Fachbeiträge & Kommentare zu Datenschutz

Adressat des alten wie des seit 2018 geltenden Datenschutzrechts ist der "Verantwortliche"[1], also etwa eine juristische Person, die personenbezogene Daten verarbeitet. Der Verantwortliche ist u. a. Anspruchsgegner mit Blick auf die Betroffenenrechte.[2] Er muss die Einhaltung des Datenschutzes nachweisen[3] und für Verstöße geradestehen, denn Schadensersatzansprüche von Be...mehr

Überblick Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) am 25.5.2018 begann eine neue Zeitrechnung im Datenschutz. Bei Projekten zur Umsetzung der neuen Vorgaben haben die Unternehmen in den Jahren nach ihrem Inkrafttreten sehr unterschiedliche Fortschritte erzielt. Die Praxis zeigt, dass zahlreiche hoch relevante Rech...mehr

"Verantwortlicher" im Sinne der Datenschutz-Grundverordnung (DSGVO) ist nach der Legaldefinition in Art. 4 Nr. 7 DSGVO "die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet". Nach dieser Definition ist jedenfalls der Arbeitgeber...mehr

Die Betriebsparteien sind grundsätzlich gut beraten, wenn sie die Verteilung der Verantwortung für den Datenschutz sowie entsprechende Prozesse gemeinsam in einer Betriebsvereinbarung regeln.[1] Diese ist das geeignete Instrument, um das Spannungsfeld von datenschutzrechtlicher Compliance, für die der Arbeitgeber verantwortlich ist (s. o. Abschn. 1) und Unabhängigkeit des Be...mehr

Ein weiterer Regelungsbereich der Vorgaben der DSGVO, bei dem eine Zusammenarbeit zwischen Arbeitgeber und Betriebsrat sinnvoll ist, betrifft die Dokumentations- und Rechenschaftspflichten. Wie bereits dargestellt, unterliegen Verantwortliche umfassenden Dokumentationspflichten, etwa nach Art. 30 DSGVO. Dabei haben Unternehmen zudem noch ein ganz erhebliches Eigeninteresse da...mehr

Sowohl für Arbeitgeber und Betriebsräte, aber auch für Arbeitnehmer haben betriebliche Vereinbarungen über Datenverarbeitungen und zum Datenschutz erhebliche Vorteile. Zum einen schaffen sie ein hohes Maß an Rechtssicherheit, zum anderen können klare Regelungen in Betriebsvereinbarungen auch die nach der DSGVO geforderte Transparenz schaffen und sonstige Anforderungen des Da...mehr

Gerade da der Verantwortliche grundsätzlich beweisen muss, dass er personenbezogene Daten im Einklang mit der DSGVO verarbeitet[1], kann der Abschluss entsprechender Betriebsvereinbarungen in Bezug auf den Datenschutz am Arbeitsplatz ein wesentlicher Baustein der Erfüllung der Rechenschaftspflichten des Arbeitgebers sein. Zudem lassen sich auch einzelne Dokumentationssysteme...mehr

Zusammenfassung Überblick Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) am 25.5.2018 begann eine neue Zeitrechnung im Datenschutz. Bei Projekten zur Umsetzung der neuen Vorgaben haben die Unternehmen in den Jahren nach ihrem Inkrafttreten sehr unterschiedliche Fortschritte erzielt. Die Praxis zeigt, dass zahlreiche hoch...mehr

Die vorstehenden Beispiele haben deutlich gemacht, dass bei vielen Bausteinen eines Datenschutz-Compliance-Systems eine Zusammenarbeit zwischen Arbeitgeber und Betriebsrat hilfreich sein kann, um die Anforderungen des Datenschutzrechts umzusetzen. Bereits in der Vergangenheit waren Betriebsvereinbarungen dabei ein effektives Mittel, um die Zwecke sowie die Art und Weise von ...mehr

Betriebsvereinbarungen dienen gleichzeitig der Ausübung von Mitbestimmungsrechten des Betriebsrats[1], insbesondere nach § 87 Abs. 1 Nr. 6 BetrVG (Einführung technischer Einrichtungen, die eine Leistungs- oder Verhaltenskontrolle ermöglichen) oder nach § 87 Abs. 1 Nr. 1 BetrVG (Fragen der Ordnung des Betriebs). Gerade die aktuelle Rechtsprechung des BAG zu § 87 Abs. 1 Nr. 6 ...mehr

Schwierigkeiten bereitete lange Zeit im Rahmen der DSGVO die Einordnung der datenschutzrechtlichen Rolle des Betriebsrats. Nach bisherigem Recht ging das BAG tendenziell davon aus, dass der Betriebsrat – ähnlich wie andere Abteilungen oder Stellen innerhalb eines Unternehmens – nicht selbst Verantwortlicher ist, aber – und dies ist eine wichtige Ergänzung – als Teil der vera...mehr

Ein Erfordernis der Zusammenarbeit zwischen Arbeitgeber und Betriebsrat bzw. ein Regelungsbedürfnis für eine trennscharfe Abgrenzung der Verantwortungsbereiche besteht zunächst mit Blick auf das nach Art. 30 DSGVO zu erstellende sogenannte Verarbeitungsverzeichnis. Nach Art. 30 Abs. 1 Satz 1 DSGVO ist grundsätzlich jeder Verantwortliche dazu verpflichtet (Ausnahme Abs. 5: wen...mehr

In Art. 5 Abs. 1 Buchst. a DSGVO ist der Grundsatz der Rechtmäßigkeit niedergelegt. Dies bedeutet, dass für jeden Datenverarbeitungsvorgang eine Rechtsgrundlage erforderlich ist.[1] Im nationalen Recht wurde dieses Strukturprinzip des Datenschutzrechts bislang als Verbot mit Erlaubnisvorbehalt[2] bezeichnet. Der Grundsatz der Rechtmäßigkeit kommt vor allem in den Generalklaus...mehr

Bei der Gestaltung von (Rahmen-)Betriebsvereinbarungen zur Umsetzung der Anforderungen des Datenschutzrechts kommt eine nicht unerhebliche Anzahl von Regelungskomplexen in Betracht. Welche Punkte die Betriebsparteien im Rahmen entsprechender Betriebsvereinbarungen regeln werden, hängt von einer Vielzahl von Faktoren ab. Gerade die Beziehungen zwischen Arbeitgeber und Betrieb...mehr

Eine weitere für die Praxis wichtige Frage ist, ob die Anforderungen von Art. 88 DSGVO für sämtliche Betriebsvereinbarungen gelten, die die Verarbeitung personenbezogener Daten von Arbeitnehmern regeln oder voraussetzen, oder nur für solche Betriebsvereinbarungen, die solche Verarbeitungen datenschutzrechtlich legitimieren sollen, also als eigenständiger datenschutzrechtlich...mehr

Art. 12 ff. DSGVO sehen umfassende Betroffenenrechte vor. Diese Rechte gelten uneingeschränkt auch im Beschäftigungsverhältnis. Die konkrete Umsetzung der Betroffenenrechte gegenüber Arbeitnehmern sollte erfahrungsgemäß mit dem Betriebsrat abgestimmt werden. In entsprechenden Betriebsvereinbarungen kann z. B. geregelt werden, in welcher Form und auf der Grundlage welcher Vorl...mehr

Art. 88 Abs. 1 DSGVO sieht ausdrücklich vor, dass Arbeitgeber und Betriebsrat Datenverarbeitungen durch entsprechend gestaltete Betriebsvereinbarungen rechtfertigen können. Gerade wenn im Rahmen einer Betriebsvereinbarung klarstellend geregelt wird, dass neben der Rechtfertigung der Datenverarbeitung durch die genannte Betriebsvereinbarung auch ein Rückgriff auf gesetzliche ...mehr

Nach Art. 88 Abs. 2 DSGVO müssen alle nationalen Vorschriften zum Beschäftigungskontext[1] – also insbesondere auch Betriebsvereinbarungen – so ausgestaltet werden, dass die Grundrechte und Interessen der Betroffenen hinreichend geschützt sind. Damit sind in erster Linie die oben aufgezeigten Grundsätze nach Art. 5 DSGVO in der Betriebsvereinbarung abzubilden. Darüber hinaus ...mehr

Betriebsvereinbarungen sollten jedenfalls die zentralen Grundsätze der DSGVO für den Umgang mit Daten abbilden bzw. die Betriebsparteien sollten diese als eine erste, noch recht grobkörnige Checkliste für eine datenschutzgerechte Vereinbarung durchgehen. Art. 5 DSGVO gibt folgende Grundsätze für den Umgang mit personenbezogenen Daten vor, die auch für etwaige Verarbeitungen ...mehr

Eine solche Öffnungsklausel, die es den Mitgliedstaaten ermöglicht, Rechtsgrundlagen zur Verarbeitung personenbezogener Daten zu schaffen, sieht Art. 88 Abs. 1 DSGVO für den Beschäftigungskontext vor.[1] Die Mitgliedstaaten können Erlaubnistatbestände für Datenverarbeitungen im Beschäftigungskontext nach Art. 88 Abs. 1 DSGVO entweder selbst durch entsprechende Gesetzgebung sc...mehr

Die letztlich sicherste Methode, Datenverarbeitungen auf der Grundlage von Betriebsvereinbarungen an die DSGVO anzupassen wäre es, sämtliche im Betrieb abgeschlossenen und noch abzuschließenden Betriebsvereinbarungen an den Vorgaben des neuen Beschäftigtendatenschutzes auszurichten. In der Praxis wird es allerdings nur den allerwenigsten Unternehmen tatsächlich und lückenlos...mehr

Wo die Ransomware-Attacke gemeldet werden muss, ist abhängig von der Art des Unternehmens. Betreiber kritischer Infrastrukturen, Betreiber von Energieversorgungsnetzen und Anbieter digitaler Dienste melden die Ransomware-Attacke "unverzüglich" als Sicherheitsvorfall beim BSI ( § 8b Abs. 4 BSIG, § 11 Abs. 1c EnWG, § 8c Abs. 3 BSIG ). Betreiber von öffentlichen Telekommunikations...mehr

Rz. 1 § 24b ist durch das 2. Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) vom 20.11.2019[1] zum 26.11.2019 in das BEEG eingefügt worden.mehr

Rz. 7 Die gematik ist befugt und verpflichtet, geeignete Systeme zur Erkennung von Störungen und Angriffen (§ 2 Abs. 9b BSIG) einzusetzen (Satz 1). Die Systeme werden im Benehmen mit dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und dem BSI eingesetzt (Satz 2).mehr

Ransomware-Programme verschlüsseln Inhalte einzelner Rechner oder kompletter Netzwerke und geben diese erst nach Zahlung eines Lösegeldes wieder frei. Die Bedrohungslage ist so hoch wie nie zuvor. Die Folgen einer Attacke sind oft gravierend, da die Daten trotz Zahlung nicht wieder freigegeben werden. Wer Opfer eines Ransomware-Angriffs geworden ist, muss aber neben allen an...mehr

Rz. 1 Die Vorschrift ist durch Art. 1 Nr. 16 des Gesetzes zur Vereinfachung des Elterngeldvollzugs v. 10.9.2012[1] mit Wirkung zum 18.9.2012 in das BEEG eingefügt worden. Sie ist im Laufe des Gesetzgebungsverfahren auf Vorschlag des BT-Ausschusses für Familie, Senioren, Frauen und Jugend in den Gesetzentwurf aufgenommen worden.[2] Sie ist mit Wirkung zum 1.1.2015 neu bekannt...mehr

0 Rechtsentwicklung Rz. 1 Die Vorschrift, die bisher innerhalb des AsylbLG keine Vorläufernorm hat, wurde mit dem Integrationsgesetz v. 31.7.2016 (BGBl. I S. 1939) mit Wirkung zum 6.8.2016 eingeführt. Unter dem aus dem SGB II bekannten Schlagwort des "Fördern und Fordern" sollte die Bestimmung ein Kernstück der gesetzlichen Neuregelungen für die Integration von Flüchtlingen s...mehr

Rz. 5 § 14 Abs. 1 Satz 1 setzt voraus, dass einer der dort aufgeführten Tatbestände rechtswidrig verwirklicht wird. Keine Ordnungswidrigkeit liegt vor, wenn das an sich mit Bußgeld bedrohte Verhalten gerechtfertigt ist (vgl. §§ 15, 16 OWiG). Gerechtfertigt ist ein Verhalten, wenn z. B. Rechtsvorschriften aus anderen Bereichen (etwa der Datenschutz) die Erteilung von Auskünft...mehr

Rz. 2 Die gematik überwacht den Betrieb von Komponenten und Diensten, die außerhalb der Telematikinfrastruktur betrieben werden. Die Regelung ist wegen der Öffnung der Telematikinfrastruktur für weitere Anwendungen (§ 325) erforderlich. Art und Umfang der Überwachungsmaßnahmen beziehen sich auf rein betriebstechnische Daten der jeweiligen Anwendung an den technischen Schnitt...mehr

Rz. 5 Der Bund kann ein Internetportal zur elektronischen Unterstützung der Antragstellung einrichten. Träger des Portals ist der Bund. Für Einrichtung und Betrieb des Portals ist das BMFSFJ zuständig (Abs. 1 Satz 3). Die Verwaltungskompetenz der Elterngeldstellen der Länder, die das BEEG in Auftragsverwaltung ausführen, bleibt unberührt (Abs. 1 Satz 4). Kern des Abs. 1 ist ...mehr

Rz. 7 Neben der Informationspflicht (Abs. 3) obliegt der gematik auch eine Meldepflicht gegenüber der zuständigen Aufsichtsbehörde (Art. 33 der Verordnung (EU) 679/2016). Dritte, die Daten im Auftrag der gematik verarbeiten, melden eine Verletzung des Datenschutzes an den Verantwortlichen (§ 307).mehr

Rz. 1 Mit dem 2. SGB V-ÄndG v. 20.12.1991 (BGBl. I S. 2325) ist die ursprünglich auf den 1.1.1992 festgelegte erhöhte Zuzahlungspflicht um 1 ½ Jahre hinausgeschoben und gleichzeitig verringert worden. Eine grundlegende Änderung mit Abkehr von diesem Zahlungssystem hatte das zum 1.1.1993 in Kraft getretene GSG (BGBl. I S. 2266) gebracht. Dadurch wurde erstmals eine einheitlich...mehr

Grundsätzlich hat der Arbeitgeber die Einhaltung und Durchführung des BDSG und der DSGVO durch technische und organisatorische Maßnahmen zu gewährleisten. Dies gilt unabhängig davon, wo und in welcher Form der Arbeitnehmer seine Arbeitsleistung erbringt. Auch bei der mobilen Arbeit muss daher sichergestellt werden, dass die innerbetrieblich geltenden Richtlinien, eventuelle ...mehr

Wie können Führungskräfte, die virtuell führen, Mitarbeiter motivieren, sich aktiver und offener einzubringen? Begegnungen ermöglichen: in einem primär virtuell zusammenarbeitenden Team in angemessenen zeitlichen Abständen Begegnungen live stattfinden lassen. Wertschätzender Umgang miteinander sowie freundlicher Blickkontakt und das aktive Zuhören sind in einem virtuellen Meet...mehr

Da bei der mobilen Arbeit die Einrichtung eines kompletten Arbeitsplatzes entfällt, sind die Kosten der Arbeitsmittel bei der mobilen Arbeit regelmäßig deutlich günstiger als die komplette Einrichtung eines festen Telearbeitsplatzes/Homeoffice. Für die mobile Arbeit benötigt der Mitarbeiter als Arbeitsmittel meistens nur einen Laptop bzw. ein Smartphone. Grundsätzlich hat der...mehr

Der Personalrat ist rechtzeitig und umfassend (§ 66 Abs. 1 BPersVG) von der geplanten Maßnahme zu unterrichten. Rechtzeitig ist die Unterrichtung, wenn dem Personalrat nach der Unterrichtung eine Frist von 10 Arbeitstagen verbleibt, die der Dienststellenleiter in dringenden Fällen auf 3 Arbeitstage abkürzen kann (§ 70 Abs. 3 Sätze 1 und 2 BPersVG). Umfassend ist die Unterricht...mehr

Seit dem 25.5.2018 werden die Regelungen zum Beschäftigtendatenschutz maßgeblich durch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) bestimmt. Nach Art. 12 ff. DSGVO ist der Arbeitgeber verpflichtet, die Beschäftigten umfassend über die Datenerhebung und -verarbeitung zu informieren. Ziel der umfassenden Informationspflichten ist es, eine tra...mehr

Bei dienstlichen Internet- und E-Mail-Anschlüssen handelt es sich um Betriebsmittel des Arbeitgebers, die ohne dessen Erlaubnis nicht privat genutzt werden dürfen. Ein Anspruch auf Privatnutzung folgt auch nicht aus Art. 9 Abs. 3 GG, wenn der Arbeitnehmer den Account für Zwecke des Arbeitskampfes nutzen will.[1] Die private Internet- und E-Mail-Nutzung am Arbeitsplatz stellt ...mehr

(1) Die Bundesregierung wird ermächtigt, durch Rechtsverordnung mit Zustimmung des Bundesrates vorzuschreiben, dass der Energieverbrauch der Benutzer von heizungs-, kühl- oder raumlufttechnischen oder der Versorgung mit Warmwasser dienenden gemeinschaftlichen Anlagen oder Einrichtungen erfasst wird, die Betriebskosten dieser Anlagen oder Einrichtungen so auf die Benutzer zu ve...mehr

Rz. 5 ESRS 1.AR16 enthält die strukturierte Darstellung von Nachhaltigkeitsaspekten, die i. R. d. Wesentlichkeitsanalyse eines berichtspflichtigen Unternehmens mind. zu würdigen sind (§ 3 Rz 61). Dieser umfassende Katalog fußt für die Kategorisierung der Themen auf Art. 29b Abs. 2 Buchst. b) der Corporate Sustainability Reporting Directive (CSRD). Die für die "eigene Belegsc...mehr

Rz. 116 Mit der Angabepflicht in ESRS S1-12 soll der Prozentsatz von Menschen mit Behinderung in der eigenen Belegschaft offengelegt werden (ESRS S1.77). Ziel ist es darzustellen, inwieweit Menschen mit Behinderung, die in Rz 46 als eine besonders für Auswirkungen anfällige bzw. marginalisierte Gruppe definiert werden, zur eigenen Belegschaft zählen (ESRS S1.78). Im Zusammen...mehr

Rz. 77 Bei der Erfüllung der Angabepflichten in ESRS S4-3 kann sich das Unternehmen nach ESRS S4.AR18 am Inhalt der UN-Leitprinzipien für Wirtschaft und Menschenrechte und der OECD-Leitsätze für multinationale Unternehmen orientieren, die sich auf Abhilfemaßnahmen und Beschwerdemechanismen konzentrieren. ESRS S4.BC75 verdeutlicht die Zweiteilung der Betrachtung: Einerseits s...mehr

Rz. 4 In der Berichterstattung zu ESRS S2 ist die generelle Herangehensweise des Unternehmens zu erklären und wie es seine Auswirkungen auf Arbeitskräfte in der Wertschöpfungskette identifiziert und behandelt. Für die Berichterstattung unterliegen alle Standards, inkl. der Unterthemen und Unter-Unterthemen, der vom Unternehmen durchzuführenden Wesentlichkeitsanalyse. Wenn da...mehr

Rz. 12 Anlage A von ESRS 1 enthält die Aufstellung der Nachhaltigkeitsaspekte, die bei der Wesentlichkeitsanalyse eines berichtspflichtigen Unternehmens mind. zu würdigen sind (§ 3). Die für ESRS S4 einschlägige Aufstellung von Themen, Unterthemen und Unter-Unterthemen zeigt die Tab. 1:mehr

Rz. 17 Nach ESRS G1.7 haben Unternehmen ihre Strategien in Bezug auf Aspekte der Unternehmenspolitik anzugeben sowie zu erläutern, wie es ihre Unternehmenskultur fördert. Die Berichterstattung nach ESRS G1.7 hat auch Angaben über die Art und Weise, wie das Unternehmen seine Unternehmenskultur begründet, entwickelt, fördert und bewertet, zu umfassen. Ziel dieser Offenlegungsp...mehr

Rz. 6 Anlage B von ESRS 1 enthält die Aufstellung der Nachhaltigkeitsaspekte, die bei der Wesentlichkeitsanalyse eines berichtspflichtigen Unternehmens mind. zu würdigen sind (§ 3). Die für ESRS G1 einschlägige Aufstellung von Themen, Unterthemen und Unter-Unterthemen enthält Tab. 1:mehr

Rz. 77 Der Indikator ESRS S1-7 ist als Ergänzung zu und in engem Zusammenhang mit ESRS S1-6 zu sehen. Diese Angabepflicht zielt darauf ab darzulegen, wie stark das Unternehmen auf den nicht angestellten Teil seiner eigenen Belegschaft angewiesen ist (ESRS S1.54): Das Unternehmen muss die Gesamtzahl des nicht angestellten Teils der eigenen Belegschaft gem. NACE Code N78[1] ang...mehr

Rz. 129 Die Angabepflichten gem. ESRS S1-14 verlangen – unter der Maßgabe der Wesentlichkeit – vom berichtspflichtigen Unternehmen offenzulegen, inwieweit die eigene Belegschaft durch sein Managementsystem für Gesundheit und Sicherheit abgedeckt ist und wie viele Vorfälle es im Zusammenhang mit arbeitsbedingten Verletzungen, Erkrankungen und Todesfällen in seiner eigenen Bel...mehr

Nach § 26 BDSG ist der Arbeitgeber berechtigt, personenbezogene Daten des einzelnen Beschäftigten nur zu bestimmten Zwecken zu erheben, zu verarbeiten oder zu nutzen. Allerdings ist die Norm nach der neuesten Rechtsprechung des EuGH[1] nicht mehr anwendbar, weil sie gegenüber der DSGVO keinen weitergehenden, eigenständigen Regelungsgehalt besitzt. Somit muss auch für die dat...mehr

Überblick Der Beitrag liefert einen Überblick zum Mitarbeiterdatenschutz im Zusammenhang mit Übermittlungen personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums ("EWR"). Hierbei werden die Vorgaben der Europäischen Datenschutz-Grundverordnung (Verordnung (EU) 2016/679) berücksichtigt sowie die Regelungen des Bundesdatenschutzgesetzes. Eingegangen wir...mehr