Fachbeiträge & Kommentare zu Beschäftigtendatenschutz

Besteht ein Betriebsrat, kommt als Grundlage der Transkription eine Betriebsvereinbarung infrage.[1] Eine solche wäre wegen § 87 Abs. 1 Nr. 6 BetrVG ohnehin abzuschließen bzw. bestehende IT-Betriebsvereinbarungen entsprechend zu ergänzen. Hierin könnten beispielsweise bestimmte Gesprächsarten (etwa Projektmeetings/Dailys) pauschal für die Transkription zugelassen und für verb...mehr

Die Qualität und Verfügbarkeit von Transkriptionstools für Gespräche im Rahmen von Interviews oder Meetings nimmt stetig zu. Hiermit eröffnen sich auch für den HR-Bereich neue Möglichkeiten. Je nach Unternehmensbereich kann es dabei vor allem um die Steigerung von Transparenz und Rechtssicherheit, um schnellere Nachvollziehbarkeit, Überprüfbarkeit und bessere Analysierbarkei...mehr

Um die Freiwilligkeit gewährleisten und die Transkription auf die Einwilligung stützen zu können, müssen Unternehmen im Vorfeld bestimmte Maßnahmen treffen. Eine Einwilligung kann demnach insbesondere in den folgenden Fällen freiwillig sein[1]: wenn der Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil durch die Transkription hat. Ein rechtlicher Vorteil kann in der...mehr

Rechtsstreitigkeiten entstehen häufig auch rund um die Frage der Löschung von Daten der Arbeitnehmer auf Social-Media-Plattformen. Aus der Rechtsprechung geht dazu im Wesentlichen hervor, dass auf der Homepage veröffentlichte Daten des Arbeitnehmers (z. B. Name oder Fotos) umgehend zu löschen sind, wenn der Arbeitnehmer aus dem Unternehmen ausscheidet. Die Pflicht zur Löschun...mehr

Für die Entfernung von Abmahnungen aus der Personalakte gibt es keine gesetzliche Frist. Während des Bestehens des Arbeitsverhältnisses wird man bei leichten Pflichtverstößen eine Entfernungspflicht nach 3 Jahren annehmen können, wenn keine weiteren Verstöße hinzugekommen sind. Allerdings kann eine Abmahnung für eine spätere Interessenabwägung bei einer verhaltensbedingten K...mehr

Unklar ist, wie lange der Arbeitgeber die Unterlagen aufbewahren darf bzw. wann er die Daten spätestens zu löschen hat. Hierzu werden verschiedene Ansichten vertreten. Ausgangsüberlegung ist dabei, dass es dem Arbeitgeber zu gestatten ist, Unterlagen des Arbeitnehmers so lange aufzubewahren, bis er nicht mehr mit der Geltendmachung von Ansprüchen des Arbeitnehmers oder Dritt...mehr

Rz. 40 VG München, Urteil v. 22.9.2022, M 10 K 21.30727: Zum Sozialdatengeheimnis der Angaben eines unbegleiteten minderjährigen Flüchtlings zu seinen (§ 42a Abs. 1 Satz 1 SGB VIII) unterfallen dem Sozialgeheimnis; BVerfG, Urteil v. 15.12.1983, 1 BvR 209/83: Volkszählungsurteil (Mikrozensus) – Grundsätze des Datenschutzes; Saarländisches OLG, Beschluss v. 27.4.2015, 9 WF 13/15...mehr

Sogenannte RFID-Chips[1] können als Bestandteil von Hausausweisen, die Mitarbeiter bei sich führen müssen, oder zur Ortung von Dienstwagen eingesetzt werden und ermöglichen eine detaillierte Überwachung der Arbeitnehmer durch Standortbestimmung und ggf. weitere Angaben. Eine solche verdachtsunabhängige Dauerkontrolle ist aber nach § 26 Abs. 1 BDSG i. V. m. Art. 6, 9 DSGVO un...mehr

Nach der Gesetzesbegründung sollen Maßnahmen zur Verhinderung von Straftaten oder sonstigen Rechtsverstößen, die im Zusammenhang mit dem Arbeitsverhältnis stehen, nicht dem strengen Maßstab des § 26 Abs. 1 Satz 2 BDSG unterliegen, sondern nach den allgemeinen Regeln von § 26 Abs. 1 Satz 1 BDSG (sowie Art. 6 und 9 DSGVO) erfolgen.[1] Gerade für präventive Kontrollmaßnahmen de...mehr

Manche Unternehmen führen Datenabgleiche – sog. Datenscreenings oder Rasterungen – durch, um Korruptionsfälle aufzudecken. In der Vergangenheit wurden Datenscreens etwa auch zu Krankendaten von Mitarbeitern vorgenommen. Dies ist jedenfalls unzulässig, soweit die Daten dazu nicht mit Einwilligung der Arbeitnehmer erhoben werden.[1] Widersprüchliche Ansichten herrschen in der a...mehr

Hinsichtlich biometrischer Erkennungsverfahren – beispielsweise als Zugangskontrolle für besonders sensible Bereiche in Unternehmen – ist zu beachten, dass u. U. bereits die Erhebung unzulässig sein kann, wenn sie sich auf "besondere Kategorien personenbezogener Daten" bezieht. Die Verarbeitung von besonderen Kategorien personenbezogener Daten ist in § 26 Abs. 3 BDSG geregel...mehr

Bei der repressiven Kontrolle im Einzelfall sowie für die Implementierung von Revisionsprüfungen oder bei einer unternehmensinternen Investigation, die sich (auch) auf mögliche Straftaten wie z. B. Korruptionsdelikte und Vermögensdelikte im Unternehmen richtet, sind die Maßstäbe des § 26 Abs. 1 Satz 2 BDSG zu beachten. Für die Verarbeitung personenbezogener Daten im Arbeitsve...mehr

Überblick Die Kontrolle von Mitarbeitern ist für Unternehmen eine regelmäßig notwendige, jedoch auch heikle Angelegenheit, die zahlreiche Rechtsfragen aufwirft. Der Kontrollbefugnis des Arbeitgebers sind vom Gesetzgeber und der Rechtsprechung vielfältige Grenzen gesteckt. Zu beachten sind hierbei insbesondere die individuellen Rechte der Arbeitnehmer, Mitbestimmungsrechte de...mehr

Das Recht des Arbeitgebers, seine Mitarbeiter zu kontrollieren, ist grundsätzlich anerkannt. Es hat seine Grundlage einerseits in dem schutzwürdigen Interesse des Arbeitgebers zu prüfen, ob der Arbeitnehmer die vertraglichen Haupt- und Nebenpflichten ordnungsgemäß erfüllt. Andererseits auch in der Befugnis des Arbeitgebers, Angriffe auf seine rechtlich geschützten Güter und ...mehr

Für die Kontrolle von Dienstgesprächen findet das Bundesdatenschutzgesetz Anwendung.[1] Nach der ursprünglichen Konzeption des BDSG bedurfte die Überwachung stets einer Einwilligung oder eines sonstigen Erlaubnistatbestands. In der seit dem 25.5.2018 geltenden Fassung hat sich der Gesetzgeber entschlossen, die Frage der "Einwilligung" jeweils in den dazugehörigen Bereichen z...mehr

Eine wichtige Rechtsgrundlage für die Verarbeitung personenbezogener Daten stellt die Einwilligung dar. In Art. 7 DSGVO sind die Anforderungen an eine wirksame datenschutzrechtliche Einwilligung festgehalten. Eine Einwilligung kann nur dann wirksam erteilt werden, wenn der Betroffene in voller Kenntnis des Umfangs der geplanten Verarbeitung und freiwillig sein Einverständnis...mehr

Jeder Verantwortliche (früher "Verantwortliche Stelle") ist gemäß Art. 30 Abs. 1 DSGVO zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Dieses Verzeichnis ist der zentrale Bestandteil der Datenschutzdokumentation und listet alle Verarbeitungen von personenbezogenen Daten im Unternehmen auf. Das Verzeichnis muss dabei die folgenden Angaben enthalten...mehr

2.1 Problemdarstellung Spätestens wenn Beschäftigte es mit der privaten Nutzung der dienstlichen Arbeitsinstrumente wie Internet und E-Mail übertreiben, stellt sich für den Arbeitgeber die Frage, ob und in welchem Umfang eine Überwachung, Einsichtnahme und Beweissicherung des dienstlichen E-Mail-Accounts zulässig ist. Die Beantwortung der Frage nach der Zulässigkeit des Vorhab...mehr

Zusammenfassung Überblick Der Datenschutz für Beschäftigte hat in den vergangenen Jahren viele Diskussionen und "heiße Themen" erlebt. Hierzu zählen vor allem Fragen der Nutzung des dienstlichen E-Mail-Accounts für private Zwecke oder der Umgang mit den sogenannten sozialen Medien und Netzwerken im und für das Unternehmen. Die beiden hier behandelten Themen zum Einsatz von Soc...mehr

Nach § 26 Abs. 8 Satz 2 BDSG gelten Bewerber für ein Beschäftigungsverhältnis als "Beschäftigte". Folglich finden auch auf die Verarbeitung von personenbezogenen Daten von Bewerbern die Regelungen zum Beschäftigtendatenschutz Anwendung. Eine Verarbeitung von personenbezogenen Daten von Bewerbern ist nach § 26 Abs. 1 BDSG [1] dann zulässig, wenn diese für die Begründung, Durch...mehr

Spätestens wenn Beschäftigte es mit der privaten Nutzung der dienstlichen Arbeitsinstrumente wie Internet und E-Mail übertreiben, stellt sich für den Arbeitgeber die Frage, ob und in welchem Umfang eine Überwachung, Einsichtnahme und Beweissicherung des dienstlichen E-Mail-Accounts zulässig ist. Die Beantwortung der Frage nach der Zulässigkeit des Vorhabens hängt maßgeblich d...mehr

Kaum ein Unternehmen kommt heute noch ohne Social Media-Präsenz aus. Vielmehr sind Social Media-Seiten für viele Unternehmen ein wichtiger Faktor, um von ihrer Zielgruppe (Bewerber, Kunden) gefunden zu werden. Auch das Datenschutzrecht stellt an den Betrieb solcher Social Media-Präsenzen ("Fanpages", "Unternehmensprofile", "Businesspofile") Anforderungen. 1.4.1 Datenschutzrec...mehr

Bereits nach "alter" Rechtslage war unklar, ob der Arbeitgeber bei erlaubter oder geduldeter privater E-Mail-Nutzung als Telekommunikationsanbieter einzustufen ist, der dann an das Fernmeldegeheimnis gebunden ist. Die deutschen Datenschutzaufsichtsbehörden haben sich in der Vergangenheit (und zur alten Rechtslage nach § 88 TKG a. F.) eindeutig positioniert. In der "Orientier...mehr

Die Nutzung von sozialen Netzwerken inklusive des Knüpfens und Pflegens von (Geschäfts-)Kontakten ist für Millionen Deutsche und Milliarden Menschen weltweit zum Alltag geworden. Für viele sind solche Netzwerke ein wichtiger Bestandteil des sozialen Miteinanders in ihrem Leben. So verwundert es nicht, dass sich berufliche, private und auch geschäftliche Interessen hier berüh...mehr

Folgt man der Auffassung der Datenschutzkonferenz, ist der Arbeitgeber bei Ermöglichung der privaten Nutzung des dienstlichen E-Mail-Accounts ein "Anbieter von Telemedien", der sich an das Fernmeldegeheimnis zu halten hat. Das Fernmeldegeheimnis verbietet dem Arbeitgeber jegliche inhaltliche Überwachung, Überprüfung oder Einsichtnahme in den gesamten E-Mail-Verkehr, der über ...mehr

Bei der Durchführung von Marketing-Maßnahmen sind die gleichen Grundsätze zu beachten, die durch die DSGVO und das Wettbewerbsrecht vorgegeben werden. Insofern ergeben sich für die Werbetätigkeiten in sozialen Netzwerken keine Besonderheiten. Dabei ist allerdings zu beachten, dass sogenannte "Inbox-Werbung", also die Schaltung von Werbeeinblendungen in E-Mail-Postfächern, rec...mehr

Ist die Nutzung des dienstlichen E-Mail-Accounts im Unternehmen entweder ausdrücklich gestattet oder zumindest geduldet, gelten nicht nur die datenschutzrechtlichen Vorschriften, sondern nach ganz überwiegender Auffassung auch die Regelungen des Telekommunikations- und Telemedien-Datenschutzgesetzes (kurz: TTDSG). Leider ist die Frage, ob der Arbeitgeber bei erlaubter oder g...mehr

Haben sich die Kandidaten beim Unternehmen selbst beworben, stellt sich vielen Unternehmen die Frage, ob die geeigneten Kandidaten einem "Social Media Check", also einer Recherche der Profile, unterzogen werden dürfen. Lassen sich von den Kandidaten über eine einfache Suchanfrage personenbezogene Daten finden, so ist davon auszugehen, dass diese vom Betroffenen der "Öffentlic...mehr

Begibt sich ein Unternehmen auf die aktive Bewerbersuche in beruflich orientierten sozialen Netzwerken wie LinkedIn und Xing, so haben die Inhaber der abgefragten Profile logischerweise hiervon keine Kenntnis. Auch wenn die Bewerber teilweise einsehen können, welche Unternehmen bzw. Mitarbeiter das Profil eingesehen haben, wissen die potenziellen Kandidaten nicht, dass das U...mehr

Beim Betrieb der Fanpage oder eines Unternehmensprofils werden zwangsläufig personenbezogene Daten verarbeitet. Daher ist der Betreiber einer Fanpage nach Art. 13 DSGVO verpflichtet, die Nutzer in transparenter Art und Weise über die Verarbeitung der personenbezogenen Daten aufzuklären. Auch dies dürfte sich in der Praxis als schwer zu erfüllen darstellen, da dies eine vorher...mehr

Lange Zeit war in der Literatur umstritten, welche Rollen den Unternehmen beim Betrieb eines Unternehmensprofils oder einer Fanpage einerseits und den Anbietern sozialer Netzwerke andererseits zukommen. Spätestens mit der Entscheidung "Fashion-ID"[1] hat der Europäische Gerichtshof diese Frage beantwortet. In dem Urteil betont der EuGH, dass der Betreiber einer Website grunds...mehr

Damit nun der Arbeitgeber trotz erlaubter Privatnutzung des E-Mail-Accounts Einblick in die E-Mails seiner Mitarbeiter nehmen kann, kann von allen Beschäftigten eine Einwilligung eingeholt werden. Einwilligung der Mitarbeiter Mit Blick auf den Anwendungsbereich des Fernmeldegeheimnisses sollten grundsätzlich alle Mitarbeiter eine individuelle Einwilligung in die Kontrolle auch...mehr

Überblick Der Datenschutz für Beschäftigte hat in den vergangenen Jahren viele Diskussionen und "heiße Themen" erlebt. Hierzu zählen vor allem Fragen der Nutzung des dienstlichen E-Mail-Accounts für private Zwecke oder der Umgang mit den sogenannten sozialen Medien und Netzwerken im und für das Unternehmen. Die beiden hier behandelten Themen zum Einsatz von Social Media im Un...mehr

Die Nutzung der in sozialen Netzwerken vorhandenen Daten, um Bewerber zu bewerten, wird bereits von vielen Unternehmen genutzt. Hier ist es zu begrüßen, dass eine Tendenz festzustellen ist, den aus privaten Netzwerken wie Facebook gewonnenen Informationen nicht allzu viel Gewicht beizumessen, eben gerade weil sie aus dem privaten Umfeld der Bewerber stammen und deshalb für d...mehr

Mit der Bereitstellung einer Fanpage oder eines Unternehmensprofils übernehmen die Unternehmen als Betreiber die Rolle eines Anbieters von Telemedien nach § 2 Abs. 2 Nr. 1 TTDSG. Werden beim Besuch dieser Seite Informationen auf den Endgeräten der Endnutzer gespeichert oder aus diesen ausgelesen (wie dies z. B. bei der Verwendung von Cookies der Fall ist), bedarf dies nach §...mehr

Der Betrieb einer Fanpage oder eines Unternehmensprofils stellt für Unternehmen ein gewisses datenschutzrechtliches Risiko dar. Um den oben skizzierten Anforderungen gerecht zu werden, bedarf es der Unterstützung durch den Anbieter des jeweiligen sozialen Netzwerks. Die Datenschutzkonferenz geht in ihrem "Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von F...mehr

Ist die private Nutzung des dienstlichen E-Mail-Accounts durch das Unternehmen verboten und wird die Einhaltung des Verbots stichprobenartig kontrolliert, finden die Vorschriften des TTDSG und damit das Fernmeldegeheimnis keine Anwendung. Folglich sind bei der Überwachung und Kontrolle "nur" die datenschutzrechtlichen Vorschriften einzuhalten. Dabei ist insbesondere dem in § ...mehr

Im Folgenden sollen Hinweise und Anregungen gegeben werden, um für das Unternehmen passende Social Media-Guidelines zu erstellen, die für eine ausgewogene Nutzung von sozialen Netzwerken und kommunikativen Online-Medien sorgen. Die folgenden Punkte und Überlegungen sollten berücksichtigt werden: Bedeutung von Social Media: Folgende Fragen sollten Sie klären: Wie wichtig ist "S...mehr

Selbst eine anonym durchgeführte Befragung lässt möglicherweise Rückschlüsse auf den Befragten zu. Da Belegschaftsbefragungen nur dann wirklich erfolgversprechend sind, wenn sich möglichst viele Mitarbeiter daran beteiligen, ist auch auf eine penible Beachtung des Datenschutzes zu achten. Dazu gehört die vollständige Anonymisierung der Fragebögen, die Sicherstellung des anonym...mehr

Rz. 22 Im Bewerbungsverfahren hat die Arbeitnehmerin ein Interesse, eine bestehende oder geplante Schwangerschaft nicht zu offenbaren, da sie andernfalls befürchten muss, wegen der Schwangerschaft die Stelle nicht zu erhalten. Umgekehrt mag der Arbeitgeber ein Interesse haben, niemanden einzustellen, der die Arbeit wegen schwanger- und mutterschaftsbedingter Ausfallzeiten im...mehr

Rz. 1 "Arbeitsrecht 4.0" symbolisiert ein Arbeitsrecht im Wandel. "Home-Office", "Mobile-Office", "Agile Working", "Scrum", "Desksharing", "Crowdwork" oder auch "Bring Your Own Device (BYOD)", schon diese Auswahl an Anglizismen lässt die Dynamik erkennen, mit der Globalisierung und Digitalisierung in die arbeitsrechtliche Vertragsgestaltung Einzug gehalten haben. Doch es wär...mehr

Im Zuge des Bewerbungsverfahrens erhobene Daten über den Bewerber (Personalfragebögen) stellen eine Datenerhebung i. S. des Art. 4 Nr. 1 und Nr. 2 DS-GVO, deren Vorgaben zu beachten sind.[1] Allerdings enthält die DSGVO keine spezifischen Regelungen zum Arbeitnehmerdatenschutz und insbesondere nicht zum Umgang mit Daten im Bewerbungsverfahren. Vielmehr ist über die Ermächtig...mehr

Der Arbeitgeber darf Bewerberdaten, die im Internet veröffentlicht sind, grundsätzlich unter Beachtung der Grenzen des § 26 BDSG und der DSGVO erheben. Teilweise wird Datenerhebung dann für zulässig erachtet, wenn dies unter Anwendung allgemein zugänglicher Suchmaschinen möglich ist.[1] Unter der Geltung von Art. 9 Abs. 2 DSGVO und dem BDSG kann zwar sowohl die Erhebung als ...mehr

Arbeitgeber greifen teilweise auch auf als in der Personal-Psychologie unvalide geltende[1] grafologische Gutachten zurück. Es ist umstritten, ob diese überhaupt einen verlässlichen Aussagewert beinhalten.[2] Solche Analysen der Handschrift können nach Meinung ihrer Verfechter Aufschluss über die gesamte Persönlichkeit eines Bewerbers geben, also auch über Eigenschaften, die...mehr

Arbeitszeugnisse sind immer weniger verlässliche Grundlagen für die Beurteilung der Eignung des Bewerbers. Häufig werden Zeugnisinhalte in arbeitsgerichtlichen Verfahren über die Beendigung des Arbeitsverhältnisses als Teil eines Vergleichs vereinbart und fallen dadurch ungerechtfertigt positiv aus. Auch formulieren viele Arbeitgeber Zeugnisse von vornherein sehr entgegenkom...mehr

Die letztlich sicherste Methode, Datenverarbeitungen auf der Grundlage von Betriebsvereinbarungen an die DSGVO anzupassen wäre es, sämtliche im Betrieb abgeschlossenen und noch abzuschließenden Betriebsvereinbarungen an den Vorgaben des neuen Beschäftigtendatenschutzes auszurichten. In der Praxis wird es allerdings nur den allerwenigsten Unternehmen tatsächlich und lückenlos...mehr

Seit dem 25.5.2018 werden die Regelungen zum Beschäftigtendatenschutz maßgeblich durch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) bestimmt. Nach Art. 12 ff. DSGVO ist der Arbeitgeber verpflichtet, die Beschäftigten umfassend über die Datenerhebung und -verarbeitung zu informieren. Ziel der umfassenden Informationspflichten ist es, eine tra...mehr

Zusammenfassung Überblick Der Beitrag liefert einen Überblick zum Mitarbeiterdatenschutz im Zusammenhang mit Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums ("EWR"). Hierbei werden die Vorgaben der Europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) berücksichtigt sowie die Regelungen des Bundesdatenschutzgesetzes. ...mehr

Überblick Der Beitrag liefert einen Überblick zum Mitarbeiterdatenschutz im Zusammenhang mit Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums ("EWR"). Hierbei werden die Vorgaben der Europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) berücksichtigt sowie die Regelungen des Bundesdatenschutzgesetzes. Eingegangen wir...mehr

7.1 Prüfung bestehender Übermittlungen Arbeitgeber sollten zunächst die Gelegenheit nutzen und internationale Datenübermittlungen ihrer Organisation in weiterem Sinne unter die Lupe nehmen. Ein korrektes und aktuelles Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ist bei dieser Betrachtung von großer Wichtigkeit. Anschließend sollte ermittelt werden, welche R...mehr