Fachbeiträge & Kommentare zu Datenschutz-Grundverordnung

Rz. 1 Seit dem 25.5.2018 gilt europaweit die Datenschutz-Grundverordnung (DSGVO). Ziel der Datenschutz-Grundverordnung (DSGVO) vom 27.4.2016 ist es, ein gleichwertiges Schutzniveau bei der Verarbeitung von personenbezogenen Daten in allen Mitgliedstaaten der Europäischen Union herzustellen (Erwägungsgrund 10). Der DSGVO kommt gegenüber nationalen Regelungen ein Anwendungsvor...mehr

Rz. 2 Der Beschäftigtendatenschutz ist im EU-Recht nicht gesondert geregelt. Art. 88 DSGVO ermächtigt dazu, "spezifischere Vorschriften ("more specific rules" im englischen Text) …im Beschäftigungskontext" zu erlassen. Im Rahmen des Normsetzungsverfahrens von Europäischem Parlament, Rat und Kommission konnten sich die Mitgliedstaaten nicht über eine bereichsspezifische Regel...mehr

I. Ziel der Datenschutz-Grundverordnung Rz. 1 Seit dem 25.5.2018 gilt europaweit die Datenschutz-Grundverordnung (DSGVO). Ziel der Datenschutz-Grundverordnung (DSGVO) vom 27.4.2016 ist es, ein gleichwertiges Schutzniveau bei der Verarbeitung von personenbezogenen Daten in allen Mitgliedstaaten der Europäischen Union herzustellen (Erwägungsgrund 10). Der DSGVO kommt gegenüber ...mehr

Rz. 2 Bei der Erfassung von Mitarbeiterdaten geht es im Kern immer um die Abwägung zwischen dem Informationsinteresse des Arbeitgebers und dem Persönlichkeitsschutz der betroffenen Arbeitnehmer. Das sich aus dem Allgemeinen Persönlichkeitsrecht ergebene Recht auf informationelle Selbstbestimmung wird im Grundsatz nicht verletzt, wenn eine Maßnahme datenschutzrechtlich zuläss...mehr

Rz. 95 Gem. § 26 Abs. 5 BDSG muss der Verantwortliche geeignete Maßnahmen ergreifen, um sicherzustellen, dass insbesondere die in Art. 5 der DSGVO dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden. Damit stellt der deutsche Gesetzgeber klar, dass ab dem 25.5.2018 neben den auf der Grundlage der Ermächtigung von Art. 88 Abs. 1 DSGVO ergehe...mehr

Rz. 439 I.R.d. administrativen Abwicklung betrieblicher Versorgungswerke ist vielfach ein Datentransfer aus dem Unternehmen heraus an dritte Stellen zwingend erforderlich. So sind z.B. Versorgungsverpflichtungen bilanziell zu erfassen, was je nach Durchführungsweg unterschiedliche versicherungsmathematische Bewertungsansätze erfordert. Diese Bilanzwerte sind im Regelfall dur...mehr

Rz. 3 Die DSGVO hat zum 25.5.2018 die bisherige Datenschutzrichtlinie RL 95/46/EG abgelöst. Zeitgleich traten die Neuregelungen des § 26 BDSG in Kraft (BGBl 2017 I, 2097). Rz. 4 Anders als die Datenschutzrichtlinie entfaltet die DSGVO in den Mitgliedstaaten eine unmittelbare vertikale Wirkung. Grundsätzlich besteht damit ein Anwendungsvorrang der DSGVO gegenüber nationalem Re...mehr

Rz. 83 Der Gesetzgeber hat in § 26 Abs. 3 BDSG zudem eine weitere Unklarheit beseitigt, die im BDSG a.F. im Hinblick auf die Verarbeitung besonderer Datenkategorien im Sinne des § 3 Abs. 9 BDSG a.F. bestand. § 32 Abs. 1 S. 1 BDSG a.F. regelte nur den Umgang mit "einfachen" personenbezogenen Daten. Für die Erhebung, Verarbeitung und Nutzung der nach § 3 Abs. 9 BDSG a.F. beson...mehr

Rz. 134 Gem. Art. 15 Abs. 1 S. 1 Hs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat die betroffene Person gem. Art. 15 Abs. 1 S. 1 Hs. 2 DSGVO ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informati...mehr

Rz. 97 Personenbezogene Daten müssen gemäß Art. 5 Abs. 1 lit. a) DSGVO "auf rechtmäßige Weise" verarbeitet werden. Eine Verarbeitung ist rechtmäßig, wenn einer der in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbestände erfüllt ist, anderenfalls ist die Verarbeitung verboten. An diesem bereits im BDSG a.F. enthaltenen "Verbot mit Erlaubnisvorbehalt" hat die Datenschutz-Grundve...mehr

Rz. 3 Der deutsche Gesetzgeber hat den ihm eingeräumten Gestaltungsspielraum genutzt und am 5.7.2017 das "Gesetz zur Anpassung des Datenschutzrechts an die VO (EU) 2016/679 und zur Umsetzung der RL (EU) 2016/680 (Datenschutz – Anpassungs- und – Umsetzungsgesetz EU – DSAnpUG-EU)" verkündet. Nach Art. 8 Abs. 1 S. 1 des DSAnpUG-EU ist ein neues Bundesdatenschutzgesetz mit Wirku...mehr

Rz. 1 Neue digitale Technologien und der Einsatz von Künstlicher Intelligenz ermöglichen immer neue Überwachungsmaßnahmen bzw. Leistungskontrollsysteme durch sog. Big Data-Analysen. Die nahezu unbegrenzten technischen Möglichkeiten kollidieren dabei mit dem Schutz des Persönlichkeitsrechts, der seinen Ausdruck im Beschäftigtendatenschutz findet. Die Rechtsprechung hat sich i...mehr

Rz. 162 Der Verantwortliche und der Auftragsverarbeiter benennen gem. Art. 37 Abs. 1 DSGVO auf jeden Fall einen Datenschutzbeauftragten, wennmehr

Rn. 13a Stand: EL 166 – ET: 08/2023 Mit der Regelung wird die Ahndung einer vorsätzlich oder leichtfertig begangenen Verletzung der Pflichten im Rentenbezugsmitteilungsverfahren (§ 22a Abs 1 S 1 EStG) als steuerliche Ordnungswidrigkeit ermöglicht. Mit der Neuregelung wird § 50f EStG an die VO (EU) 2016/679 angepasst (s 2. DSAnpUG-EU vom 20.11.2019, BGBl I 2019, 1626). Artikel ...mehr

Rz. 164 Ergänzend zu Art. 37 Abs. 1b und c der Verordnung (EU) 2016/679 benennen gem. § 38 Abs. 1 S. 1 BDSG der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Vera...mehr

Rz. 1 Bei den Verhandlungen zwischen Arbeitgeber und Bewerber um den Abschluss eines Arbeitsvertrages treffen zwei unterschiedliche Interessenlagen aufeinander. Während der Arbeitgeber i.S. einer sicheren Personalentscheidung umfassende Informationen über den Bewerber erlangen möchte, will dieser nicht über seine persönlichen Verhältnisse ausgefragt werden. Die Rspr. hat die...mehr

Rz. 119 Weder die Zivilprozessordnung noch das Arbeitsgerichtsgesetz enthalten Bestimmungen, die die Verwertbarkeit von Erkenntnissen oder Beweismitteln einschränken, die eine Arbeitsvertragspartei rechtswidrig erlangt hat. Vielmehr gebieten der Anspruch auf rechtliches Gehör gem. Art. 103 Abs. 1 GG und der Grundsatz der freien Beweiswürdigung (§ 286 ZPO) grundsätzlich die B...mehr

mehr

Rz. 87 Art. 88 Abs. 1 DSGVO bezieht "Kollektivvereinbarungen" in die möglichen nationalen Rechtsvorschriften zur Regelung des Datenschutzes im Beschäftigungskontext ein. Damit wurde insbesondere dem Interesse Deutschlands Genüge getan, die gewachsene und gelebte Praxis datenschutzrechtlicher Regelungen in Betriebsvereinbarungen und Tarifverträgen auch nach dem 25.5.2018 zu e...mehr

Rz. 168 Zwar gibt es auch derzeit noch keine umfassende höchstrichterliche Rechtsprechung zur Zulässigkeit einer Datenerhebung nach § 26 Abs. 1 BDSG . Es bestehen jedoch keine Anhaltspunkte dafür, dass sich die Grundsätze, die das BAG anhand des § 32 BDSG a.F. entwickelt hat, unter Geltung der DSGVO und des aktuellen BDSG signifikant ändern werden (im Ergebnis auch Kort, NZA ...mehr

Rz. 165 Arbeitnehmer, denen wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, haben gem. Art. 82 Abs. 1 DSGVO einen Anspruch auf Schadensersatz gegen ihren Arbeitgeber. Der haftungsbegründende Tatbestand der Norm, der im Kern die Verletzung einer Pflicht aus der DSGVO voraussetzt, dürfte schnell erfüllt sein. Damit führt auch ei...mehr

Rz. 1 Datenschutz im weiteren Sinne ist allgemeiner Ausdruck des Persönlichkeitsschutzes des Arbeitnehmers. Trotz vielfältiger politischer Bemühungen gibt es noch immer kein einheitliches Arbeitnehmerdatenschutzrecht. Insofern muss wie bisher auf das BDSG zurückgegriffen werden, das den Einzelnen davor schützen will, dass er durch den Umgang mit seinen personenbezogenen Date...mehr

Rz. 116 Gem. § 26 Abs. 7 BDSG sind die Absätze 1 bis 6 auch anzuwenden, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Damit wird – wie bereits in der Vergangenheit – auch künftig die Anwendbarkeit der Vorschrif...mehr

Rz. 45 § 32 Abs. 1 S. 2 BDSG a.F. wurde wegen seiner Beschränkung auf Straftaten vielfach als zu eng erachtet (Düwell/Brink, NZA 2017, 1081, 1084), da Arbeitgeber gemeinhin auch ein erhebliches Interesse daran haben, Ordnungswidrigkeiten oder auch die Verletzung unternehmensinterner Richtlinien durch Beschäftigte zu ermitteln und zu sanktionieren. Rz. 46 Ebenfalls noch zu § 3...mehr

Rz. 102 Personenbezogene Daten müssen nach dem Grundsatz der Datenminimierung in Art. 5 Abs. 1 lit. c) DSGVO dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein. Eine im Grundsatz vergleichbare Regelung ist bereits aus § 3a BDSG a.F. bekannt. Unternehmen dürfen personenbezogene Daten nur in dem Umfang verarbeiten, d...mehr

Rz. 98 Personenbezogene Daten müssen gem. Art. 5 Abs. 1 lit. a) DSGVO in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Der Betroffene muss wissen, dass Daten über ihn verarbeitet werden und in welchem Umfang dies erfolgt. Die Transparenz hat sich unter anderem auf die Zwecke der Datenverarbeitung und die Rechte der betroffenen Personen zu bezieh...mehr

Rz. 109 Art. 5 Abs. 2 DSGVO bestimmt, dass der Verantwortliche nicht nur für die Einhaltung der in Art. 5 Abs. 1 DSGVO genannten Grundsätze verantwortlich ist, sondern er deren Einhaltung auch nachweisen können muss. Diese Nachweispflicht ist eine wesentliche Veränderung im Vergleich zur Rechtslage unter dem BDSG a.F. Bei einer Überprüfung durch Aufsichtsbehörden muss der Ve...mehr

Rz. 100 Personenbezogene Daten dürfen gemäß Art. 5 Abs. 1 lit. b) DSGVO nur für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Rz. 101 Hinweis Wie aus Erwägungsgrund 39 DSGVO folgt, müssen die Zwecke bereits zum Zeitpunkt der Datenerhebung festgelegt sein. Die DSGV...mehr

Rz. 3 [Autor/Stand] Die Verfolgungskompetenz der FinB gem. § 409 AO AO i.V.m. §§ 35, 36 Abs. 1 Nr. 1 OWiG, § 387 AO erstreckt sich auf die in § 377 Abs. 1 AO genannten Steuerordnungswidrigkeiten und gleichgestellte Ordnungswidrigkeiten (vgl. auch die Auflistung in Nr. 105–108 AStBV (St) 2023; s. AStBV Rz. 105 ff. sowie § 377 Rz. 11 ff.). Danach sind dies insbesondere[2] die le...mehr

Rn. 39b Stand: EL 166 – ET: 08/2023 Vorbemerkung zu den Änderungen des § 22a Abs 2 EStG zum 01.01.2017: IRd redaktionellen Anpassung an den in § 93c AO verwendeten Rechtsbegriff "mitteilungspflichtige Stelle" wurden in S 1, 2, 3, 4, 6 und 8 die früheren Begriffe "Mitteilungspflichtige" ersetzt (BT-Drucks 18/7457, 97). Mit Wirkung ab 20.11.2019 ist § 22a Abs 2 S 8 EStG (s Rn 1...mehr

Rz. 104 Gemäß Art. 5 Abs. 1 lit. d) DSGVO müssen personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind angemessene Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden. Die Richtigkeit der Datenverarbeitung richtet sich n...mehr

Rz. 118 Unter Geltung des BDSG a.F. war streitig, ob personenbezogene Daten von Beschäftigten für Zwecke erhoben, verarbeitet und genutzt werden durften, die nicht unmittelbar dem Beschäftigungsverhältnis dienten, sondern anderen Zwecken, beispielsweise der Übermittlung von Beschäftigtendaten für eine Due Diligence zur Vorbereitung eines Unternehmenskaufs oder im Zusammenhan...mehr

Rz. 17 Nach § 26 Abs. 1 S. 1 Var.1 BDSG ist die Verarbeitung personenbezogener Daten zulässig, wenn dies für die Entscheidung über die Begründung des Beschäftigungsverhältnisses erforderlich ist. Die Regelung entspricht insoweit § 32 Abs. 1 S. 1 BDSG a.F., den sie fortführen soll, sodass auch auf die dazu ergangene Rechtsprechung Bezug genommen werden kann. Vor Begründung des...mehr

Rz. 11 Die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses ist gem. § 26 Abs. 1 S. 1 BDSG gestattet, wenn sie zur Erfüllung dieser Zwecke "erforderlich" ist. Der Gesetzesbegründung lassen sich Anhaltspunkte zur näheren Bestimmung des Begriffs der Erforderlichkeit i.S.v. § 26 BDSG entnehmen. Der Begriff der Erforderlichkeit für Zwecke des Beschäftigungsverhältnis...mehr

Rz. 108 Der Grundsatz der Integrität und Vertraulichkeit in Art. 5 Abs. 1 DSGVO bezweckt, dass personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen in einer solchen Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet. Konkret werden der Schutz vor unbefugter oder unrechtmäßiger Verarbeitung, vor unbeabsichtigtem Verlust, unbeab...mehr

Rz. 1331 Ob und in welcher Art der Arbeitgeber eine Personalakte führt, obliegt allein seiner Entscheidung (GK-BetrVG/Wiese, § 83 Rn 7). Eine gesetzliche Verpflichtung besteht dazu nicht. Ein Arbeitnehmer hat daher auch keinen Anspruch darauf, dass eine geführte Personalakte mit fortlaufenden Seitenzahlen versehen ist (BAG v. 16.10.2007, BG 2008, 819, 820). Insb. wegen öffen...mehr

Rz. 106 Gem. Art. 5 Abs. 1 lit. e) DSGVO darf bei einer Speicherung personenbezogener Daten die Identifizierung der betroffenen Person nur so lange möglich sein, wie es für den Verarbeitungszweck erforderlich ist. Damit wird der Grundsatz der Datenminimierung um eine zeitliche Beschränkung der Speicherung ergänzt. Aus Erwägungsgrund 39 DSGVO folgt, dass die Speicherfrist für...mehr

Rz. 40 Mit der Aufnahme des Rechtfertigungsgrundes der Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten in § 26 Abs. 1 S. 1 BDSG hat der Gesetzgeber eine im BDSG a.F. bestehende lückenhafte Regelung ergänzt. Der ...mehr

Rz. 75 Im Beschäftigtendatenschutz war unter dem BDSG a.F. die Frage nach der Wirksamkeit einer Einwilligung des Betroffenen in die Datenerhebung, -verarbeitung und -nutzung seit langem umstritten. Insbesondere wurde immer wieder angezweifelt, ob ein Beschäftigter aufgrund des in einem Arbeitsverhältnis zwischen Arbeitnehmer und Arbeitgeber gemeinhin bestehenden Über-Unteror...mehr

Rz. 10 Die arbeitsgerichtliche Rechtsprechung hatte in den letzten Jahren mehrfach Gelegenheit, sich mit verschiedenen Systemen der digitalen Überwachung auseinanderzusetzen (BAG v. 27.7.2017 – 2 AZR 681/16, NZA 2017, 1327, "Keylogger"; BAG v. 29.6.2017 – 2 AZR 597/16, NZA 2017, 1179 und BAG v. 20.10.2016 – 2 AZR 395/15, NZA 2017, 443 "verdeckte Videoüberwachung"; BAG v. 25....mehr

Rz. 14 Häufig wird sich als praktisches Problem die unzureichende Überprüfbarkeit der Einhaltung des Beschäftigtendatenschutzes stellen. Wie soll bspw. ein Bewerber kontrollieren, ob der potenzielle Arbeitgeber Hintergrundrecherchen im Internet, insb. in sozialen Netzwerken vorgenommen oder Einsicht in den Dienstrechner genommen hat? Zwar besteht regelmäßig ein Mitbestimmung...mehr

Rz. 110 Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben gem. § 26 Abs. 6 BDSG unberührt. § 26 Abs. 6 BDSG hat den Inhalt von § 32 Abs. 3 BDSG a.F. im Sinn einer klarstellenden Funktion übernommen (BT-Drucks 18/11325, 97). Der Norm kommt jedoch kein Regelungsgehalt zu, der die Datenverarbeitung durch Arbeitgeber oder Betriebsrat tatbestandlich eigen...mehr

Rz. 25 Nach § 26 Abs. 1 S. 1 Var. 2 BDSG ist die Verarbeitung personenbezogener Daten zulässig, wenn dies nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Der Arbeitgeber kann im Rahmen seines Weisungsrechts gem. § 611 a Abs. 1 S. 2, 3 BGB, § 106 S. 2 GewO anordnen, dass Arbeitnehmer sich Torkontrollen zu unterziehen ha...mehr

Rz. 17 Vom BDSG abweichende Betriebsvereinbarungen sind auch nach der Reform 2018 möglich, allerdings durch das Schutzniveau der DSGVO in ihrem Anwendungsbereich streng limitiert. Dabei sind nicht nur die allgemeinen Datenschutzgrundsätze (Art. 5 DSGVO) zu beachten, der Arbeitgeber hat auch den umfangreichen Aufklärungs- und Informationspflichten der Art. 12 ff. DSGVO nachzu...mehr

Rz. 654 In dem durch das BetriebsrätemodernisierungsG vom 14.6.2021 eingefügten § 79a BetrVG ist in S. 1 ausdrücklich festgehalten, dass der Betriebsrat bei der – eigenen – Verarbeitung personenbezogener Daten die Vorschriften über den Datenschutz einzuhalten hat. Daneben hat der Betriebsrat das Recht und die Pflicht, die Einhaltung datenschutzrechtlicher Bestimmungen im Bet...mehr

Rz. 36 Die Frage nach einer Gewerkschaftszugehörigkeit ist nach Art. 9 Abs. 1 DSGVO unzulässig. Ausnahmsweise kann die Frage nach Art. 9 Abs. 2 Nr. 2 DSGVO zulässig sein, wenn der Arbeitgeber die Angabe benötigt, weil in seinem Betrieb Tarifverträge gelten und demnach die Tarifbindung zu prüfen ist (Zeller, BB 1987, 1522, 1525; Schierbaum, AiB 1995, 586, 592; Moritz, NZA 198...mehr

Rz. 10 Verarbeitung“ i.S.d. DSGVO bezeichnet gem. Art. 4 Nr. 2 DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Of...mehr

Rz. 35 Nach einer Parteizugehörigkeit darf bei der Einstellung grds. nicht gefragt werden, ebenso nach Art. 9 Abs. 1 DSGVO nicht nach politischen Ansichten. Eine Ausnahme soll für die Frage einer Parteimitgliedschaft bei der Einstellung in parteipolitische Institutionen gelten (vgl. Schaub, ArbRHB, § 26 Rn 38).mehr

Rz. 1 Führt die arbeitgeberseitige Entscheidung dazu, die Bewerbung für den zu besetzenden Arbeitsplatz nicht zu berücksichtigen, so ist er auf eigene Kosten verpflichtet, die ihm auf eine Ausschreibung hin zur Verfügung gestellten Bewerbungsunterlagen an den Absender zurückzuleiten (Schaub, ArbRHB, § 25 Rn 12; BAG v. 6.6.1984, DB 1984, 2626 = NZA 1984, 321). Dem Arbeitgeber...mehr

Rz. 42 Zur Aufdeckung von Straftaten dürfen gem. § 26 Abs. 1 S. 2 BDSG personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interes...mehr