- Dokument in Textverarbeitung übernehmen
In Ergänzung zur Rahmenbetriebsvereinbarung "IT-Systeme" vereinbaren die Betriebsparteien diese Anlage. Diese Anlage hat Betriebsvereinbarungsqualität. Sie ist nicht isoliert kündbar.
Mitarbeiter, deren personenbezogene Daten im Rahmen eine IT-Systems verarbeitet werden, haben Anspruch auf: Auskunft, Einschränkung, Berichtigung, Löschung und Portierung.
Auskunftsanspruch nach Art. 15 DSGVO
Ermittlung aller gespeicherten personenbezogenen Daten
Der Arbeitgeber erfüllt vollständig seinen Auskunftsanspruch aus Art. 15 DSGVO, wenn er aus allen verwendeten IT-Systemen die gespeicherten personenbezogenen Daten gemäß folgender 4 Schritte ermittelt:
Schritt 1
Die in allen (mittels eines Steckbriefs bestimmten) eingeführten IT-Systemen eingetragenen personenbezogenen Daten werden mittels des Abfrage-Tools der jeweiligen Software ermittelt.
Die Abfrage durchläuft Übereinstimmungen (soweit angegeben) mit: Vorname, Name, E-Mail-Adresse, Alias, Telefonnummer, Postanschrift, Mitarbeiter-ID-Nummer, Sozialversicherungsnummer, .............
Schritt 2
Die von dem jeweiligen IT-System selbst generierten personenbezogenen Daten ("Erkenntnisse") werden, soweit eingesetzt, ermittelt.
Schritt 3
Die von dem jeweiligen IT-System generierten Protokolle mit einem personenbezogenem Datum werden ermittelt. Dies umfasst sämtliche pseudonymisierten Protokolle aus allen Onlinediensten, soweit diese nur mit einem technisch unzumutbaren Aufwand entpseudonymisiert werden können. Soweit das IT-System die Pseudonymisierung durchführt, gilt diese nicht als mit unzumutbaren Mitteln unumkehrbar.
Schritt 4
Der Arbeitgeber prüft, ob ein Fall vorliegt, in welchem der Mitarbeiter ein IT-System genutzt hat, für welches nicht der Arbeitgeber, sondern der Betreiber des IT-Systems selbst der Verantwortliche der Datenverarbeitung im Sinne des Art. 4 Nr. 7 DSGVO ist.[1]
In diesem Fall wird der Arbeitgeber den Mitarbeiter darauf hinweisen, dass er eine zusätzliche Betroffenenauskunft unmittelbar an den jeweiligen Verantwortlichen des IT-Systems richten kann, weil dort möglicherweise weitere personenbezogene Daten über ihn gespeichert sein könnten.
Umfang der Datenauskunft
Die zu erteilende Datenauskunft umfasst:
- die Verarbeitungszwecke;
- die Kategorien personenbezogener Daten, die verarbeitet werden;
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
- die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.
Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht, über die geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.
Form der Datenauskunft
Die Auskunft erfolgt in elektronischer Form, wenn der Antrag in elektronischer Form gestellt wurde, im Übrigen schriftlich.
Der Arbeitgeber kann die ermittelten Daten textlich und/oder in Screenshots zusammenstellen.
Der Arbeitgeber wählt die Darstellungsform, die eine präzise, transparente, verständliche und leicht zugängliche Form in einer klaren und einfachen Sprache ermöglicht.
Die Datenauskunft stellt der Arbeitgeber unentgeltlich zur Verfügung.
Das Recht des Betroffenen, eine Kopie aller über ihn gespeicherten personenbezogenen Daten zu erhalten, findet seine Grenze im Allgemeinen Persönlichkeitsschutz Dritter. Der Arbeitgeber hat sicherzustellen, dass die dem Mitarbeiter erteilte Auskunft keine personenbezogenen Daten anderer Mitarbeiter enthält.
Der Arbeitgeber ist berechtigt, an der Datenauskunft Schwärzungen vorzunehmen, soweit dies zum Schutz von Betriebs- oder Geschäftsgeheimnissen oder des Schutzes von geistigem Eigentum zwingend erforderlich ist.
Frist der Datenauskunft
Der Arbeitgeber stellt der betroffenen Person die Datenauskunft innerhalb eines Monats nach Zugang des Antrags zur Verfügung.
Entscheidet sich der Arbeitgeber, einem Auskunftsantrag nicht nachzukommen, so unterrichtet er den Anfragenden unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags über die Grün...
Das ist nur ein Ausschnitt aus dem Produkt Haufe Compliance Office Online. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen