Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Den Beschäftigten stehen im Rahmen der DSGVO zahlreiche Betroffenenrechte zu. Hierzu zählen z. B. das Auskunftsrecht (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO) oder das Recht auf Löschung (Art. 17 DSGVO). Gerade im Rahmen der Einführung einer digitalen Personalakte müssen diese Betroffenenrechte berücksichtigt werden und es muss sichergestellt sein, dass die...mehr

Die Vertraulichkeit einer Akte ist gewährleistet, wenn die Zugriffsmöglichkeiten so gering wie möglich gehalten werden und der Nutzerkreis nach genauen Regeln definiert ist. Außerhalb dieses Nutzerkreises ist jeder weiteren Person der Zugriff zu verweigern bzw. sicherzustellen, dass ein Zugriff nicht erfolgen kann. Die berechtigten Nutzer haben die erhaltenen Informationen n...mehr

Sollen Informationen aus digitalen Personalakten im gerichtlichen Prozess verwendet werden, so z. B. in einem Kündigungsprozess, ist darauf zu achten, dass die vorgelegten Informationen nicht unter Verstoß des Datenschutzrechts erlangt worden sind. Dies hat das Bundesarbeitsgericht (BAG) ausdrücklich in seinem sog. Spind-Urteil festgestellt, welches allerdings vor Inkrafttre...mehr

Gemäß Art. 30 Art. 1 DSGVO sind Verantwortliche dazu verpflichtet, alle Verarbeitungstätigkeiten in ihrem Zuständigkeitsbereich übersichtlich und kompakt in einem Verarbeitungsverzeichnis festzuhalten. Im Verarbeitungsverzeichnis sollte auch der Einsatz der digitalen Personalakte dokumentiert sein. Insbesondere sollte festgehalten werden, zu welchem Zweck der Einsatz der dig...mehr

Begriff Die aktuellen Entwicklungen auf dem Gebiet des Personalmanagements, der Arbeitsorganisation und der Informationstechnologie am Arbeitsplatz haben die Erfassung personenbezogener Daten von Mitarbeitern verstärkt und ausgeweitet. Dieses Interesse richtet sich immer öfter auf die sog. "besonderen Kategorien personenbezogener Daten" (Art. 9 Abs. 1 DSGVO), bei denen es si...mehr

Um Gesundheitsdaten von Beschäftigten und damit personenbezogene Daten besonderer Kategorien rechtswirksam verarbeiten zu können, bedarf es für den Arbeitgeber einer passenden Rechtsgrundlage. Denn die DSGVO stellt die Verarbeitung von Gesundheitsdaten unter ein Verbot mit Erlaubnisvorbehalt. Das heißt, die Verarbeitung von personenbezogenen Daten besonderer Kategorien ist g...mehr

Wie lässt sich Künstliche Intelligenz sinnvoll in der Immobilienverwaltung nutzen, ohne gegen Datenschutzvorgaben zu verstoßen? Rechtliche Grundlagen, Risiken und praxisnahe Tipps für einen sicheren KI-Einsatz. Die Immobilienverwaltung wird mit Künstlicher Intelligenz schneller, datengetriebener und automatisierter. Dabei stehen Effizienzgewinne gegen sensible personenbezogen...mehr

Hinsichtlich einer Speicherung von auf Grundlage des § 20a IfSG erhobenen Gesundheitsdaten von Beschäftigten ist zu beachten, dass nicht der Impfnachweis selbst gespeichert werden darf, sondern lediglich die Information, dass ein gültiger Nachweis erbracht wurde und ggf. das Ablauf-/ Enddatum dieses Nachweises. Das Kopieren, Einscannen oder Aufbewahren des Nachweises ist unz...mehr

Für Mitarbeiter von bestimmten Einrichtungen und Unternehmen des Gesundheitssektors, z. B. Krankenhäuser, Arztpraxen, Alten- und Pflegeheime besteht nach § 20a IfSG eine einrichtungsbezogene Impfpflicht. Das bedeutet, dass diese Personen entweder genesen oder geimpft sein müssen, zumindest solange keine medizinische Kontraindikation hinsichtlich einer Impfung vorliegt. Die B...mehr

Der Arbeitgeber muss die erhobenen Daten nach Art. 17 Abs. 1 Buchst. a DSGVO grundsätzlich dann löschen, wenn der Zweck für die Verarbeitung entfallen ist. Ungeachtet eines etwaigen Zweckentfalls sind die Daten spätestens dann zu löschen, wenn die entsprechende Rechtsgrundlage entfällt. Arbeitgeber müssen die zur Erfüllung des § 20a IfSG erhobenen Gesundheitsdaten ihrer Besc...mehr

Aufgabe des Betriebsarztes ist die Förderung von Gesundheit und Arbeitssicherheit im Unternehmen. Dabei schützt er die Gesundheit der Arbeitnehmer, seine Tätigkeit dient aber gleichzeitig auch den Interessen des Arbeitgebers. Angesichts der Notwendigkeit der Durchführung bestimmter betriebsärztlichen Untersuchungen und Vorsorgen kann hinsichtlich der Legitimation auf Art. 9 ...mehr

Personenbezogene Daten besonderer Kategorien wie z. B. zur Gesundheit eines Mitarbeiters werden immer dann für den Arbeitgeber interessant, wenn sie in Bezug zum Beschäftigungsverhältnis stehen, die mangelnde Gesundheit eines Arbeitnehmers also zum Beispiel seine Arbeitsleistung dauerhaft gefährdet. Dem steht wiederum das Interesse des Mitarbeiters an der Geheimhaltung seine...mehr

Wearables sind tragbare Computersysteme, die während ihres Betriebs am Körper getragen werden. Wichtigster Unterschied gegenüber anderen mobilen Computersystemen, wie etwa Smartphones, ist dabei der Zweck. Bei Wearables ist nicht die Nutzung des Computersystems als solches die hauptsächliche Tätigkeit, sondern irgendeine Tätigkeit in der realen Welt, die von dem am Körper ge...mehr

Überblick Durch moderne Medien wie Internet, E-Mail und Telefon sind heute so viele Daten über die eigene Person im Umlauf, dass sie kaum noch zu kontrollieren sind. Arbeitgeber tragen hier insbesondere Verantwortung für den Umgang mit den Daten ihrer eigenen Mitarbeiter. Ist erst der Eindruck entstanden, dass die Daten nicht vor Zugriffen Unberechtigter geschützt sind, ents...mehr

Überblick Der Beitrag liefert einen Überblick zum Mitarbeiterdatenschutz im Zusammenhang mit Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums ("EWR"). Hierbei werden die Vorgaben der Europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) berücksichtigt sowie die Regelungen des Bundesdatenschutzgesetzes. Eingegangen wir...mehr

Die Ausnahmen des Art. 49 DSGVO haben für Arbeitgeber eine eher untergeordnete Rolle. Denn selbst wenn diese Spezialfälle zutreffen, sind die Ausnahmen eng auszulegen und dürfen entsprechend den Vorgaben des EDSA nicht als Rechtsgrundlage für regelmäßige Drittstaatentransfers von Daten einer Vielzahl von Personen herangezogen werden.[1]mehr

Derzeit hat die Europäische Kommission Angemessenheitsbeschlüsse nach Art. 45 DSGVO für folgende Drittländer veröffentlicht: Andorra, Argentinien, Färöer-Inseln, Guernsey, Isle of Man, Israel (eingeschränkt), Japan, Jersey, Kanada (eingeschränkt), Neuseeland, Schweiz, Südkorea, Uruguay, Vereinigtes Königreich (eingeschränkt) und Vereinigte Staaten von Amerika (eingeschränkt)...mehr

Neben den Standardvertragsklauseln können sich Verantwortliche auch auf andere geeignete Garantien berufen, um Datenübermittlungen in Drittländer zu legitimieren. Einzeln ausgehandelte Vertragsklauseln Vertragsparteien können die Vertragsklauseln einzeln aushandeln, um sie als geeignete Garantie zu nutzen. Allerdings müssen diese Klauseln einen Genehmigungsprozess durch die zu...mehr

Gemäß der DSGVO dürfen personenbezogene Daten von Mitarbeitern grundsätzlich nur dann an Drittländer übermittelt werden, wenn das durch die DSGVO gewährleistete Schutzniveau nicht untergraben wird. So sind Datenübermittlungen nur dann zulässig, wenn ein Angemessenheitsbeschluss der Europäischen Kommission gemäß Art. 45 DSGVO vorliegt, der ein angemessenes Schutzniveau im Drit...mehr

Am 31.5.2023 hat der Bundestag mit Zustimmung des Bundesrats das Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden (Hinweisgeberschutzgesetz – HinSchG) verabschiedet. Das Gesetz ist am 2.7.2023 in Kraft getreten. Ziel des Gesetzes ist eine Erweiterung des Schutzes vo...mehr

Bezüglich der Standardvertragsklauseln hat der EuGH entschieden[1], dass diese grundsätzlich weiterhin genutzt werden können. Allerdings muss ergänzend sichergestellt sein, dass auch tatsächlich ein Schutzniveau für die personenbezogenen Daten vorliegt, das dem in der Europäischen Union entspricht. Insbesondere bei extensiven Zugriffsbefugnissen staatlicher Behörden im Dritt...mehr

Der im deutschen Grundgesetz verankerte Schutz des Persönlichkeitsrechts[1] wird nunmehr vorrangig durch die DSGVO geregelt. Neben der DSGVO können weitere, bereichsspezifische Vorschriften zum Schutz personenbezogener Daten zu beachten sein. Für das Arbeitsverhältnis sind hierbei vor allem die Vorschriften des Bundesdatenschutzgesetzes 2018 (BDSG 2018), das Betriebsverfassu...mehr

Auf der Grundlage der Privacy-Shield-Übereinkunft zwischen der EU und den USA hatte die EU-Kommission 2016 in einem Durchführungsbeschluss festgestellt, dass die USA ein angemessenes Schutzniveau für personenbezogene Daten gewährleisten und eine Datenübermittlung demnach nach Art. 45 DSGVO zulässig ist. Der EuGH[1] hat diesen Durchführungsbeschluss zum Privacy Shield für unw...mehr

Die Neuen Standardvertragsklauseln sind für Arbeitgeber dann relevant, wenn der Arbeitgeber (entweder direkt oder indirekt) der DSGVO unterliegt; und der Arbeitgeber personenbezogene Daten in Länder übermittelt oder übermitteln wird, die keine EU-Länder sind oder nicht über einen Angemessenheitsbeschluss der Europäischen Kommission verfügen. Die Neuen Standardvertragsklauseln s...mehr

Die Neuen Standardvertragsklauseln decken einen breiteren Bereich ab. Sie sind modular aufgebaut, sodass Importeur und Exporteuer diejenigen Klauseln auswählen können, die im Hinblick auf die für sie relevante(n) Art(en) der Datenübermittlung einschlägig sind. Während zuvor nur Übermittlungen von Verantwortlichen an Verantwortliche und Übermittlungen von Verantwortlichen an D...mehr

Für die vollständige Speicherung von Anrufzeit, -dauer und Rufnummern der Beteiligten dient Art. 6 Abs. 1 Buchst. f DSGVO als Rechtsgrundlage. Im Rahmen einer Abwägung ist festzustellen, ob das Interesse des Arbeitgebers an der Speicherung dieser statistischen Daten das Interesse seiner Beschäftigten und der Angerufenen hieran überwiegt. Diese Abwägung sollte schriftlich vor...mehr

Auch das geschriebene Wort ist durch das Gesetz in einem gewissen Umfang geschützt. Bei Arbeitnehmern wird hier ein besonderes Augenmerk auf die Unterscheidung zwischen privater und geschäftlicher Nutzung gelegt werden müssen.[1] Der Schutz des Briefgeheimnisses in § 202 StGB ist nicht auf E-Mails und Faxe anwendbar, weil die bei beiden Medien verwendeten Daten nicht als "ver...mehr

Die Verarbeitung von Beschäftigtendaten ist grundsätzlich nur in einem engen Rahmen zulässig. Beschäftigtendaten dürfen in Einklang mit § 26 BDSG regelmäßig verarbeitet werden, wenn dies zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlich ist. Der Begriff der "Erforderlichkeit" ist hierbei eng auszulegen. Nur, wenn die Verarbeitung unmittelba...mehr

Dem Arbeitgeber drohen bei Verstößen gegen datenschutzrechtliche Vorgaben an einigen Stellen Verwertungsverbote für die datenschutzrechtlich unrechtmäßig gewonnenen Erkenntnisse. Zwar kennen die deutschen Prozessordnungen kein generelles Verwertungsverbot für solche unrechtmäßig gewonnenen Erkenntnisse, aber insbesondere im Arbeitsrecht lassen die Gerichte eine Wertung diese...mehr

Der Beschäftigtendatenschutz ist durch Art. 88 Abs. 1 DSGVO i. V. m. § 26 BDSG geregelt. Inhaltlich deckt sich § 26 BDSG mit § 32 BDSG a. F. weitestgehend, sodass die bisher bestehenden Grundsätze auch in Zukunft Geltung behalten werden. 1.2.1 Definition des Beschäftigten Der Begriff des "Beschäftigten" ist gesetzlich in § 26 Abs. 8 BDSG definiert. Zu den Beschäftigten im Sinn...mehr

Eine Übermittlung personenbezogener Daten in das Vereinigte Königreich ist trotz des Brexits weiterhin ungehindert möglich, da die Europäische Kommission in Form eines Angemessenheitsbeschlusses im Juni 2021 festgestellt hat, dass das Datenschutzniveau im Vereinigten Königreich dem in der EU entspricht und aus diesem Grund keine Standardvertragsklauseln oder zusätzliche Date...mehr

Einfluss nationaler Rechtsvorschriften Sowohl Exporteure als auch Importeure müssen zukünftig versichern, dass sie keinen Grund zu der Annahme haben, dass die Rechtsvorschriften und Gepflogenheiten im Bestimmungsland, einschließlich Offenlegungs- und Überwachungsvorschriften, den Datenimporteur an der Erfüllung seiner Pflichten gemäß den Neuen Standardvertragsklauseln hindern...mehr

Ausgangsfall Anwendbarkeit bei Exporteuren mit Sitz außerhalb der EU und für Rückübermittlungen (Datenverarbeiter an Verantwortliche) Datenexporteure müssen nicht mehr in der EU ansässig sein, um die Neuen Standardvertragsklauseln anwenden zu können. Die Neuen Standardvertragsklauseln decken auch ein Szenario ab, in dem personenbezogene Daten von einem Exporteur mit Sitz auße...mehr

Der Bayerische Landesbeauftragte für den Datenschutz hat eine Orientierungshilfe für internationale Datentransfers veröffentlicht, die ein mehrstufiges Prüfungsschema vorsieht, anhand dessen verantwortliche Arbeitgeber die Zulässigkeit ihrer Übermittlung von Mitarbeiterdaten in ein Drittland beurteilen können.[1] Hierbei wird zunächst gefragt, ob für das entsprechende Drittla...mehr

Besondere Beachtung finden sollte die Kontrolle der Telekommunikationsdaten bei Mitarbeitern, die einem Sonderstatus dahingehend unterliegen, dass sie anderen Gruppen gegenüber zu Verschwiegenheit bzw. Vertraulichkeit verpflichtet sind. In dem Fall muss ggf. das Kontrollinteresse des Arbeitgebers dahinter zurückstehen. Explizit vor Kontrollen geschützt sind die Träger eines ...mehr

Arbeitgeber sollten zunächst die Gelegenheit nutzen und internationale Datenübermittlungen ihrer Organisation in weiterem Sinne unter die Lupe nehmen. Ein korrektes und aktuelles Verzeichnis aller Verarbeitungstätigkeiten gemäß Art. 30 DSGVO ist bei dieser Betrachtung von großer Wichtigkeit. Anschließend sollte ermittelt werden, welche Rechtsgrundlagen für die Datenübermittl...mehr

Verantwortliche müssen angesichts des Schrems II-Urteils anschließend prüfen, ob die gewählte Übermittlungsmethode ein wirksames Mittel darstellt, um ein "der Sache nach gleichwertiges" Schutzniveau für die personenbezogenen Daten im Bestimmungsland zu gewährleisten. So können die implementierten Klauseln und damit ein angemessenes Datenschutzniveau insbesondere dann untermi...mehr

Im Rahmen des Arbeitsverhältnisses erlangen die Regelungen der DSGVO und des BDSG regelmäßig hohe Bedeutung. Gerade angesichts von Mitarbeiterklagen nach erfolgter Kündigung oder der Kontrollbefugnisse des Betriebsrates stehen Arbeitgeber unter erheblichem Druck, die gesetzlichen Bestimmungen einzuhalten. Verstärkt wird dieser Druck durch die teils empfindlichen Geldstrafen,...mehr

Arbeitgeber sind verpflichtet, im Rahmen des Arbeitsverhältnisses einzelne Dokumente und Informationen für eine gewisse Dauer aufzubewahren. Entsprechende Aufbewahrungspflichten können sich aus Gesetz, Satzung, Tarif- oder Individualvertrag ergeben. Sinn und Zweck ist in erster Linie die Ermöglichung und Sicherstellung von effektiven Kontrollen durch staatliche Behörden. Für ...mehr

Die Parteien können die Neuen Standardvertragsklauseln durch zusätzliche Pflichten ergänzen, wenn dies für die jeweilige Datenübermittlungsvereinbarung erforderlich ist. Bei Widersprüchen zwischen den Neuen Standardvertragsklauseln und anderen Bestimmungen, die zwischen den Parteien vereinbart wurden, haben die Neuen Standardvertragsklauseln jedoch Vorrang. Die Neuen Standar...mehr

Des Weiteren muss der Sendungsweg technisch aus Datenschutzsicht bewertet werden. Hierbei ist jedoch zu unterscheiden, ob die Versendung im firmeneigenen Netz erfolgt und der Zugriff nur den Berechtigten möglich ist oder ob die Versendung an die privaten E-Mail-Accounts der Beschäftigten bei Drittanbietern außerhalb der Sphäre des Arbeitgebers erfolgt. Die Anforderungen für ...mehr

Leitsatz Die (finanzgerichtliche) Klage auf Schadenersatz nach Art. 82 der Datenschutz-Grundverordnung ist unzulässig, wenn es an einer vorherigen Ablehnung des Anspruchs seitens der Finanzbehörde und damit an einer für die Klageerhebung notwendigen Beschwer fehlt. Normenkette Art. 82, Art. 79 DSGVO, § 40 Abs. 2, § 67 FGO Sachverhalt Die Beteiligten streiten um Schadenersatz wegen Verletzung datenschutzrechtlicher Normen. Vor dem FG machte die Klägerin diverse Verstöße gegen die DSGVO anlässlich ei...DSGVOmehr

Die Grundsätze für die Verarbeitung personenbezogener Daten ergeben sich aus Art. 5 Abs. 1 DSGVO. Es handelt sich hierbei um Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Die Rahmenbedingungen für die Möglichkeiten, personenbezogene Daten und Dokumente zu verarb...mehr

Nach Art. 5 Abs. 1c DSGVO gilt das Prinzip der Datenminimierung, d. h. personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. In der Zusammenschau mit Art. 25 DSGVO tritt der Grundsatz der Datenminimierung an die Stelle der bisherigen Maxime der Datenvermeidung und Datensparsamkeit.[1] Nac...mehr

Überblick Trotz der weiten Verbreitung von Personalakten besteht in der Praxis häufig Unsicherheit über Fragen wie: Was gehört überhaupt zur Personalakte? Wer darf sie einsehen? Was gilt für sensible Daten? Kann der Mitarbeiter verlangen, dass seiner Akte ein Inhaltsverzeichnis beigefügt oder der Inhalt mit Seitenzahlen versehen wird? Welche Auswirkungen ergeben sich aus der...mehr

Der Arbeitnehmer bedarf zur Wahrung seines allgemeinen Persönlichkeitsrechts[1] des Schutzes vor der Personaldatenverarbeitung durch den Arbeitgeber. Diesem Schutz dienen: individualrechtlich das Vertrags- und Deliktsrecht, das Eingriffe in das allgemeine Persönlichkeitsrecht des Arbeitnehmers verbietet; die DSGVO, die unmittelbar geltendes Recht in den Mitgliedsstaaten der Eu...mehr

Art. 88 DSGVO befasst sich mit der "Datenverarbeitung im Beschäftigungskontext". Er regelt, dass die Mitgliedsstaaten "durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext ... vorsehen" können....mehr

Unter den Voraussetzungen von Art. 9 Abs. 1 DSGVO i. V. m. § 26 Abs. 3 BDSG ist die Erhebung und Verarbeitung von Gesundheitsdaten des Arbeitnehmers möglich. Sie ist hiernach insbesondere dann zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und...mehr

In der DSGVO finden sich keine wörtlichen Ausführungen zu einer Verpflichtung der Mitarbeiter auf das Datengeheimnis. Das BDSG sieht in § 53 nur für öffentliche Stellen eine Verpflichtung auf das Datengeheimnis vor. Bei der Formulierung kann dabei auf die gesetzlichen Formulierungen Bezug genommen werden. Schwieriger gestaltet sich die Situation für die Privatwirtschaft. Für n...mehr

Die Umstellung auf digitale (auch: elektronische) Personalakten ist im Rahmen des Art. 6 DSGVO zulässig und bedarf nicht der Zustimmung der Arbeitnehmer. Jedoch kann nach Maßgabe des § 34 BDSG i. V. m. Art. 15 DSGVO der Arbeitnehmer Auskunft über die zu seiner Person gespeicherten Daten verlangen. Ob bei Einführung und Anwendung digitaler Personalakten das Mitbestimmungsrecht...mehr