpflichtet, die Nutzer in transparenter Art und Weise über die Verarbeitung der personenbezogenen Daten aufzuklären. Auch dies dürfte sich in der Praxis als schwer zu erfüllen darstellen, da dies eine vorher...mehr

Im Folgenden sollen Hinweise und Anregungen gegeben werden, um für das Unternehmen passende Social Media-Guidelines zu erstellen, die für eine ausgewogene Nutzung von sozialen Netzwerken und kommunikativen Online-Medien sorgen. Die folgenden Punkte und Überlegungen sollten berücksichtigt werden: Bedeutung von Social Media: Folgende Fragen sollten Sie klären: Wie wichtig ist "S...mehr

Die Bestimmungen des BDSG über die Anforderungen an eine zulässige Datenverarbeitung konkretisieren und aktualisieren den Schutz des Rechts auf informationelle Selbstbestimmung.[1] Rechtsgrundlagen DSGVO und BDSG Das Bundesdatenschutzgesetz wurde zum 25.5.2018 sowie zum 26.11.2019[2] den Vorgaben der DSGVO entsprechend novelliert.[3] Das BDSG regelt in erster Linie die automat...mehr

Mit der DSGVO [1] hat der europäische Gesetzgeber erstmals eine unmittelbar zwingende, europaweit einheitliche gesetzliche Regelung zum Datenschutz mit dem Ziel weitgehender Harmonisierung geschaffen. Dabei steht die Verordnung gemäß Art. 1 Abs. 1 DSGVO im Spannungsfeld von freiem Datenverkehr im Europäischen Binnenmarkt und dem persönlichen Datenschutz für den einzelnen EU-B...mehr

Überblick Im Rahmen des Beschäftigungsverhältnisses werden durch den Arbeitgeber zahlreiche personenbezogene Daten von Beschäftigten verarbeitet. Eine herausragende Rolle im Rahmen des Beschäftigtendatenschutzes spielt die Personalakte, in der regelmäßig alle Informationen über einen Mitarbeiter erhoben und verarbeitet werden. Bei der Führung der Personalakte sind umfangreic...mehr

Da der Arbeitgeber über seine Angestellten Leistungsdaten wie z. B. Leistungsbeurteilungen oder Urteile zur sachlichen Befähigung verfassen und speichern darf, ist der Grundsatz der Richtigkeit der Akte nicht ganz einfach umzusetzen. Der Grundsatz der Richtigkeit bezieht sich sowohl auf Tatsachenbehauptungen, sowie auf wertende Aussagen. Es muss bei der Speicherung von Leist...mehr

In der Praxis werden Unternehmen die Umsetzung der digitalen Personalakte häufig nicht selbst vornehmen, sondern vielmehr auf Softwareprodukte von Drittanbietern zurückgreifen. Bei der Auswahl eines passenden Anbieters gilt es eine Reihe von Punkten zu berücksichtigen: So sollte zunächst sichergestellt werden, dass der Anbieter adäquate Mechanismen zum Umgang mit Anfragen von...mehr

Begriff Die aktuellen Entwicklungen auf dem Gebiet des Personalmanagements, der Arbeitsorganisation und der Informationstechnologie am Arbeitsplatz haben die Erfassung personenbezogener Daten von Mitarbeitern verstärkt und ausgeweitet. Dieses Interesse richtet sich immer öfter auf die sog. "besonderen Kategorien personenbezogener Daten" (Art. 9 Abs. 1 DSGVO), bei denen es si...mehr

Wearables sind tragbare Computersysteme, die während ihres Betriebs am Körper getragen werden. Wichtigster Unterschied gegenüber anderen mobilen Computersystemen, wie etwa Smartphones, ist dabei der Zweck. Bei Wearables ist nicht die Nutzung des Computersystems als solches die hauptsächliche Tätigkeit, sondern irgendeine Tätigkeit in der realen Welt, die von dem am Körper ge...mehr

Der Beschäftigtendatenschutz ist durch Art. 88 Abs. 1 DSGVO i. V. m. § 26 BDSG geregelt. Inhaltlich deckt sich § 26 BDSG mit § 32 BDSG a. F. weitestgehend, sodass die bisher bestehenden Grundsätze auch in Zukunft Geltung behalten werden. 1.2.1 Definition des Beschäftigten Der Begriff des "Beschäftigten" ist gesetzlich in § 26 Abs. 8 BDSG definiert. Zu den Beschäftigten im Sinn...mehr

Überblick Der Beitrag liefert einen Überblick zum Mitarbeiterdatenschutz im Zusammenhang mit Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums ("EWR"). Hierbei werden die Vorgaben der Europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) berücksichtigt sowie die Regelungen des Bundesdatenschutzgesetzes. Eingegangen wir...mehr

Zusammenfassung Überblick Der Beitrag liefert einen Überblick zum Mitarbeiterdatenschutz im Zusammenhang mit Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums ("EWR"). Hierbei werden die Vorgaben der Europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) berücksichtigt sowie die Regelungen des Bundesdatenschutzgesetzes. ...mehr

7.1 Prüfung bestehender Übermittlungen Arbeitgeber sollten zunächst die Gelegenheit nutzen und internationale Datenübermittlungen ihrer Organisation in weiterem Sinne unter die Lupe nehmen. Ein korrektes und aktuelles Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ist bei dieser Betrachtung von großer Wichtigkeit. Anschließend sollte ermittelt werden, welche R...mehr

Für zahlreiche Drittstaaten (z. B. China, Indien, Russland) besteht kein Angemessenheitsbeschluss der Europäischen Kommission. Aus diesem Grund stellen die Standarddatenschutzklauseln ("Standardvertragsklauseln") ein wichtiges Instrument für Verantwortliche dar, um personenbezogene Daten von Mitarbeitern rechtswirksam ins Ausland übermitteln zu können. 4.1 Hintergrund Bezüglic...mehr

Gemäß den Neuen Standardvertragsklauseln können Exporteure im Rahmen der Ausübung ihrer Prüfungsrechte gegenüber dem Importeur sämtliche beim Importeur vorhandenen Prüfzertifikate heranziehen. Praktische Auswirkungen Dies ist insbesondere für datenverarbeitende Importeure eine positive Entwicklung und wird sich vor allem dort auswirken, wo es sich bei dem datenverarbeitenden I...mehr

Die Neuen Standardvertragsklauseln konnten seit dem 27.6.2021 für den Schutz von Übermittlungen verwendet werden. Die bestehenden Standardvertragsklauseln behielten bis zum 27.9.2021 ihre Gültigkeit, sodass Verantwortliche in diesem Zeitraum bei neuen Vereinbarungen zwischen den verschiedenen Klauselwerken wählen konnten. Bis zum 27.12.2022 mussten Verantwortliche alle beste...mehr

Die Neuen Standardvertragsklauseln enthalten ähnliche Pflichten und Einschränkungen wie die bestehenden Standardvertragsklauseln. Allerdings regeln die Neuen Standardvertragsklauseln einige Anforderungen, die sich bisher nur aus der Rechtsprechung des EuGH ergeben haben, nunmehr ausdrücklich. Daraus ergeben sich einige Unterschiede. Die wichtigsten Änderungen werden nachfolg...mehr

Arbeitgeber sollten zunächst die Gelegenheit nutzen und internationale Datenübermittlungen ihrer Organisation in weiterem Sinne unter die Lupe nehmen. Ein korrektes und aktuelles Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ist bei dieser Betrachtung von großer Wichtigkeit. Anschließend sollte ermittelt werden, welche Rechtsgrundlagen für die Datenübermittl...mehr