Fachbeiträge & Kommentare zu Beschäftigtendatenschutz

Ein gesondertes Beschäftigtendatenschutzgesetz ist trotz einiger Planungen bisher nicht existent. Zum Beschäftigtendatengesetz (BeschDG) liegt seit dem 8.10.2024 ein erster Referentenentwurf vom Bundesministerium für Arbeit und Soziales (BMAS) gemeinsam mit dem Bundesministerium des Innern und für Heimat (BMI) vor. Seit dem 25.5.2018 gilt die EU-Datenschutz-Grundverordnung (...mehr

Zu den öffentlich zugänglichen Räumen gehören alle Bereiche innerhalb oder außerhalb von Gebäuden, die nach dem erkennbaren Willen ihres Inhabers oder desjenigen, der an seiner Stelle das Hausrecht ausübt, von jedermann genutzt oder betreten werden können.[1] Die (offene) Videoüberwachung öffentlich zugänglicher Räume ist nur zulässig, soweit sie zur Wahrnehmung des Hausrech...mehr

Überblick Aufgrund des technischen Fortschritts und dem Einsatz von künstlicher Intelligenz sind die Möglichkeiten der Überwachung von Beschäftigten vielfältig und operativ oft einfach umzusetzen. Gleichzeitig stellen erhöhte Compliance Anforderungen an die IT-Sicherheit Arbeitgeber vor neue Herausforderungen, z. B. im Rahmen der NIS2-Richtlinie, die z. B. die Durchführung v...mehr

Bei der Nutzung des betrieblichen E-Mail-Postfachs, des Telefons oder des Internets ausschließlich zu betrieblichen Zwecken richtet sich die Erhebung, Verarbeitung und Nutzung von anfallenden personenbezogenen Daten nach der DSGVO und dem BDSG. Die Verarbeitung personenbezogener Daten erfordert, wie eingangs beschrieben, stets eine Rechtsgrundlage, also einer Einwilligung ode...mehr

Rz. 58 OVG Lüneburg, Beschluss v. 28.11.2023, 11 LC 273/21: Zur Übermittlung von Sozialdaten vom Jugendamt an die Ausländerbehörde; VG München, Urteil v. 22.9.2022, M 10 K 21.30727: Zum Sozialdatengeheimnis der Angaben eines unbegleiteten minderjährigen Flüchtlings zu seinen (§ 42a Abs. 1 Satz 1 SGB VIII) unterfallen dem Sozialgeheimnis; BVerfG, Urteil v. 15.12.1983, 1 BvR 209...mehr

2.1 Problemdarstellung Spätestens wenn Beschäftigte es mit der privaten Nutzung der dienstlichen Arbeitsinstrumente wie Internet und E-Mail übertreiben, stellt sich für den Arbeitgeber die Frage, ob und in welchem Umfang eine Überwachung, Einsichtnahme und Beweissicherung des dienstlichen E-Mail-Accounts zulässig ist. Die Beantwortung der Frage nach der Zulässigkeit des Vorhab...mehr

Nach § 26 Abs. 8 Satz 2 BDSG gelten Bewerber für ein Beschäftigungsverhältnis als "Beschäftigte". Folglich finden auch auf die Verarbeitung von personenbezogenen Daten von Bewerbern die Regelungen zum Beschäftigtendatenschutz Anwendung. Eine Verarbeitung von personenbezogenen Daten von Bewerbern ist nach § 26 Abs. 1 BDSG [1] dann zulässig, wenn diese für die Begründung, Durch...mehr

Zusammenfassung Überblick Der Datenschutz für Beschäftigte hat in den vergangenen Jahren viele Diskussionen und "heiße Themen" erlebt. Hierzu zählen vor allem Fragen der Nutzung des dienstlichen E-Mail-Accounts für private Zwecke oder der Umgang mit den sogenannten sozialen Medien und Netzwerken im und für das Unternehmen. Die beiden hier behandelten Themen zum Einsatz von Soc...mehr

Spätestens wenn Beschäftigte es mit der privaten Nutzung der dienstlichen Arbeitsinstrumente wie Internet und E-Mail übertreiben, stellt sich für den Arbeitgeber die Frage, ob und in welchem Umfang eine Überwachung, Einsichtnahme und Beweissicherung des dienstlichen E-Mail-Accounts zulässig ist. Die Beantwortung der Frage nach der Zulässigkeit des Vorhabens hängt maßgeblich d...mehr

Kaum ein Unternehmen kommt heute noch ohne Social Media-Präsenz aus. Vielmehr sind Social Media-Seiten für viele Unternehmen ein wichtiger Faktor, um von ihrer Zielgruppe (Bewerber, Kunden) gefunden zu werden. Auch das Datenschutzrecht stellt an den Betrieb solcher Social Media-Präsenzen ("Fanpages", "Unternehmensprofile", "Businesspofile") Anforderungen. 1.4.1 Datenschutzrec...mehr

Überblick Der Datenschutz für Beschäftigte hat in den vergangenen Jahren viele Diskussionen und "heiße Themen" erlebt. Hierzu zählen vor allem Fragen der Nutzung des dienstlichen E-Mail-Accounts für private Zwecke oder der Umgang mit den sogenannten sozialen Medien und Netzwerken im und für das Unternehmen. Die beiden hier behandelten Themen zum Einsatz von Social Media im Un...mehr

Mit der Bereitstellung einer Fanpage oder eines Unternehmensprofils übernehmen die Unternehmen als Betreiber die Rolle eines Anbieters von Telemedien nach § 2 Abs. 2 Nr. 1 TTDSG. Werden beim Besuch dieser Seite Informationen auf den Endgeräten der Endnutzer gespeichert oder aus diesen ausgelesen (wie dies z. B. bei der Verwendung von Cookies der Fall ist), bedarf dies nach §...mehr

Bereits nach "alter" Rechtslage war unklar, ob der Arbeitgeber bei erlaubter oder geduldeter privater E-Mail-Nutzung als Telekommunikationsanbieter einzustufen ist, der dann an das Fernmeldegeheimnis gebunden ist. Die deutschen Datenschutzaufsichtsbehörden haben sich in der Vergangenheit (und zur alten Rechtslage nach § 88 TKG a. F.) eindeutig positioniert. In der "Orientier...mehr

Der Betrieb einer Fanpage oder eines Unternehmensprofils stellt für Unternehmen ein gewisses datenschutzrechtliches Risiko dar. Um den oben skizzierten Anforderungen gerecht zu werden, bedarf es der Unterstützung durch den Anbieter des jeweiligen sozialen Netzwerks. Die Datenschutzkonferenz geht in ihrem "Kurzgutachten zur datenschutzrechtlichen Konformität des Betriebs von F...mehr

Ist die private Nutzung des dienstlichen E-Mail-Accounts durch das Unternehmen verboten und wird die Einhaltung des Verbots stichprobenartig kontrolliert, finden die Vorschriften des TTDSG und damit das Fernmeldegeheimnis keine Anwendung. Folglich sind bei der Überwachung und Kontrolle "nur" die datenschutzrechtlichen Vorschriften einzuhalten. Dabei ist insbesondere dem in § ...mehr

Haben sich die Kandidaten beim Unternehmen selbst beworben, stellt sich vielen Unternehmen die Frage, ob die geeigneten Kandidaten einem "Social Media Check", also einer Recherche der Profile, unterzogen werden dürfen. Lassen sich von den Kandidaten über eine einfache Suchanfrage personenbezogene Daten finden, so ist davon auszugehen, dass diese vom Betroffenen der "Öffentlic...mehr

Die Nutzung von sozialen Netzwerken inklusive des Knüpfens und Pflegens von (Geschäfts-)Kontakten ist für Millionen Deutsche und Milliarden Menschen weltweit zum Alltag geworden. Für viele sind solche Netzwerke ein wichtiger Bestandteil des sozialen Miteinanders in ihrem Leben. So verwundert es nicht, dass sich berufliche, private und auch geschäftliche Interessen hier berüh...mehr

Bei der Durchführung von Marketing-Maßnahmen sind die gleichen Grundsätze zu beachten, die durch die DSGVO und das Wettbewerbsrecht vorgegeben werden. Insofern ergeben sich für die Werbetätigkeiten in sozialen Netzwerken keine Besonderheiten. Dabei ist allerdings zu beachten, dass sogenannte "Inbox-Werbung", also die Schaltung von Werbeeinblendungen in E-Mail-Postfächern, rec...mehr

Damit nun der Arbeitgeber trotz erlaubter Privatnutzung des E-Mail-Accounts Einblick in die E-Mails seiner Mitarbeiter nehmen kann, kann von allen Beschäftigten eine Einwilligung eingeholt werden. Einwilligung der Mitarbeiter Mit Blick auf den Anwendungsbereich des Fernmeldegeheimnisses sollten grundsätzlich alle Mitarbeiter eine individuelle Einwilligung in die Kontrolle auch...mehr

Ist die Nutzung des dienstlichen E-Mail-Accounts im Unternehmen entweder ausdrücklich gestattet oder zumindest geduldet, gelten nicht nur die datenschutzrechtlichen Vorschriften, sondern nach ganz überwiegender Auffassung auch die Regelungen des Telekommunikations- und Telemedien-Datenschutzgesetzes (kurz: TTDSG). Leider ist die Frage, ob der Arbeitgeber bei erlaubter oder g...mehr

Begibt sich ein Unternehmen auf die aktive Bewerbersuche in beruflich orientierten sozialen Netzwerken wie LinkedIn und Xing, so haben die Inhaber der abgefragten Profile logischerweise hiervon keine Kenntnis. Auch wenn die Bewerber teilweise einsehen können, welche Unternehmen bzw. Mitarbeiter das Profil eingesehen haben, wissen die potenziellen Kandidaten nicht, dass das U...mehr

Beim Betrieb der Fanpage oder eines Unternehmensprofils werden zwangsläufig personenbezogene Daten verarbeitet. Daher ist der Betreiber einer Fanpage nach Art. 13 DSGVO verpflichtet, die Nutzer in transparenter Art und Weise über die Verarbeitung der personenbezogenen Daten aufzuklären. Auch dies dürfte sich in der Praxis als schwer zu erfüllen darstellen, da dies eine vorher...mehr

Folgt man der Auffassung der Datenschutzkonferenz, ist der Arbeitgeber bei Ermöglichung der privaten Nutzung des dienstlichen E-Mail-Accounts ein "Anbieter von Telemedien", der sich an das Fernmeldegeheimnis zu halten hat. Das Fernmeldegeheimnis verbietet dem Arbeitgeber jegliche inhaltliche Überwachung, Überprüfung oder Einsichtnahme in den gesamten E-Mail-Verkehr, der über ...mehr

Lange Zeit war in der Literatur umstritten, welche Rollen den Unternehmen beim Betrieb eines Unternehmensprofils oder einer Fanpage einerseits und den Anbietern sozialer Netzwerke andererseits zukommen. Spätestens mit der Entscheidung "Fashion-ID"[1] hat der Europäische Gerichtshof diese Frage beantwortet. In dem Urteil betont der EuGH, dass der Betreiber einer Website grunds...mehr

Die Nutzung der in sozialen Netzwerken vorhandenen Daten, um Bewerber zu bewerten, wird bereits von vielen Unternehmen genutzt. Hier ist es zu begrüßen, dass eine Tendenz festzustellen ist, den aus privaten Netzwerken wie Facebook gewonnenen Informationen nicht allzu viel Gewicht beizumessen, eben gerade weil sie aus dem privaten Umfeld der Bewerber stammen und deshalb für d...mehr

Im Folgenden sollen Hinweise und Anregungen gegeben werden, um für das Unternehmen passende Social Media-Guidelines zu erstellen, die für eine ausgewogene Nutzung von sozialen Netzwerken und kommunikativen Online-Medien sorgen. Die folgenden Punkte und Überlegungen sollten berücksichtigt werden: Bedeutung von Social Media: Folgende Fragen sollten Sie klären: Wie wichtig ist "S...mehr

Die Bestimmungen des BDSG über die Anforderungen an eine zulässige Datenverarbeitung konkretisieren und aktualisieren den Schutz des Rechts auf informationelle Selbstbestimmung.[1] Rechtsgrundlagen DSGVO und BDSG Das Bundesdatenschutzgesetz wurde zum 25.5.2018 sowie zum 26.11.2019[2] den Vorgaben der DSGVO entsprechend novelliert.[3] Das BDSG regelt in erster Linie die automat...mehr

Mit der DSGVO [1] hat der europäische Gesetzgeber erstmals eine unmittelbar zwingende, europaweit einheitliche gesetzliche Regelung zum Datenschutz mit dem Ziel weitgehender Harmonisierung geschaffen. Dabei steht die Verordnung gemäß Art. 1 Abs. 1 DSGVO im Spannungsfeld von freiem Datenverkehr im Europäischen Binnenmarkt und dem persönlichen Datenschutz für den einzelnen EU-B...mehr

Überblick Im Rahmen des Beschäftigungsverhältnisses werden durch den Arbeitgeber zahlreiche personenbezogene Daten von Beschäftigten verarbeitet. Eine herausragende Rolle im Rahmen des Beschäftigtendatenschutzes spielt die Personalakte, in der regelmäßig alle Informationen über einen Mitarbeiter erhoben und verarbeitet werden. Bei der Führung der Personalakte sind umfangreic...mehr

Da der Arbeitgeber über seine Angestellten Leistungsdaten wie z. B. Leistungsbeurteilungen oder Urteile zur sachlichen Befähigung verfassen und speichern darf, ist der Grundsatz der Richtigkeit der Akte nicht ganz einfach umzusetzen. Der Grundsatz der Richtigkeit bezieht sich sowohl auf Tatsachenbehauptungen, sowie auf wertende Aussagen. Es muss bei der Speicherung von Leist...mehr

In der Praxis werden Unternehmen die Umsetzung der digitalen Personalakte häufig nicht selbst vornehmen, sondern vielmehr auf Softwareprodukte von Drittanbietern zurückgreifen. Bei der Auswahl eines passenden Anbieters gilt es eine Reihe von Punkten zu berücksichtigen: So sollte zunächst sichergestellt werden, dass der Anbieter adäquate Mechanismen zum Umgang mit Anfragen von...mehr

Begriff Die aktuellen Entwicklungen auf dem Gebiet des Personalmanagements, der Arbeitsorganisation und der Informationstechnologie am Arbeitsplatz haben die Erfassung personenbezogener Daten von Mitarbeitern verstärkt und ausgeweitet. Dieses Interesse richtet sich immer öfter auf die sog. "besonderen Kategorien personenbezogener Daten" (Art. 9 Abs. 1 DSGVO), bei denen es si...mehr

Wearables sind tragbare Computersysteme, die während ihres Betriebs am Körper getragen werden. Wichtigster Unterschied gegenüber anderen mobilen Computersystemen, wie etwa Smartphones, ist dabei der Zweck. Bei Wearables ist nicht die Nutzung des Computersystems als solches die hauptsächliche Tätigkeit, sondern irgendeine Tätigkeit in der realen Welt, die von dem am Körper ge...mehr

Der Beschäftigtendatenschutz ist durch Art. 88 Abs. 1 DSGVO i. V. m. § 26 BDSG geregelt. Inhaltlich deckt sich § 26 BDSG mit § 32 BDSG a. F. weitestgehend, sodass die bisher bestehenden Grundsätze auch in Zukunft Geltung behalten werden. 1.2.1 Definition des Beschäftigten Der Begriff des "Beschäftigten" ist gesetzlich in § 26 Abs. 8 BDSG definiert. Zu den Beschäftigten im Sinn...mehr

7.1 Prüfung bestehender Übermittlungen Arbeitgeber sollten zunächst die Gelegenheit nutzen und internationale Datenübermittlungen ihrer Organisation in weiterem Sinne unter die Lupe nehmen. Ein korrektes und aktuelles Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ist bei dieser Betrachtung von großer Wichtigkeit. Anschließend sollte ermittelt werden, welche R...mehr

Zusammenfassung Überblick Der Beitrag liefert einen Überblick zum Mitarbeiterdatenschutz im Zusammenhang mit Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums ("EWR"). Hierbei werden die Vorgaben der Europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) berücksichtigt sowie die Regelungen des Bundesdatenschutzgesetzes. ...mehr

Überblick Der Beitrag liefert einen Überblick zum Mitarbeiterdatenschutz im Zusammenhang mit Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums ("EWR"). Hierbei werden die Vorgaben der Europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) berücksichtigt sowie die Regelungen des Bundesdatenschutzgesetzes. Eingegangen wir...mehr

Für zahlreiche Drittstaaten (z. B. China, Indien, Russland) besteht kein Angemessenheitsbeschluss der Europäischen Kommission. Aus diesem Grund stellen die Standarddatenschutzklauseln ("Standardvertragsklauseln") ein wichtiges Instrument für Verantwortliche dar, um personenbezogene Daten von Mitarbeitern rechtswirksam ins Ausland übermitteln zu können. 4.1 Hintergrund Bezüglic...mehr

Gemäß den Neuen Standardvertragsklauseln können Exporteure im Rahmen der Ausübung ihrer Prüfungsrechte gegenüber dem Importeur sämtliche beim Importeur vorhandenen Prüfzertifikate heranziehen. Praktische Auswirkungen Dies ist insbesondere für datenverarbeitende Importeure eine positive Entwicklung und wird sich vor allem dort auswirken, wo es sich bei dem datenverarbeitenden I...mehr

Die Neuen Standardvertragsklauseln konnten seit dem 27.6.2021 für den Schutz von Übermittlungen verwendet werden. Die bestehenden Standardvertragsklauseln behielten bis zum 27.9.2021 ihre Gültigkeit, sodass Verantwortliche in diesem Zeitraum bei neuen Vereinbarungen zwischen den verschiedenen Klauselwerken wählen konnten. Bis zum 27.12.2022 mussten Verantwortliche alle beste...mehr

Die Neuen Standardvertragsklauseln enthalten ähnliche Pflichten und Einschränkungen wie die bestehenden Standardvertragsklauseln. Allerdings regeln die Neuen Standardvertragsklauseln einige Anforderungen, die sich bisher nur aus der Rechtsprechung des EuGH ergeben haben, nunmehr ausdrücklich. Daraus ergeben sich einige Unterschiede. Die wichtigsten Änderungen werden nachfolg...mehr

Im Rahmen des Arbeitsverhältnisses erlangen die Regelungen der DSGVO und des BDSG regelmäßig hohe Bedeutung. Gerade angesichts von Mitarbeiterklagen nach erfolgter Kündigung oder der Kontrollbefugnisse des Betriebsrates stehen Arbeitgeber unter erheblichem Druck, die gesetzlichen Bestimmungen einzuhalten. Verstärkt wird dieser Druck durch die teils empfindlichen Geldstrafen,...mehr

Neben den Standardvertragsklauseln können sich Verantwortliche auch auf andere geeignete Garantien berufen, um Datenübermittlungen in Drittländer zu legitimieren. Einzeln ausgehandelte Vertragsklauseln Vertragsparteien können die Vertragsklauseln einzeln aushandeln, um sie als geeignete Garantie zu nutzen. Allerdings müssen diese Klauseln einen Genehmigungsprozess durch die zu...mehr

Auf der Grundlage der Privacy-Shield-Übereinkunft zwischen der EU und den USA hatte die EU-Kommission 2016 in einem Durchführungsbeschluss festgestellt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten und eine Datenübermittlung demnach nach Art. 45 DSGVO zulässig ist. Der EuGH[1] hat diesen Durchführungsbeschluss zum Privacy Shield für unw...mehr

Die Neuen Standardvertragsklauseln sind für Arbeitgeber dann relevant, wenn der Arbeitgeber (entweder direkt oder indirekt) der DSGVO unterliegt; und der Arbeitgeber personenbezogene Daten in Länder übermittelt oder übermitteln wird, die keine EU-Länder sind oder nicht über einen Angemessenheitsbeschluss der Europäischen Kommission verfügen. Die Neuen Standardvertragsklauseln s...mehr

Die Neuen Standardvertragsklauseln können von mehreren Parteien abgeschlossen werden und enthalten eine "Kopplungsklausel", die es neuen Parteien jederzeit ermöglicht, den neuen Klauseln ebenfalls beizutreten. Praktische Auswirkungen Diese Änderung wird insbesondere für multinationale Organisationen mit komplexen konzerninternen Datenaustauschvereinbarungen von Nutzen sein. Di...mehr

Derzeit hat die Europäische Kommission Angemessenheitsbeschlüsse nach Art. 45 DSGVO für folgende Drittländer veröffentlicht: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel (eingeschränkt), Japan, Jersey, Kanada (eingeschränkt), Neuseeland, Schweiz, Südkorea, Uruguay, Vereinigtes Königreich (eingeschränkt) und Vereinigte Staaten von Amerika (eingeschränkt)...mehr

Die Neuen Standardvertragsklauseln decken einen breiteren Bereich ab. Sie sind modular aufgebaut, sodass Importeur und Exporteuer diejenigen Klauseln auswählen können, die im Hinblick auf die für sie relevante(n) Art(en) der Datenübermittlung einschlägig sind. Während zuvor nur Übermittlungen von Verantwortlichen an Verantwortliche und Übermittlungen von Verantwortlichen an D...mehr

Die Parteien können die Neuen Standardvertragsklauseln durch zusätzliche Pflichten ergänzen, wenn dies für die jeweilige Datenübermittlungsvereinbarung erforderlich ist. Bei Widersprüchen zwischen den Neuen Standardvertragsklauseln und anderen Bestimmungen, die zwischen den Parteien vereinbart wurden, haben die Neuen Standardvertragsklauseln jedoch Vorrang. Die Neuen Standar...mehr

Eine Übermittlung personenbezogener Daten in das Vereinigte Königreich ist trotz des Brexits weiterhin ungehindert möglich, da die Europäische Kommission in Form eines Angemessenheitsbeschlusses im Juni 2021 festgestellt hat, dass das Datenschutzniveau im Vereinigten Königreich dem in der EU entspricht und aus diesem Grund keine Standardvertragsklauseln oder zusätzliche Date...mehr