Fachbeiträge & Kommentare zu Beschäftigtendatenschutz

Gemäß den Neuen Standardvertragsklauseln können Exporteure im Rahmen der Ausübung ihrer Prüfungsrechte gegenüber dem Importeur sämtliche beim Importeur vorhandenen Prüfzertifikate heranziehen. Praktische Auswirkungen Dies ist insbesondere für datenverarbeitende Importeure eine positive Entwicklung und wird sich vor allem dort auswirken, wo es sich bei dem datenverarbeitenden I...mehr

Die Neuen Standardvertragsklauseln enthalten ähnliche Pflichten und Einschränkungen wie die bestehenden Standardvertragsklauseln. Allerdings regeln die Neuen Standardvertragsklauseln einige Anforderungen, die sich bisher nur aus der Rechtsprechung des EuGH ergeben haben, nunmehr ausdrücklich. Daraus ergeben sich einige Unterschiede. Die wichtigsten Änderungen werden nachfolg...mehr

Für zahlreiche Drittstaaten (z. B. China, Indien, Russland) besteht kein Angemessenheitsbeschluss der Europäischen Kommission. Aus diesem Grund stellen die Standarddatenschutzklauseln ("Standardvertragsklauseln") ein wichtiges Instrument für Verantwortliche dar, um personenbezogene Daten von Mitarbeitern rechtswirksam ins Ausland übermitteln zu können. 4.1 Hintergrund Bezüglic...mehr

Die Neuen Standardvertragsklauseln konnten seit dem 27.6.2021 für den Schutz von Übermittlungen verwendet werden. Die bestehenden Standardvertragsklauseln behielten bis zum 27.9.2021 ihre Gültigkeit, sodass Verantwortliche in diesem Zeitraum bei neuen Vereinbarungen zwischen den verschiedenen Klauselwerken wählen konnten. Bis zum 27.12.2022 mussten Verantwortliche alle beste...mehr

Eine Übermittlung personenbezogener Daten in das Vereinigte Königreich ist trotz des Brexits weiterhin ungehindert möglich, da die Europäische Kommission in Form eines Angemessenheitsbeschlusses im Juni 2021 festgestellt hat, dass das Datenschutzniveau im Vereinigten Königreich dem in der EU entspricht und aus diesem Grund keine Standardvertragsklauseln oder zusätzliche Date...mehr

Bezüglich der Standardvertragsklauseln hat der EuGH entschieden[1], dass diese grundsätzlich weiterhin genutzt werden können. Allerdings muss ergänzend sichergestellt sein, dass auch tatsächlich ein Schutzniveau für die personenbezogenen Daten vorliegt, das dem in der Europäischen Union entspricht. Insbesondere bei extensiven Zugriffsbefugnissen staatlicher Behörden im Dritt...mehr

Gemäß der DSGVO dürfen personenbezogene Daten von Mitarbeitern grundsätzlich nur dann an Drittländer übermittelt werden, wenn das durch die DSGVO gewährleistete Schutzniveau nicht untergraben wird. So sind Datenübermittlungen nur dann zulässig, wenn ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO vorliegt, der ein angemessenes Schutzniveau im Drit...mehr

Während die Neuen Standardvertragsklauseln zweifelsohne von herausragender Bedeutung für Verantwortliche sind, die personenbezogene Daten international übermitteln, dürfen sie nicht alleine für sich betrachtet werden. So sind ergänzend die Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für persone...mehr

Einfluss nationaler Rechtsvorschriften Sowohl Exporteure als auch Importeure müssen zukünftig versichern, dass sie keinen Grund zu der Annahme haben, dass die Rechtsvorschriften und Gepflogenheiten im Bestimmungsland, einschließlich Offenlegungs- und Überwachungsvorschriften, den Datenimporteur an der Erfüllung seiner Pflichten gemäß den Neuen Standardvertragsklauseln hindern...mehr

Die Ausnahmen des Art. 49 DSGVO haben für Arbeitgeber eine eher untergeordnete Rolle. Denn selbst wenn diese Spezialfälle zutreffen, sind die Ausnahmen eng auszulegen und dürfen entsprechend den Vorgaben des EDSA nicht als Rechtsgrundlage für regelmäßige Drittstaatentransfers von Daten einer Vielzahl von Personen herangezogen werden.[1]mehr

Ausgangsfall Anwendbarkeit bei Exporteuren mit Sitz außerhalb der EU und für Rückübermittlungen (Datenverarbeiter an Verantwortliche) Datenexporteure müssen nicht mehr in der EU ansässig sein, um die Neuen Standardvertragsklauseln anwenden zu können. Die Neuen Standardvertragsklauseln decken auch ein Szenario ab, in dem personenbezogene Daten von einem Exporteur mit Sitz auße...mehr

Die Neuen Standardvertragsklauseln sind klarer und präskriptiver (vorschreibender statt nur feststellend) im Hinblick auf die praktischen Sicherheitsmaßnahmen, die zu Compliance-Zwecken getroffen und in Annex II aufgeführt werden müssen. Praktische Auswirkungen Dies ist zwar eine positive Änderung für Organisationen, die sich mehr Klarheit in Bezug auf die zu treffenden Maßnah...mehr

Der Bayerische Landesbeauftragte für den Datenschutz hat eine Orientierungshilfe für internationale Datentransfers veröffentlicht, die ein mehrstufiges Prüfungsschema vorsieht, anhand dessen verantwortliche Arbeitgeber die Zulässigkeit ihrer Übermittlung von Mitarbeiterdaten in ein Drittland beurteilen können.[1] Hierbei wird zunächst gefragt, ob für das entsprechende Drittla...mehr

Arbeitgeber sollten zunächst die Gelegenheit nutzen und internationale Datenübermittlungen ihrer Organisation in weiterem Sinne unter die Lupe nehmen. Ein korrektes und aktuelles Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ist bei dieser Betrachtung von großer Wichtigkeit. Anschließend sollte ermittelt werden, welche Rechtsgrundlagen für die Datenübermittl...mehr

Verantwortliche müssen angesichts des Schrems II-Urteils anschließend prüfen, ob die gewählte Übermittlungsmethode ein wirksames Mittel darstellt, um ein "der Sache nach gleichwertiges" Schutzniveau für die personenbezogenen Daten im Bestimmungsland zu gewährleisten. So können die implementierten Klauseln und damit ein angemessenes Datenschutzniveau insbesondere dann untermi...mehr

Seit dem 25.5.2018 gilt für die Verarbeitung von personenbezogenen Daten und somit auch für die Verarbeitung von Mitarbeiterdaten die Europäische Datenschutz-Grundverordnung ("DSGVO"). Die DSGVO wird durch die Vorschriften des Bundesdatenschutzgesetzes vom 30.6.2017 ( "BDSG") ergänzt. Die DSGVO und das BDSG 2018 lösen damit die Vorschriften des Bundesdatenschutzgesetzes in de...mehr

Auf der Grundlage der Privacy-Shield-Übereinkunft zwischen der EU und den USA hatte die EU-Kommission 2016 in einem Durchführungsbeschluss festgestellt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten und eine Datenübermittlung demnach nach Art. 45 DSGVO zulässig ist. Der EuGH[1] hat diesen Durchführungsbeschluss zum Privacy Shield für unw...mehr

Die Neuen Standardvertragsklauseln sind für Arbeitgeber dann relevant, wenn der Arbeitgeber (entweder direkt oder indirekt) der DSGVO unterliegt; und der Arbeitgeber personenbezogene Daten in Länder übermittelt oder übermitteln wird, die keine EU-Länder sind oder nicht über einen Angemessenheitsbeschluss der Europäischen Kommission verfügen. Die Neuen Standardvertragsklauseln s...mehr

Derzeit hat die Europäische Kommission Angemessenheitsbeschlüsse nach Art. 45 DSGVO für folgende Drittländer veröffentlicht: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel (eingeschränkt), Japan, Jersey, Kanada (eingeschränkt), Neuseeland, Schweiz, Südkorea, Uruguay, Vereinigtes Königreich (eingeschränkt) und Vereinigte Staaten von Amerika (eingeschränkt)...mehr

Neben den Standardvertragsklauseln können sich Verantwortliche auch auf andere geeignete Garantien berufen, um Datenübermittlungen in Drittländer zu legitimieren. Einzeln ausgehandelte Vertragsklauseln Vertragsparteien können die Vertragsklauseln einzeln aushandeln, um sie als geeignete Garantie zu nutzen. Allerdings müssen diese Klauseln einen Genehmigungsprozess durch die zu...mehr

Die Neuen Standardvertragsklauseln decken einen breiteren Bereich ab. Sie sind modular aufgebaut, sodass Importeur und Exporteuer diejenigen Klauseln auswählen können, die im Hinblick auf die für sie relevante(n) Art(en) der Datenübermittlung einschlägig sind. Während zuvor nur Übermittlungen von Verantwortlichen an Verantwortliche und Übermittlungen von Verantwortlichen an D...mehr

Die Neuen Standardvertragsklauseln können von mehreren Parteien abgeschlossen werden und enthalten eine "Kopplungsklausel", die es neuen Parteien jederzeit ermöglicht, den neuen Klauseln ebenfalls beizutreten. Praktische Auswirkungen Diese Änderung wird insbesondere für multinationale Organisationen mit komplexen konzerninternen Datenaustauschvereinbarungen von Nutzen sein. Di...mehr

Die Parteien können die Neuen Standardvertragsklauseln durch zusätzliche Pflichten ergänzen, wenn dies für die jeweilige Datenübermittlungsvereinbarung erforderlich ist. Bei Widersprüchen zwischen den Neuen Standardvertragsklauseln und anderen Bestimmungen, die zwischen den Parteien vereinbart wurden, haben die Neuen Standardvertragsklauseln jedoch Vorrang. Die Neuen Standar...mehr

Der Beschäftigtendatenschutz ist durch Art. 88 Abs. 1 DSGVO i. V. m. § 26 BDSG geregelt. Inhaltlich deckt sich § 26 BDSG mit § 32 BDSG a. F. weitestgehend, sodass die bisher bestehenden Grundsätze auch in Zukunft Geltung behalten werden. 1.2.1 Definition des Beschäftigten Der Begriff des "Beschäftigten" ist gesetzlich in § 26 Abs. 8 BDSG definiert. Zu den Beschäftigten im Sinn...mehr

2.1 Beispiele für personenbezogene Daten in der Personalabteilung Klassischerweise im Rahmen des Beschäftigungsverhältnisses verarbeitete Daten sind nachfolgend aufgelistet: Name Personalnummer Geburtsdatum Gehalt Bankverbindung Religionszugehörigkeit Staatsangehörigkeit beruflicher Werdegang Abmahnungen Bildaufnahmen 2.2 Rechtsgrundlage für die Verarbeitung von Mitarbeiterdaten Der Begr...mehr

Der Begriff "Beschäftigtendatenschutz" ist auf den ersten Blick irreführend, da er kein gesetzlicher Begriff ist und somit nicht im Gesetzestext zu finden ist. Der Beschäftigtendatenschutz sollte ursprünglich in einem eigenen nationalen Gesetz normiert werden. Mit Bekanntwerden des Vorhabens, den Datenschutz durch eine europäische Verordnung neu zu regeln, wurde das geplante...mehr

Bereits im Jahr 2010 entwarf die damalige Regierung ein Gesetz zur Regelung des Beschäftigtendatenschutzes, welches jedoch nach Ankündigung eines Datenschutzgesetzes auf europäischer Ebene nicht verabschiedet wurde. Im Koalitionsvertrag 2021 wurde vereinbart, "Regelungen zum Beschäftigtendatenschutz" zu schaffen, "um Rechtsklarheit für Arbeitgeber sowie Beschäftigte zu errei...mehr

Der Personalabteilung kann die Aufgabe zuteilwerden, eine Richtlinie für den Beschäftigtendatenschutz am Arbeitsplatz zu entwickeln und deren Einhaltung zu überwachen. Es macht Sinn, bei der Erstellung anhand einer Checkliste vorzugehen. Folgendes sollte dabei berücksichtigt werden: keine personenbezogenen Informationen telefonisch mitteilen, Erforderlichkeit klären, nur notwen...mehr

Sofern keine spezifische Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten im Beschäftigtenkontext greift, kann eine Verarbeitung auf eine Einwilligung des Beschäftigten gestützt werden. Allerdings kommt eine solche Einwilligung durch Arbeitnehmer nach Auffassung der Datenschutzbehörden nur in Ausnahmefällen in Betracht.[1] Eine Einwilligung ist nur dann zuläs...mehr

Gemäß § 26 Abs. 1 Satz 2 BDSG dürfen Daten zur Aufdeckung von Straftaten verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat. Nicht zulässig ist die Verarbeitung jedoch, wenn sie nur der Verdachtserforschung dient. Die Verarbeitung muss zudem zur Aufdec...mehr

2.3.1 Erfassen und Speichern von Stammdaten Es dürfen nur diejenigen Stammdaten erhoben werden, die für die Durchführung des Beschäftigungsverhältnisses erforderlich sind. Hierzu zählen z. B. Name, Geburtsdatum oder Adresse des Mitarbeiters. Das Anfertigen einer Kopie von Ausweisdokumenten (Reisepass, Personalausweis) ist nur unter strengen datenschutzrechtlichen Voraussetzung...mehr

Daten zum Gesundheitszustand eines Beschäftigten genießen über Art. 9 DSGVO einen gesteigerten Schutz. Sie dürfen nur in engen Grenzen verarbeitet werden.[1]mehr

Klassischerweise im Rahmen des Beschäftigungsverhältnisses verarbeitete Daten sind nachfolgend aufgelistet: Name Personalnummer Geburtsdatum Gehalt Bankverbindung Religionszugehörigkeit Staatsangehörigkeit beruflicher Werdegang Abmahnungen Bildaufnahmenmehr

Der Begriff des "Beschäftigten" ist gesetzlich in § 26 Abs. 8 BDSG definiert. Zu den Beschäftigten im Sinne der Datenschutzgesetze zählen neben den Arbeitnehmerinnen und Arbeitnehmern u. a. auch Auszubildende, Bewerberinnen und Bewerber sowie Personen, deren Beschäftigungsverhältnis bereits beendet ist.mehr

Es dürfen nur diejenigen Stammdaten erhoben werden, die für die Durchführung des Beschäftigungsverhältnisses erforderlich sind. Hierzu zählen z. B. Name, Geburtsdatum oder Adresse des Mitarbeiters. Das Anfertigen einer Kopie von Ausweisdokumenten (Reisepass, Personalausweis) ist nur unter strengen datenschutzrechtlichen Voraussetzungen möglich, die im Arbeitsverhältnis in der...mehr

In § 26 BDSG ist ausdrücklich geregelt, dass die Verarbeitung von Beschäftigtendaten auch auf der Grundlage von Kollektivvereinbarungen zulässig ist. Zu den Kollektivvereinbarungen gehören neben Tarifverträgen auch Betriebs- und Dienstvereinbarungen. Sofern Verantwortliche Kollektivvereinbarungen als Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten nutzen möchten,...mehr

Überblick Datenschutzrechtliche Fragestellungen sind längst von enormer Bedeutung für Unternehmen. Gerade im Rahmen des Personalwesens ergeben sich zahlreiche Stolperfallen: Datenschutzwidrig erlangte Informationen können Beweisverwertungsverboten in Kündigungsschutzprozessen unterliegen, dem Arbeitnehmer steht ein Auskunftsanspruch über die Verarbeitung seiner personenbezog...mehr

Der Versand der Gehaltsabrechnungen an den Arbeitnehmer in elektronischer Form erscheint zeitgemäß und praktisch, kann doch so das Führen von umfangreichen Papierakten und der Aufwand und die Kosten der postalischen Versendung vermieden werden. Allerdings sollten Arbeitgeber nicht aus den Augen verlieren, dass bei der elektronischen Gehaltsabrechnung einige datenschutzrechtl...mehr

§ 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG regelt den besonderen Kündigungsschutz für den betrieblich bestellten Datenschutzbeauftragten (DSB), sofern die Bestellung eines DSB verpflichtend ist.[1] Dieser darf hiernach während der Zeit seiner Bestellung und noch ein Jahr nach seiner Abberufung nicht gekündigt werden. Einzige Ausnahme ist das Vorliegen von Gründen für eine außerord...mehr

Grundsätzlich dürfen personenbezogene Daten von Arbeitnehmern nur verarbeitet werden, sofern dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist.[1] Der Arbeitgeber hat demnach keine Einwilligung der Beschäftigten einzuholen, um die Daten der Beschäftigten zu verarbeiten, sofern und soweit die Daten eben für die Durchführung des Beschäftigungsverhältni...mehr

Die Verarbeitung von Beschäftigtendaten ist grundsätzlich nur in einem engen Rahmen zulässig. Beschäftigtendaten dürfen in Einklang mit § 26 BDSG regelmäßig verarbeitet werden, wenn dies zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlich ist. Der Begriff der "Erforderlichkeit" ist hierbei eng auszulegen. Nur, wenn die Verarbeitung unmittelba...mehr

Da die Arbeitszeit in der Regel die Grundlage für die Vergütung eines Arbeitnehmers darstellt, hat das Unternehmen ein berechtigtes Interesse, die Arbeitszeiten der Beschäftigten festzuhalten. Zudem urteilte der Europäische Gerichtshof ("EuGH"), dass sich aus der EU-Grundrechte-Charta eine gesetzliche Pflicht für Arbeitgeber zur Implementierung eines objektiven, verlässliche...mehr

Am 31.5.2023 hat der Bundestag mit Zustimmung des Bundesrats das Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (Hinweisgeberschutzgesetz – HinSchG) verabschiedet. Das Gesetz ist am 2.7.2023 in Kraft getreten. Ziel des Gesetzes ist eine Erweiterung des Schutzes vo...mehr

Weiterhin wird diskutiert, ob der Arbeitgeber als Anbieter i. S. d. § 3 Abs. 2 Satz 1 Nr. 2 TTDSG fungiert, wenn er seinen Beschäftigten Internet- und Kommunikationsdienste auch für eine private Nutzung zur Verfügung stellt. Dies hätte zur Folge, dass die Kommunikation dem Fernmeldegeheimnis nach § 3 Abs. 3 TTDSG unterläge und nicht durch den Arbeitgeber kontrolliert werden ...mehr

Das heimliche Mithören und Aufzeichnen von Telefongesprächen Beschäftigter ist unzulässig, unabhängig davon, ob es sich um private oder dienstliche Telefonate handelt.[1] Die heimliche Aufzeichnung von Gesprächen als die im Vergleich zum bloßen Mithören schwererwiegende Variante kann sogar den Straftatbestand des § 201 Abs. 1 Nr. 1 StGB verwirklichen. Jeder der am Gespräch B...mehr

Die Überwachung mittels technischer Einrichtung muss sich auf das Verhalten oder die Leistung der Arbeitnehmer beziehen. Verhalten wird als individuell steuerbares Tun oder Unterlassen definiert.[1] Dabei ist unerheblich, in welchem Bereich sich das Verhalten abspielt, ob bloß bei der Arbeitsleistung selbst oder auch sonst im Betrieb. Verhalten, welches mit der Arbeitsleistu...mehr

Rz. 749 Azmons/Beck, Der Wiedereinstellungsanspruch auf einen Blick – Rechtlicher Umgang und praktische Umsetzung, NZA 2015 S. 1098. Bader, Die Befristung von Arbeitsverträgen zur Vertretung und der Rechtsmissbrauch, NJW 2017 S. 989. ders., Die Betriebsratsanhörung subjektiv determiniert – was folgt daraus?, NJW 2015 S. 1420. Bader-Jörchel, Das Befristungsrecht weiter in Bewegu...mehr

Rz. 393 Dass die Verhinderung der Anbahnung eines Beschäftigungsverhältnisses zu den Sperrzeitsachverhalten bei Arbeitsablehnung gehört, hat wohl im Gesetz nur klarstellende Bedeutung. Erfasst werden Fälle, in denen der Arbeitslose Vermittlungsvorschläge nicht aufgreift, keinen Vorstellungstermin vereinbart oder ein solches Vorstellungsgespräch versäumt wie auch Fälle, in de...mehr

Rz. 89 § 30 Abs. 4 Nr. 1b AO ermöglicht die Offenbarung und Verwertung der geschützten Daten für Zwecke eines Verfahrens nach Art. 83 DSGVO durch die zuständige Aufsichtsbehörde. Die Öffnungsklausel wurde mit Wirkung vom 25.5.2018 in die Regelung zum Steuergeheimnis eingefügt.[1] Damit trug der Gesetzgeber auch insoweit den Anforderungen der DSGVO Rechnung. Da datenschutzrec...mehr

Rz. 3 Die DSGVO hat zum 25.5.2018 die bisherige Datenschutzrichtlinie RL 95/46/EG abgelöst. Zeitgleich traten die Neuregelungen des § 26 BDSG in Kraft (BGBl 2017 I, 2097). Rz. 4 Anders als die Datenschutzrichtlinie entfaltet die DSGVO in den Mitgliedstaaten eine unmittelbare vertikale Wirkung. Grundsätzlich besteht damit ein Anwendungsvorrang der DSGVO gegenüber nationalem Re...mehr