GDD-Arbeitskreis Datenschutz-Praxis

Größe: px
Ab Seite anzeigen:

Download "GDD-Arbeitskreis Datenschutz-Praxis"

Transkript

1 GDD-Arbeitskreis Datenschutz-Praxis Praxishilfe V Mitarbeiterdaten im Unternehmensverbund 2. Auflage 2014

2 Vorbemerkung Zunehmend werden unternehmerische Ziele in nationalen und multinationalen Unternehmensverbünden verfolgt und weltweite Datennetze sowie moderne Informations- und Kommunikationstechnologien vereinfachen den Datenaustausch. Im Zuge der Optimierung ihrer Geschäftstätigkeiten sind die Konzerne in wachsendem Maße darauf angewiesen, Mitarbeiterdaten an die konzernangehörigen Unternehmen - häufig auch grenzüberschreitend - zu transferieren. Angesichts der Tatsache, dass weder die EU-Datenschutzrichtlinie noch das Bundesdatenschutzgesetz ein Konzernprivileg kennen, ist die datenschutzrechtliche Zulässigkeit der Weitergabe von Mitarbeiterdaten im Unternehmensverbund häufig nicht unproblematisch. Vor diesem Hintergrund greift der mit Datenschutzpraktikern und Juristen besetzte GDD-Arbeitskreis Datenschutz-Praxis mit der vorliegenden Praxishilfe Grundsatzfragen und typische Personaldatenflüsse unter datenschutzrechtlichen Gesichtspunkten beispielhaft auf, um den betrieblichen Datenschutzbeauftragten die praktische Umsetzung der einschlägigen rechtlichen Vorgaben zu erleichtern und zugleich einen Beitrag zu mehr Rechtssicherheit in diesem Bereich zu leisten. Bonn, im Januar 2014 GDD-Arbeitskreis Datenschutz-Praxis : Dr. Astrid Breinlinger, Joachim Broers, Uwe Dieckmann, Harald Eul, Uwe Hagen, Andreas Jaspers, Christoph Klug, Gabriela Krader, Thomas Müthlein, Yvette Reif, Bettina Robrecht

3 GDD-Arbeitskreis Datenschutz-Praxis - Praxishilfe V Praxishilfe Mitarbeiterdaten im Unternehmensverbund, 2. Auflage, 2014 Herausgeber: Gesellschaft für Datenschutz und Datensicherheit e.v. - Alle Rechte vorbehalten Gesellschaft für Datenschutz und Datensicherheit e.v. (GDD) Heinrich-Böll-Ring Bonn https://www.gdd.de Nachdruck und Vervielfältigung jeder Art sind nur mit ausdrücklicher Genehmigung der GDD gestattet. Bildnachweis Cover: Komposition von Grafiken/Bildern von bzw.

4 Inhaltsverzeichnis I. Hinweise zur Nutzung der Praxishilfe...3 II. Allgemeines Begriff des Unternehmensverbundes Verantwortliche Stellen im Unternehmensverbund Weitergabe von Mitarbeiterdaten im Unternehmensverbund Transfer von Mitarbeiterdaten im internationalen Unternehmens-verbund...4 III. Rechtsgrundlagen der Personaldatenverarbeitung im Unternehmensverbund 4 1. Einleitung Allgemeine Zulässigkeitsvoraussetzungen Übersicht Verhältnis zwischen 32 und 28 BDSG Zulässigkeitsvoraussetzungen des 32 Abs. 1 Satz 1 BDSG Zulässigkeitsvoraussetzungen des 32 Abs. 1 Satz 2 BDSG Zulässigkeitsvoraussetzungen des 28 Abs. 1 Satz 1 Nr. 2 BDSG Einwilligung Privilegierung der Auftragsdatenverarbeitung in der EU / dem EWR Allgemeines Auswahl eines konzernangehörigen Auftragnehmers Anforderungen an den Vertrag Abgrenzung zur Funktionsübertragung Besondere Zulässigkeitsvoraussetzungen beim Drittlandtransfer Allgemeines Weitergabe sensitiver Mitarbeiterdaten

5 5. Unterrichtungspflichten bei der Datenerhebung Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten...15 IV. Beispiele typischer Mitarbeiterdatenflüsse im Unternehmensverbund Allgemeines Steuerung der IT-Infrastruktur Übergreifende Netzwerkadministration und Support Elektronische Kommunikationsverzeichnisse Zentraler - / Internet-Server Inanspruchnahme von Rechenzentrums- / IT-Dienstleistungen Cloud-Computing Personalrecruiting Shared-Service-Center Human Resources Zentrale Führungskräftebetreuung und -entwicklung Übermittlung an Matrix-Vorgesetzte Remotezugriffe auf Mitarbeiterdaten Skill-Management Mitarbeiterbefragung Compliance Bonusprogramme Werbliche Ansprache der Mitarbeiter Unternehmenstransaktionen

6 I. Hinweise zur Nutzung der Praxishilfe Diese Praxishilfe besteht aus einem Grundlagenteil, der allgemein in die Rechtsgrundlagen der Personaldatenverarbeitung im Unternehmensverbund einführt, sowie einem zweiten Teil, der typische Personaldatenflüsse im Unternehmensverbund unter datenschutzrechtlichen Gesichtspunkten beispielhaft aufgreift. Damit ermöglicht die Praxishilfe sowohl eine grundlegende als auch eine fallbezogene Lektüre. II. Allgemeines 1. Begriff des Unternehmensverbundes Unter einem Unternehmensverbund versteht man den Zusammenschluss von rechtlich und wirtschaftlich selbstständigen Unternehmen zu einer größeren Wirtschaftseinheit. Dabei ist es nicht zwingend, dass die Selbstständigkeit der einzelnen Unternehmen im Bereich wirtschaftlicher Entscheidungen aufgehoben wird. Erfasst werden etwa auch Kooperationen in Form von Joint-Ventures. Auch ein Konzern ist als Unternehmensverbund zu qualifizieren. Charakteristisch ist hierbei der Zusammenschluss mehrerer rechtlich selbstständiger Unternehmen (Legal Entities) zu einer wirtschaftlichen Einheit unter einer einheitlichen Leitung. Ein Konzern besteht regelmäßig aus einem Mutterunternehmen und einem oder mehreren Tochterunternehmen. Spezielle Organisationsformen bei Konzernen sind die Holding-Organisation und die sog. Matrix-Organisation, die neben den Legal Entities auch sonstige Geschäftseinheiten (Business Units) und/oder Shared- Service-Center beinhaltet. 2. Verantwortliche Stellen im Unternehmensverbund Wie dargestellt, gehören einem Unternehmensverbund - z.b. einem Konzern - typischerweise mehrere rechtlich selbstständige Unternehmen an. Diese bilden jeweils eine verantwortliche Stelle im Sinne des BDSG. Letzteres schließt allerdings nicht aus, dass im Rahmen der Zusammenarbeit - etwa bei konzernübergreifenden Projekten - zusätzlich eine weitere, gemeinsame verantwortliche Stelle z.b. in Form einer BGB-Gesellschaft entstehen kann. Es existieren vielfältige Konzernformen und die Konzernstrukturen sind oft dynamisch. Im Hinblick auf die datenschutzrechtliche Zulässigkeit von Datenflüssen stellt das BDSG nicht etwa auf Beherrschungsverhältnisse, sondern allein auf die verantwortliche Stelle ( 3 Abs. 7 BDSG) ab. Hinsichtlich der datenschutzrechtlichen Verantwortlichkeit kommt es mithin nur auf die rechtliche Selbstständigkeit der Daten verarbeitenden Stelle an. Des Weiteren können im Unternehmensverbund gemeinsame zentrale Dienstleister (gemei n- sames Rechenzentrum, Shared-Service-Center etc.) auftreten. Bei einem rechtlich selbständigen Dienstleister kommt es hinsichtlich der datenschutzrechtlichen Verantwortung darauf an, ob dieser lediglich als weisungsabhängiger Auftragnehmer i.s.v. 11 BDSG tätig ist. Ist dies der Fall, so verbleibt die datenschutzrechtliche Verantwortlichkeit grundsätzlich beim Auftraggeber. 3

7 3. Weitergabe von Mitarbeiterdaten im Unternehmensverbund Verantwortliche Stellen im Unternehmensverbund sind im Rahmen der Verfolgung ihrer gemeinsamen unternehmerischen Ziele vielfach auf die Übermittlung und Nutzung personenbezogener Daten angewiesen. Nach der Legaldefinition in 3 Abs. 4 Satz 2 Nr. 3 BDSG bedeutet Übermitteln das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise, dass die Daten an den Dritten weitergegeben werden oder dass der Dritte zur Einsicht oder zum Abruf bereitgehaltene Daten einsieht oder abruft. Da das BDSG keine Privilegierung hinsichtlich der Übermittlung von Mitarbeiterdaten an verbundene Unternehmen kennt und Personaldaten grundsätzlich vertraulich zu behandeln sind, bedarf es zur Legitimation einer solchen Übermittlung von Beschäftigtendaten insofern stets eines gesetzlichen Erlaubnistatbestandes. Anzumerken ist aber, dass es vielfach gerade auch im Interesse der Mitarbeiter liegt, dass ihr Beschäftigungsunternehmen (Arbeitgeber) ihre Daten an verbundene Unternehmen weitergibt. Dies kann z.b. aus Karrieregründen oder zur Abwicklung von Bonusprogrammen geschehen. 4. Transfer von Mitarbeiterdaten im internationalen Unternehmensverbund Im Rahmen der Globalisierung hat die Anzahl multinationaler Unternehmensverbindungen stark zugenommen, womit verstärkt auch die grenzüberschreitende Übermittlung von Mitarbeiterdaten einhergeht. Datenschutzrechtlich muss insofern zwischen der Datenweitergabe in EU- bzw. EWR-angehörige Länder und in sog. Drittländer differenziert werden. Folglich hat eine verantwortliche Stelle neben der Prüfung des Erlaubnistatbestandes für die Datenweitergabe auch zu klären inwieweit beim Empfänger ein angemessenes Datenschutzniveau vorliegt. Die diesbezüglichen Regelungen finden sich in 4b, 4c BDSG (vgl. auch Ziff. III., 4.). III. Rechtsgrundlagen der Personaldatenverarbeitung im Unternehmensverbund 1. Einleitung Die nachfolgende Darstellung beschränkt sich im Wesentlichen auf die datenschutzrechtlichen Aspekte der Personaldatenverarbeitung im Unternehmensverbund. Daneben sind die allgemeinen arbeitsrechtlichen Bestimmungen zu beachten, wie etwa Tarifverträge und Mitbestimmungsrechte. So ist z.b. zu beachten, dass das Outsourcing der Personaldatenverarbeitung jedenfalls insoweit durch den Betriebsrat mitbestimmt sein muss, als die an den Auftragnehmer delegierte Datenverarbeitung eine Leistungs- oder Verhaltenskontrolle der Mitarbeiter ermöglicht ( 87 Abs. 1 Nr. 6 BetrVG). Mitbestimmungspflichtig ist dabei aber grundsät zlich nur das ausgegliederte Datenverarbeitungsverfahren, nicht die Ausgliederung an sich. Gegebenenfalls empfiehlt sich der Abschluss einer Betriebsvereinbarung zur Legitimierung einer Datenweitergabe im Unternehmensverbund. Aufgrund ihrer unmittelbaren Außenwirkung ist sie als andere Rechtsvorschrift im Sinne des 4 BDSG anzusehen 1. Der überwiegende Teil 1 Sokol, in: Simitis, BDSG 7. Aufl., 4 Rn

8 der Aufsichtsbehörden und der Literatur sind allerdings der Ansicht, dass Betriebsvereinbarungen den Datenschutz gegenüber dem BDSG nicht einschränken können 2. Dies bedeutet, dass im Falle einer vom BDSG abweichenden Regelung innerhalb der Betriebsvereinbarung diese mindestens so weitreichend sein muss, wie es das BDSG vorgibt. Darüber hinaus kann eine Betriebsvereinbarung als Rechtsgrundlage für den Datentransfer ins Drittland dienen, wenn ihre Regelungen zum Datenschutz an den Dienstleister im Drittland durchgereicht werden, so z.b. indem diese in einem Vertrag oder in einer anderen Unternehmensregelung für verbindlich erklärt werden. Denn die Betriebsvereinbarung selbst besitzt im Ausland keine unmittelbare Rechtsgültigkeit, so dass es einer zusätzlichen Absprache bedarf 3. Aber auch an dieser Stelle ist ein Vergleich mit den Schutzvorgaben des BDSG, so insbesondere 4b, 4c BDSG geboten. 2. Allgemeine Zulässigkeitsvoraussetzungen 2.1 Übersicht Gemäß 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt bzw. anordnet oder der Betroffene wirksam eingewilligt hat (Verbot mit Erlaubnisvorbehalt). Bei der Suche nach einer entsprechenden Rechtsvorschrift für den Umgang mit Beschäftigtendaten im Unternehmensverbund ist grundsätzlich der im BDSG verankerte Subsidiaritätsgrundsatz zu beachten, der von einer vorrangigen Anwendung bereichsspezifischer Normen des Bundes ausgeht, sollten diese den Umgang mit personenbezogenen Daten regeln (vgl. 1 Abs. 3 Satz 1 BDSG). Diese bereichsspezifischen Normen sind zwar im Zusammenhang mit der Personaldatenverarbeitung im nicht-öffentlichen Bereich beispielsweise seltener anzutreffen, können jedoch Bedeutung bei der Überwachung der Informations- und Kommunikationstechnik am Arbeitsplatz (siehe Telekommunikationsgesetz oder Telemediengesetz) oder der Veröffentlichung von Mitarbeiterfotos (siehe Kunsturhebergesetz, KunstUrhG) erlangen. Hinsichtlich des Austausches von Mitarbeiterdaten im Konzern kommen als Erlaubnistatbestände in Betracht: andere Rechtsvorschriften nach 4 Abs. 1 BDSG (z.b. Betriebsvereinbarungen), 32 Abs. 1 Satz 1 BDSG, sollte die Datenverarbeitung für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich sein, 32 Abs. 1 Satz 2 BDSG zur Aufdeckung von Straftaten überwiegende berechtigte Interessen der übermittelnden Stelle nach 28 Abs. 1 Satz 1 Nr. 2 BDSG, überwiegende berechtigte Interessen des Datenempfängers nach 28 Abs. 3 Satz 1 Nr. 1 BDSG, eine freiwillige, informierte Einwilligung nach 4a BDSG (ggf. auch schlüssig erteilt; z.b. bei informierter Mitwirkung der Mitarbeiter an der Datenübermittlung - Employee Self Service), 2 Gola/Schomerus, BDSG 11. Aufl., 4 Rn. 10a. 3 Vgl. Berliner Beauftragter für Datenschutz und Informationsfreiheit, Jahresbericht 2002, Ziffer

9 bei besonderen Arten personenbezogener Daten ( 3 Abs. 9 BDSG) besondere Gründe nach 28 Abs. 6 bis 9 BDSG (z.b. Einwilligung). Je nachdem, ob die Daten an Stellen innerhalb oder außerhalb der EU / des EWR (vgl. hierzu nachstehend Ziff. 4.) weitergegeben werden, bestehen unterschiedliche Zulässigkeitsvoraussetzungen. Auf Grund der durch die EU-Datenschutzrichtlinie 4 bewirkten Harmonisierung gilt hinsichtlich der Übergabe von Mitarbeiterdaten an Konzernunternehmen im EU- / EWR-Bereich das Prinzip der Gleichbehandlung mit der inländischen Situation. Mithin ist der Austausch von Mitarbeiterdaten zwischen in Deutschland gelegenen Konzernunternehmen unter den gleichen Voraussetzungen zulässig wie der Austausch dieser Daten zwischen einer deutschen Konzerngesellschaft und einem in der EU / dem EWR gelegenen konzernangehörigen Unternehmen. Der insoweit gewährleistete freie Datenfluss im Binnenmarkt stellt jedoch kein Konzernprivileg dar, weswegen es zur datenschutzgerechten Datenweitergabe nach wie vor einer Erlaubnisnorm bedarf. Als allgemeine Zulässigkeitsregelung kommt insbesondere 32 Abs. 1 Satz 1 BDSG in Betracht, der zu einer Datenübermittlung berechtigen kann, sollte diese zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sein. 2.2 Verhältnis zwischen 32 und 28 BDSG Mit dem Gesetz zur Änderung datenschutzrechtlicher Vorschriften vom 14. August und der damit verbundenen Einführung des 32 BDSG zur Regelung der Erhebung, Verarbeitung und Nutzung personenbezogener Daten im Beschäftigungskontext wurde eine Spezialnorm im Bereich des Beschäftigtendatenschutzes geschaffen, die in Konkurrenz zur bisherigen zentralen Legitimation konzernübergreifender Datenflüsse über 28 BDSG tritt. Nach dem Willen des Gesetzgebers konkretisiert 32 BDSG im Hinblick auf Beschäftigungsverhältnisse 28 Abs. 1 Satz 1 Nr. 1 BDSG und verdrängt insoweit die Vorschrift. Hierbei möchte der Gesetzgeber die bereits im Rahmen des 28 BDSG erarbeiteten Grundsätze der Rechtsprechung zum Beschäftigtendatenschutz weiterhin gelten lassen 6, wenngleich das Merkmal der Erforderlichkeit weiter in den Fokus gerückt wurde (vgl. Ziff. III., 2.3). Inwieweit 28 Abs. 1 BDSG überhaupt noch für Datenverarbeitungen im Beschäftigungsverhältnis anwendbar ist, wird kontrovers diskutiert 7. Dreh- und Angelpunkt ist die Frage, ob Datenverarbeitungen, die zwar nicht für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sind, jedoch einen Bezug zum Arbeitsverhältnis aufweisen, noch nach 28 Abs. 1 BDSG beurteilt werden können. Mit Blick auf die Diskussionen um das Verhältnis zwischen 28 BDSG und 32 BDSG kann eine Einigkeit dergestalt konstatiert werden, dass 28 Abs. 1 Satz 1 Nr. 2 und 3, Abs. 2 Nr. 1 und 2 und Abs. 6 bis 8 BDSG nicht verdrängt werden, sollten Arbeitnehmerdaten außerhalb einer für das Arbeitsverhältnis unmittelbaren Erforderlichkeit und ohne Bezug zu einem Arbeitsverhältnis verarbeitet werden (z.b. Geburtstagslisten oder Teilnahmelisten am freiwilligen Firmenlauf). 4 Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. 5 BGBl. Jahrgang 2009 Teil I Nr. 54 vom Vgl. BT-Drucks. 16/13657 S Für eine Ausschließlichkeit des 32 Abs. 1 BDSG im Beschäftigungskontext: Däubler, DKWW, BDSG 32, Rn. 8; Schmidt, DuD 2010, 207 (209) sowie RDV 2009, 193 ff.; Für eine Anwendbarkeit auch im Beschäftigungsverhältnis: Thüsing, NZA 2009, 865 (869); Joussen, JBArbR 2010, 69 (85). 6

10 Die Zulässigkeitsalternativen des 28 Abs. 1 Satz 1 Nr. 2 und Abs. 2 Nrn. 1 und 2 BDSG, die eine Datenübermittlung auch für Zwecke außerhalb einer unmittelbaren arbeitsvertraglichen Beziehung ermöglichen, kommen jedoch nur ausnahmsweise in Betracht. Vor allem steht 28 Abs. 1 Satz 1 Nr. 2 BDSG dem Arbeitgeber nicht alternativ neben der Zulässigkeitsregelung des 32 BDSG zur Verfügung Abs. 1 Satz 1 Nr. 2 und Abs. 2 Nrn. 1 und 2 BDSG können im Ausnahmefall eine Datenübermittlung rechtfertigen, wenn es um Vorgänge mit Bezug zum Arbeitsverhältnis geht, die jedoch bei enger Interpretation nicht mehr der Zweckbestimmung des Vertragsverhältnisses zuzuordnen sind 9. Diese vermittelnde Ansicht zwischen einem absoluten und einem relativen Regelungsvorbehalt des 32 Abs. 1 Satz 1 BDSG, der an dieser Stelle gefolgt werden soll, kommt beispielsweise zu einer Anwendbarkeit des 28 Abs. 1 Satz 1 Nr. 2 BDSG, wenn Beschäftigtendaten im Konzernverbund weitergegeben werden, dieser Vorgang jedoch streng genommen nicht für die Durchführung des Vertragsverhältnisses zwischen Arbeitgeber und Arbeitnehmer erforderlich ist, trotzdem einen Bezug zum Arbeitsvertrag aufweist (vgl. Ziff. III., 2.5). So z.b. bei freiwilligen Leistungen des Arbeitgebers oder im Rahmen von Mitteilungen bei einem Unternehmensverkauf. 2.3 Zulässigkeitsvoraussetzungen des 32 Abs. 1 Satz 1 BDSG Beschäftigtendaten dürfen nach 32 Abs. 1 Satz 1 BDSG erhoben, verarbeitet oder genutzt werden, falls dies im Rahmen der verschiedenen Phasen eines Beschäftigungsverhältnisses, d.h. seiner Begründung, seiner Durchführung oder seiner Beendigung, erforderlich ist. Als Beschäftigungsverhältnis versteht das Gesetz gem. 3 Abs. 11 BDSG unter anderem das vorvertragliche Rechtsverhältnis mit Bewerbern, das Vertragsverhältnis mit Arbeitnehmern und Auszubildenden sowie das nachvertragliche Rechtsverhältnis mit ausgeschiedenen Arbeitnehmern. Erforderlich im Sinne des 32 Abs. 1 Satz 1 BDSG ist diejenige Datenverwendung, für die es an einem milderen, gleichwertigen Mittel fehlt BDSG findet nach seinem Absatz 2 unabhängig davon Anwendung, ob Beschäftigtendaten automatisiert, dateigebunden, in chronologisch geführten Personalakten oder auf einfachen Notizzetteln erhoben, verarbeitet oder genutzt werden. Folglich unterfallen auch telefonische Anfragen einer Konzernmutter über Beschäftigte der Firmentochter der Regelung des 32 Abs. 1 BDSG. Die Formulierung des 32 Abs. 1 Satz 1 BDSG ändert an der zuvor nach 28 Abs. 1 Satz 1 Nr. 1 BDSG erarbeiteten Rechtslage nichts, zumal auch dort die Verarbeitung der Erfüllung legitimer Vertragszwecke dienen musste, die auf andere Weise nicht gewahrt werden konnte. 32 BDSG fasst in diesem Sinne die zum bisherigen Arbeitnehmerdatenschutz entwickelten Grundsätze zusammen 11. Erlaubt sind demnach weiterhin Verarbeitungen, die sich unmittelbar aus dem Arbeitsvertrag ergeben. Folglich sollte aus Gründen der Rechtssicherheit gerade bei Neueinstellungen oder Vertragsänderungen der Umstand der Beteiligung von anderen Unternehmensteilen berücksichtigt werden. So können z.b. so genannte Mobilitäts- oder Flexibilitätsklauseln in den Vertrag mit aufgenommen werden. Es genügt insofern aber auch, dass bei Eingehung der vertraglichen Beziehung eine hinreichende Transparenz bzgl. der Datenverarbeitung im Unternehmensverbund 8 Gola/Schomerus, BDSG 11. Aufl., 32 Rn. 33; 28 Rn Vgl. Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz 5. Aufl., Rn Taeger/Gabel, BDSG 1. Aufl. 2010, 32 Rn. 17 m.w.n. 11 BT-Drucks. 16/13657, S.20. 7

11 gegeben ist 12. Dies wird insbesondere bei Führungskräften bzw. sog. High-Potential- Mitarbeitern (siehe auch nachstehend Ziff. IV. 4. und 7.) häufig der Fall sein. 2.4 Zulässigkeitsvoraussetzungen des 32 Abs. 1 Satz 2 BDSG 32 Abs. 1 Satz 2 BDSG normiert den Spezialfall der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zur Aufdeckung von Straftaten im Beschäftigungsverhältnis. Dem Arbeitgeber müssen tatsächliche Anhaltspunkte vorliegen, die den Verdacht begründen, dass der Mitarbeiter im Beschäftigungsverhältnis eine Straftat begangen hat. Dieser Umstand ist zu dokumentieren. Straftaten im rein privaten Bereich fallen nicht unter die Vorschrift. Die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten zur Aufdeckung der Straftat muss grundsätzlich erforderlich sein. Das schutzwürdige Interesse des Beschäftigten am Ausschluss der Ermittlung darf nicht überwiegen, insbesondere dürfen Art und Ausmaß der Aufklärungsmaßnahmen im Hinblick auf den Anlass nicht unverhältnismäßig sein. Diese Vorgaben des 32 Abs. 1 Satz 2 BDSG betreffen die Datenverarbeitungen, die eine Aufdeckung einer bereits begangenen Straftat bezwecken. Insofern stellt der Gesetzgeber klar, dass die Zulässigkeit von präventiven Maßnahmen zur Verhinderung von Straftaten oder sonstigen Rechtsverstößen (z.b. Verstöße gegen Unternehmensrichtlinien), die im Zusammenhang mit dem Beschäftigungsverhältnis stehen, nach 32 Abs. 1 Satz 1 BDSG zu beurteilen ist 13. Folglich hat die verantwortliche Stelle den Zweck der Ermittlung selbst festzulegen (präventive oder repressive Maßnahmen) und im Weiteren ihre Ermittlungsmaßnahmen an der einschlägigen Rechtsgrundlage auszurichten. Bezogen auf einen Unternehmensverbund entfaltet die Vorschrift des 32 Abs. 1 Satz 2 BDSG beispielsweise Relevanz, wenn eine verantwortliche Stelle bei der Sachverhaltsaufklärung auf die Mitwirkung einer anderen Stelle des Unternehmensverbundes und deren Datenübermittlung angewiesen ist. Dies kann im Übrigen auch beim Nachgehen von Meldungen im Rahmen des so genannten Whistleblowings von Relevanz sein, bei dem die Mitarbeiter angewiesen werden, Verstöße gegen interne Unternehmensrichtlinien über ein besonders gestaltetes Meldeverfahren weiterzugeben. Die jeweilige Meldung kann Auslöser für nachgelagerte Ermittlungen des Arbeitgebers sein. Ist dieses Meldeverfahren konzernübergreifend aufgesetzt, d.h. die Kanäle des Whistleblowings werden in einer zentralen Compliance-Stelle gebündelt, muss sich die Übermittlung personenbezogener Daten an die Compliance-Stelle wiederum an den gesetzlichen Vorgaben messen lassen. 2.5 Zulässigkeitsvoraussetzungen des 28 Abs. 1 Satz 1 Nr. 2 BDSG Erfolgt eine Datenübermittlung an andere Stellen im Unternehmensverbund, die nicht unmittelbar Zwecken des Arbeitsverhältnisses dient, kann eine Rechtfertigung über 28 Abs. 1 Satz 1 Nr. 2 BDSG gegeben sein. Im Rahmen der dort vorzunehmenden Interessenabwägung können u.a. folgende Kriterien für das Vorliegen überwiegender Übermittlungsinteressen des Arbeitgebers sprechen: Transparenz der Übermittlungszwecke, Beteiligung des Betriebsrats / Sprecherausschusses, Abschluss von Datenschutzverträgen mit dem Datenempfänger, 12 Zum sog. konzerndimensionalen Arbeitsverhältnis vgl. z.b. Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz 5. Aufl., Rn sowie Däubler, Gläserne Belegschaften?, 4. Aufl., Rn BT-Drucks. 16/13657, S

12 Vorliegen verbindlicher Konzernregelungen zum Umgang mit Mitarbeiterdaten (Binding Corporate Rules), klare Organisationsregelungen (insb. Zugriffsschutz). Grundsätzlich dürfen nur solche Mitarbeiterdaten verarbeitet und genutzt werden, die zur Verwirklichung legitimer Arbeitgeberinteressen erforderlich sind. Für den Fall einer Datenübermittlung spielt hierbei auch eine Rolle, ob das die Beschäftigtendaten empfangende Unternehmen mehr Funktionen erhalten soll, als der datenabgebenden Stelle als Arbeitgeber selbst zustehen. Eine derartige Kompetenzerweiterung dürfte sich in der Regel negativ auf die vorzunehmende Interessenabwägung auswirken. Ob eine Datenübermittlung an eine Konzerntochter erforderlich ist, sollte ebenfalls die Frage beinhalten, ob die Daten nicht in gleicher Weise anonym zur Verfügung gestellt werden können, um den jeweiligen Zweck zu erreichen. 2.6 Einwilligung Gemäß 4a BDSG kann die Erhebung, Verarbeitung oder Nutzung von Mitarbeiterdaten auch auf eine freiwillige und informierte Einwilligung der Betroffenen gestützt werden. Die Verwendung der Einwilligung im Arbeitsverhältnis ist allerdings wegen des Über-/Unterordnungsverhältnisses zwischen Arbeitgeber und Arbeitnehmer unter dem Gesichtspunkt der Freiwilligkeit nicht unproblematisch. Mit der Datenschutzgruppe nach Art. 29 der EU-Datenschutzrichtlinie ist davon auszugehen, dass eine Einwilligung grundsätzlich auch im Arbeitsverhältnis wirksam erteilt werden kann, die Frage der Freiwilligkeit der Erteilung der Einwilligung jedoch einer eingehenden Untersuchung im Einzelfall bedarf 14. Eine Einwilligung im Arbeitsverhältnis kann insbesondere dann als zulässig angesehen werden, wenn mit der Datenübermittlung Vorteile für den Mitarbeiter einhergehen. Beispielhaft sind in diesem Zusammenhang Qualifizierungsmaßnahmen, Karrierechancen und Bonusprogramme wie z.b. Stock Options zu nennen. Wichtig ist aber, dass für den Betroffenen eine hinreichende Transparenz bzgl. der hierzu erforderlichen Datenübermittlungen besteht. Insofern kann auch bei den immer mehr gebräuchlichen Self-Service-Tools, bei denen der Mitarbeiter selbst entscheiden kann, ob und welche Daten er in das System eingeben möchte, oft von einer Einwilligung ausgegangen werden (konkludentes Handeln). Im Übrigen stellt auch der deutsche Gesetzgeber klar, dass eine Datenerhebung der -verwendung auf der Grundlage einer freiwilligen Einwilligung durch 32 BDSG nicht ausgeschlossen ist 15. Bezüglich der Form der Einwilligung schreibt der Gesetzgeber grundsätzlich die Schriftlichkeit vor (vgl. 4a Abs. 1 Satz 3 BDSG). D.h. sie bedarf regelmäßig der eigenhändigen Namensunterschrift. Nur beim Vorliegen besonderer Umstände kann eine andere Form angemessen sein 16. Konkludente, durch schlüssiges Handeln hervorgerufene Einwilligungserklärungen können ebenfalls zulässig sein, dürfen jedoch nicht mit einer mutmaßlichen oder stillschweigenden Einwilligung verwechselt werden, die als unzulässig anzusehen sind Vgl. Stellungnahme 15/2011 zur Definition von Einwilligungen vom 13. Juli 2011 (WP 187), S. 15 m.w.n. 15 BT-Drucks. 16/13657, S So z.b. die elektronische Einwilligung nach 13 Abs. 2 TMG. 17 Simitis, in Simitis: BDSG 7. Aufl., 4a Rn. 45 f. 9

13 Nicht von der Hand zu weisen ist allerdings, dass die Einwilligung ggf. nicht die ideale Rechtsgrundlage für die mit der Zentralisierung einer internationalen HR-Datenbank beispielsweise einhergehenden Datentransfers ist. Dies ergibt sich bereits aus dem Umstand, dass die Einwilligung jederzeit frei widerruflich ist und damit letztlich keine dauerhaft verlässliche Rechtsgrundlage darstellt. 3. Privilegierung der Auftragsdatenverarbeitung in der EU / dem EWR 3.1 Allgemeines Zunehmend werden auch konzerninterne Outsourcing-Projekte realisiert. Unterschiedliche rechtliche Anforderungen bestehen hinsichtlich der Auftragsvergabe an Stellen innerhalb und außerhalb der EU / des EWR. Auf Grund der EU-weit bewirkten Harmonisierung gilt bezüglich der Übergabe personenbezogener Daten an einen Auftragnehmer im EU- / EWR-Bereich das Prinzip der Gleichbehandlung mit der inländischen Situation. Somit liegt in der Weitergabe von Personaldaten an einen im Binnenmarkt ansässigen Auftragnehmer i.s.v. 11 BDSG keine Datenübermittlung an Dritte (vgl. 3 Abs. 7, 8 BDSG). Anders wird allerdings das Outsourcing in Drittländer beurteilt (vgl. hierzu nachfolgend unter Ziff. 4.). 3.2 Auswahl eines konzernangehörigen Auftragnehmers Die nach 11 Abs. 2 Satz 1 BDSG gebotene sorgfältige Auswahl des Auftragnehmers schließt die Vereinbarung einer Auftragsdatenverarbeitung zwischen Unternehmen, die demselben Konzern angehören, nicht aus. Diesbezüglich werden in dem von der ad-hoc-arbeitsgruppe veröffentlichten Arbeitsbericht Konzerninterner Datenverkehr 18 folgende Ausführungen gemacht:... die Vorschrift gebietet nicht, dass eine Auswahl unter Wettbewerbsbedingungen oder gar eine Ausschreibung erfolgt. Maßgeblich ist lediglich, dass ein Auftragnehmer ausgewählt wird, der Gewähr dafür bietet, die Anforderungen des 9 BDSG nebst Anlage einzuhalten und den vorgegebenen Verarbeitungsauftrag zu erfüllen. Es ist auch nicht generell abzulehnen, dass eine Konzernober-/muttergesellschaft als Auftragnehmer fungiert. Die konzernrechtliche Position als beherrschendes Unternehmen schließt es nicht schlechthin aus, dass die Konzernobergesellschaft partiell eine dienende Funktion im Konzern einnimmt und sich insoweit den Weisungen der konzernangehörigen Gesellschaften unterwirft. Maßgeblich ist, dass entsprechende rechtliche Vereinbarungen getroffen wurden (die dann dem Weisungsrecht gemäß Konzernrecht vorgehen) und keine Anhaltspunkte für eine Missachtung vorliegen. 3.3 Anforderungen an den Vertrag 11 Abs. 2 Satz 2 BDSG setzt einen schriftlichen Vertrag unter Beachtung der Umsetzung der normierten zehn Mindestanforderungen für die Vertragsgestaltung zwischen dem Auftraggeber und dem Auftragnehmer voraus. In einem Unternehmensverbund ist es jedoch praktisch häufig so, dass Vertragsverhandlungen mit den Dienstleistern nicht von jedem einzelnen Auftraggeber geführt werden, sondern ein Verbundunternehmen die Vertragsverhandlungen und den Ver- 18 Abrufbar beim Hessischen Datenschutzbeauftragten, 10

14 tragsschluss mit dem Auftragnehmer übernimmt. Beauftragen die anderen Verbundunternehmen den Auftragnehmer dann später schriftlich unter Bezugnahme auf den geschlossenen Rahmenvertrag - ggf. unter zusätzlicher Regelung unternehmensspezifischer Anforderungen -, können dadurch die Anforderungen des BDSG gewahrt werden (zu den inhaltlich en Anforderungen an den Vertrag vgl. die GDD-Leitfaden Datenschutz beim Outsourcing - Praxisleitfaden mit Mustern ). 3.4 Abgrenzung zur Funktionsübertragung Die Privilegierung der Auftragsdatenverarbeitung, die darin zu sehen ist, dass Auftraggeber und Auftragnehmer rechtlich als einheitliche verantwortliche Stelle gesehen werden (vgl. 3 Abs. 7 und 8 BDSG), resultiert daraus, dass der Auftragnehmer dem Auftraggeber lediglich in einer oder mehreren Phasen des Datenumgangs weisungsgebunden Unterstützung leistet. Rechtlich anders behandelt werden soll der Fall, dass ein Dienstleister mehr als nur diese Hilfsfunktion wahrnimmt. Dies kann insbesondere dann der Fall sein, wenn ihm neben der Datenverarbeitung weitere Aufgaben oder Funktionen übertragen werden. Hier kann unter Umständen eine durch eine Erlaubnisnorm zu rechtfertigende Datenübermittlung an Dritte gegeben sein. Die Frage, ob ein Outsourcing-Projekt im datenschutzrechtlichen Sinne eine Auftragsdatenverarbeitung oder eine Funktionsübertragung darstellt, lässt sich stets nur anhand einer Einzelfallbetrachtung entscheiden (zu den einzelnen Abgrenzungskriterien vgl. GDD -Leitfaden Datenschutz beim Outsourcing - Praxisleitfaden mit Mustern ). Im Rahmen dieser Einzelfallbetrachtung kommt es entscheidend auf das Maß der eigenverantwortlichen Tätigkeit des Dienstleisters an, d.h. auf den Spielraum, der ihm an freier Gestaltungsmöglichkeit hinsichtlich der Datenverarbeitung verbleibt. Ab wann bei einem Dienstleister das Maß an eigener Gestaltungsfreiheit die Grenze zur Funktionsübertragung überschreitet, ist im Einzelnen umstritten (vgl. Ziff. 2 f. des Arbeitsberichts der ad-hoc-arbeitsgruppe Konzerninterner Datenverkehr ). Nach dem vorzitierten Arbeitsbericht haben die an der Erstellung des Papiers beteiligten Vertreter der Wirtschaft einheitlich die Auffassung vertreten, dass eine Auftragsdatenverarbeitung auch dann vorliegen kann, wenn dem Auftragnehmer weitreichende, auch über die reine Unterstützung bei der Datenverarbeitung hinausgehende Aufgaben übertragen werden. Maßgeblich sei, dass der Auftraggeber die volle Verantwortung für die gesamte Datenverarbeitung beim Dienstleister übernehme. Mit 3 Abs. 7 BDSG sei klargestellt, dass eine Funktionsübertragung dann nicht anzunehmen sei, wenn der Ausführende die Datenverarbeitung (z.b. die Personalverwaltung) nicht für sich selbst durchführt. Noch deutlicher werde dies durch die Definition in Art. 2 d) der EU-Datenschutzrichtlinie, wonach der für die Verarbeitung Verantwortliche dadurch gekennzeichnet ist, dass er über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Weitere Anforderungen könnten nicht gestellt werden. Hiervon ausgehend sei es beispielsweise möglich, Unterstützungsdienstleistungen als Auftragsdatenverarbeitung auszugestalten. Dies komme etwa in Betracht, wenn sich ein Arbeitgeber externer Fachkompetenz zur Erarbeitung von Entscheidungsvorschlägen bediene, um dann Personalentscheidungen auf informierter Grundlage treffen zu können. Von daher sei es denkbar, die mit der Erfüllung der verschiedensten Aufgaben - bis zur kompletten Zentralisierung der Personalverwaltung - verbundene Datenverarbeitung als Auftragsdatenverarbeitung zu gestalten. Maßgeblich sei aber, dass der Arbeitgeber die eigentlichen Personalentscheidungen treffe. Wo er diese lediglich exekutiere, könne von einer Auftragsdatenverarbeitung keine Rede mehr sein. Dieser Auffassung ist insbesondere mit Blick auf eine richtlinienkonforme Interpretation des BDSG zuzustimmen. Im Übrigen werden die Rechte des Betroffenen durch die Annahme der Auftragsdatenverarbeitung nicht beeinträchtigt. Vielmehr bleibt in diesem Fall der Auftraggeber, 11

15 d.h. der Arbeitgeber, für die Sicherstellung der Datenschutzrechte der Mitarbeiter verantwortlich. Die Dienstleister sind sorgfältig auszuwählen und vertraglich auf die Einhaltung des Mitarbeiterdatenschutzes zu verpflichten. Zudem werden die i.d.r. spezialisierten und fachkompetenten Outsourcingnehmer auch schon im wohlverstandenen Eigeninteresse auf die Wahrung der Persönlichkeitsrechte achten. Schließlich bleibt zu konstatieren, dass das gesetzlich nicht definierte Hilfsmerkmal der Funktionsübertragung inzwischen angesichts neuartiger Outsourcing-Konstellationen an Trennschärfe verloren hat. Unstreitig ist jedenfalls, dass in Fällen, in denen dem Dienstleister ein ausdifferenzierter Entscheidungsbaum zur Aufgabenerfüllung vorgegeben wird, der ihm keinen inhaltlichen Bewertungs- und Ermessensspielraum belässt, eine Auftragsdatenverarbeitung angenommen werden kann. 4. Besondere Zulässigkeitsvoraussetzungen beim Drittlandtransfer 4.1 Allgemeines Sollen Mitarbeiterdaten an in Drittländern gelegene Konzernteile transferiert werden, bedarf es im Regelfall neben den allgemeinen Zulässigkeitsvoraussetzungen auch des Vorliegens eines angemessenen Schutzniveaus bei der Daten empfangenden Stelle im Drittland. Bezüglich folgender Länder hat die EU-Kommission das Vorliegen eines angemessenen Schutzniveaus bestätigt 19 : Andorra (ABl. EU v , Nr. L 277), Argentinien (ABl. EG v , Nr. L 168/19), Australien (Nur eingeschränkt für Flugpassagierdaten, ABl. EU v , Nr. L 213/47) Guernsey (ABl. EG v , Nr. L 308/27), Färöer-Inseln (ABl. EU v , Nr. L 58), Isle of Man (ABl. EG v , Nr. L 151/51 sowie Berichtigung in ABl. EG v , Nr. L 208/47), Israel (ABl. EU v , Nr. L 27/39), Jersey (ABl. EU v , Nr. L 138), Kanada (ABl. EG v , Nr. L 2/13), Neuseeland (ABl. EU v , Nr. L 028), Schweiz (ABl. EG v , Nr. L 215/1), Uruguay (ABl. EU v , Nr. L) USA (Nur eingeschränkt für Sonderfall Safe Harbor, ABl. EG v , Nr. L 215/7 und für Flugpassagierdaten, ABl. EG v , Nr. L 235/11). Auch die Übermittlung von Personaldaten fällt in den Anwendungsbereich der Safe-Harbor- Grundsätze 20. Die im Internet abrufbare Liste (www.export.gov/safeharbor) der dem Safe Har

16 bor angehörenden Unternehmen weist insofern gesondert aus, ob sich die Unternehmen gerade auch im Hinblick auf den Schutz von Mitarbeiterdaten dem Safe Harbor angeschlossen haben 21. Der inländische Auftraggeber hat jedoch seine Prüfpflichten hinsichtlich der Umsetzung der Safe Harbor Grundsätze beim Auftragnehmer zu beachten 22. Daneben besteht gemäß 4c Abs. 2 BDSG die Möglichkeit, ein angemessenes Schutzniveau im Drittland über die Verwendung von Vertragsklauseln herzustellen. Hierzu hat die EU- Kommission zwei allgemeine Standardvertragswerke und ein spezielles Standardvertragswerk anerkannt 23, wobei Letzteres den Fall der Auftragsdatenverarbeitung in einem Drittstaat regelt 24. Eine Übermittlung von Personaldaten kommt grundsätzlich auch auf Grundlage des zweiten allgemeinen Standardvertragswerks in Betracht, das die EU-Kommission im Dezember 2004 genehmigt hat. Soweit die Aufsichtsbehörden die Auffassung vertreten, dieser von der EU- Kommission anerkannte sog. alternative Standardvertrag zum Drittlandtransfer sei grundsätzlich für Arbeitnehmerdaten nicht geeignet (und eventuell ergänzungsbedürftig), da die Haftung und Auskunftspflicht des Datenexporteurs (des deutschen Arbeitgebers) eingeschränkt seien (vgl. hierzu die Entschließung des Düsseldorfer Kreises 25 ), werden sie diesen Standpunkt auch vor dem Hintergrund der Verbindlichkeit von Kommissionsentscheidungen und des Harmonisierungsgedankens kritisch hinterfragen müssen. Immerhin hat die Kommission die alternativen Standardvertragsklauseln insgesamt - und nicht etwa beschränkt auf bestimmte Datenarten - als ausreichende Schutzgarantien anerkannt. Im internationalen Konzern kann ein angemessenes Datenschutzniveau zudem über den Einsatz von verbindlichen Unternehmensregelungen zum Umgang mit Personaldaten (Binding Corporate Rules) erreicht werden 26. In jedem Fall gilt: Neben dem Vorliegen eines angemessenen Datenschutzniveaus bedarf es zusätzlich einer materiellen Übermittlungsbefugnis nach 32 bzw. den 28 bis 30 BDSG. Im Übrigen können Mitarbeiterdaten nur unter den Voraussetzungen der in 4c Abs. 1 BDSG genannten Ausnahmetatbestände in Drittländer ohne angemessenes Datenschutzniveau übermittelt werden. Die Art. 29-Datenschutzgruppe hat sich in ihrem Working Paper 114 vom November 2005 für eine strenge Auslegung der Ausnahmeregelungen ausgesprochen 27. Die oben unter Ziff. III., 3.4 dargestellte Privilegierung der Auftragsdatenverarbeitung soll nach bisher herrschender Meinung nicht gelten, wenn der Auftragnehmer seinen Sitz im Drittland hat 28. Auf den Datenexport an diese Stellen sind demnach die Regelungen und Grundsätze des Drittlandtransfers ( 4b Abs. 2, 4c BDSG) anzuwenden. 20 Die Safe-Harbor-Grundsätze werden durch weitere Dokumente des US-Handelsministeriums, die in den Anhang der Kommissionsentscheidung aufgenommen wurden, ergänzt. Hierzu zählen die sog. Frequently Asked Questions (FAQ); FAQ 9 gibt Aufschluss über den Umgang mit Personaldaten. 21 Zur Safe-Harbor-Lösung vgl. Klug, RDV 2000, Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich am 28./29. April 2010, abrufbar unter _SafeHarbor.pdf? blob=publicationfile https://www.ldi.nrw.de/mainmenu_service/submenu_entschliessungsarchiv/inhalt/beschluesse_duesseldorfer_kreis/inhalt/2007/ _Internationaler_Datenverkehr/Positionspapier.pdf. 26 Ausführlich zu den Binding Corporate Rules: Artikel-29-Datenschutzgruppe, WP 153, 154, 155, Vgl. auch Dammann, RDV 2002, 70, 73; a.a. Müthlein/Heck, Outsourcing und Datenschutz, 3. Aufl., 2006, S. 23 ff. 13

17 4.2 Weitergabe sensitiver Mitarbeiterdaten Sensitive Daten (besondere Arten von personenbezogenen Daten nach 3 Abs. 9 BDSG wie z.b. Daten über die Gesundheit oder die Religionszugehörigkeit) dürfen nur unter Beachtung besonderer Anforderungen erhoben, verarbeitet oder genutzt werden ( 28 Abs. 6 bis 9 BDSG). Praktische Schwierigkeiten bereitet der Fall, dass die Verarbeitung dieser Daten im Drittstaat durch Auftragsverarbeiter erfolgt. Da nach Ansicht der Datenschutzaufsichtsbehörden hier nicht die Privilegierung des 11 BDSG bezüglich der Datenweitergabe gilt 29, wäre im Regelfall die Einwilligung der Betroffenen hierzu erforderlich. Allerdings gewährleistet die Einwilligung im Rahmen eines Arbeitsverhältnisses u.u. nicht das Kriterium der Freiwilligkeit; die Einwilligung wäre damit ggf. unwirksam. Vor diesem Hintergrund wäre eine Übermittlung von für die Gehaltsabrechnung erforderlichen Mitarbeiterdaten an einen im Drittland ansässigen Dienstleister rechtlich kaum zu rechtfertigen, da zur Abrechnung regelmäßig Angaben zur Religionszugehörigkeit und evtl. zu Kranken-, Reha-, Kurtagen oder zur Schwerbehinderteneigenschaft benötigt werden. Dieses unbillige Ergebnis lässt sich jedoch durch eine sachgerechte Auslegung des BDSG vermeiden. Art. 8 Abs. 2 Buchstabe b der EU-Datenschutzrichtlinie trägt dem Umstand Rechnung, dass Arbeitgeber regelmäßig sensitive Daten verarbeiten. Solche Verarbeitungen sind auch ohne Einwilligung nach 4a Abs. 3 BDSG für den Arbeitgeber zulässig, wenn sie erforderlich sind, um den arbeitsrechtlichen Rechten und Pflichten des Arbeitgebers gerecht zu werden. Die Lohnzahlung ist Hauptleistungspflicht des Arbeitgebers ( 611 Abs. 1 BGB). Die Abwicklung der Entgeltabrechnung kann der Arbeitgeber unstreitig im Wege der Auftragsdatenverarbeitung auf einen sorgfältig ausgewählten Dienstleister übertragen. Einem Beschäftigungsunternehmen muss es auch möglich sein, einen im Drittland ansässigen Dienstleister mit der Lohn- und Gehaltsabrechnung zu beauftragen, wenn dies aus betrieblichen Gründen erforderlich ist. Beispielsweise wenn der Dienstleister im Drittland günstiger ist oder wenn er die Dienstleistung besser erbringt als ein Dienstleister in Europa, besteht jedenfalls ein berechtigtes Interesse an der Auslagerung der Dienstleistung ins Drittland 30. Freilich sollten (vertragliche) Vorkehrungen getroffen werden, welche etwaige entgegenstehende Interessen der Mitarbeiter entfallen lassen. Entgegenstehende Interessen der Mitarbeiter sind bei sorgfältiger Auswahl eines im Drittland ansässigen Dienstleisters, der ein angemessenes Schutzniveau bietet, eher fernliegend. Will man nicht schon den Arbeitsvertrag als Rechtsgrundlage für die Übermittlung der - wenigen - sensitiven Arbeitnehmerdaten zum Zwecke der Entgeltabrechnung ansehen, so kann sie jedenfalls über 28 Abs. 6 Nr. 3 BDSG gerechtfertigt werden, denn der Arbeitgeber hat einen grundrechtlichen Anspruch auf eine möglichst wirtschaftliche Erfüllung seiner Lohnzahlungspflicht gegenüber dem Arbeitnehmer. Dies gilt jedenfalls dann, wenn dem Arbeitnehmer dadurch keine Nachteile erwachsen und insbesondere ein angemessenes Datenschutzniveau im Drittland gemäß 4b BDSG gewährleistet ist. Auch die EU-Datenschutzrichtlinie verbietet die Übermittlung sensitiver Daten in Drittländer nicht. Entsprechend sieht die Entscheidung der EU-Kommission vom 5. Februar 2010 zu den Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern ( 2010/87/EU) auch besondere Datenkategorien vor. Auch nach den Safe Harbor Principles ist eine internationale Auftragsdatenverarbeitung unter Einschluss besonderer Kategorien personenbezogener Daten vorgesehen. Im Übrigen erlauben auch andere Mit- 29 Vgl. Dammann, RDV 2002, 70 (73); 15. Tätigkeitsbericht der Landesregierung über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörde, LT-Drs 15/4659, Ziff Vgl. 19. Tätigkeitsbericht über die Tätigkeit der für den Datenschutz im nicht öffentlichen Bereich in Hessen zuständigen Aufsichtsbehörden, LT-Drs. 16/5892, Ziff

18 gliedstaaten der EU im Fall der Auftragsdatenverarbeitung im Drittstaat eine Verarbeitung sensitiver Daten ohne zusätzliches Einwilligungserfordernis, solange nur beim Datenempfänger ein angemessenes Datenschutzniveau besteht (z.b. auf Grundlage der Standardvertragsklauseln). Eine entsprechende gesetzliche Klarstellung im BDSG ist wünschenswert. 5. Unterrichtungspflichten bei der Datenerhebung Aus Gründen der Transparenz sind die Bewerber und Mitarbeiter schon bei der Datenerhebung nach Maßgabe von 4 Abs. 3 BDSG zu unterrichten. Steht bei der Durchführung eines Bewerbungsverfahrens fest, dass die Daten zur Auswertung an einen Personaldienstleister oder zur weiteren Rekrutierung an andere Verbundunternehmen weitergeleitet werden sollen, so ist auch hierüber zu unterrichten. 6. Informationspflichten bei unrechtmäßiger Kenntniserlangung von Daten Sollten im Zuge von Datenweitergaben im Unternehmensverbund personenbezogene Daten von Mitarbeitern unrechtmäßig an Dritte übermittelt worden oder auf sonstige Weise Dritten zur Kenntnis gelangt sein, kann sich hieraus eine Mitteilungspflicht für die jeweilige verantwortliche Stelle im Konzern ergeben, sollten die Voraussetzungen des 42a BDSG erfüllt sein 31. Neben tatsächlichen Anhaltspunkten für eine Datenschutzpanne greift 42a BDSG nur dann, wenn schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen. Dies dürfte häufig (aber nicht zwangsläufig) der Fall sein, wenn Datenkategorien nach 42a Satz 1 Nr. 1 bis 4 BDSG bzw. nach 93 Abs. 3 TKG oder nach 15a TMG betroffen sind. IV. Beispiele typischer Mitarbeiterdatenflüsse im Unternehmensverbund 1. Allgemeines Die rechtliche Beurteilung von unternehmensweiten Datenströmen kann sich an zentralen Prüfkriterien ausrichten, die vorab der ersten Weitergabe personenbezogener Daten zu durchlaufen sind. Zunächst muss es sich bei der Art der Daten überhaupt um Beschäftigtendaten im Sinne des 3 Abs. 11 BDSG handeln, um überhaupt in den Anwendungsbereich des 32 BDSG bzw. subsidiär 28 Abs. 1 Satz 1 Nr. 2 BDSG zu gelangen. Im Weiteren gilt es, einen konkreten Zweck für die Datenübermittlung festzulegen. Mittels dieser Festlegung ist es möglich zu beurteilen, ob sich eine rechtliche Zulässigkeit bereits aus der Erfüllung arbeitsvertraglicher Pflichten (vgl. 32 Abs. 1 Satz 1 BDSG) ergeben kann. Des Weiteren ist zu eruieren, an welche Konzernunternehmen diese Daten übermittelt werden sollen bzw. welche Mitarbeiter von anderen Unternehmen auf diese Daten zugreifen können. Wichtig hierbei ist auch, ob seitens der Empfangsstelle Datenweitergaben an weitere Konzernunternehmen oder an Dritte vorgese- 31 Zu den Voraussetzungen des 42a BDSG, vgl. LDI NRW: https://www.ldi.nrw.de/mainmenu_datenschutz/submenu_technik/ Inhalt/TechnikundOrganisation/Inhalt/Informationspflicht_bei_Datenpannen 42a_BDSG_/ Vorlage_FAQs_zur_Informationspflicht1.pdf. 15

19 hen sind. Letztlich ist von Relevanz, wer verantwortliche Stelle für die übertragenen Daten ist und ob diese Verantwortlichkeit durch eine Auftragsdatenverarbeitung beibehalten oder über eine Funktionsübertragung an die Empfangsstelle abgegeben werden soll. Im Falle eines Empfängers mit Sitz in einem Land außerhalb der EU bzw. des EWR ist darüber hinaus sicherzustellen, ob eine Datenübermittlung im Sinne der 4b, 4c BDSG möglich ist. 2. Steuerung der IT-Infrastruktur 2.1 Übergreifende Netzwerkadministration und Support Definition: Zur Steuerung der technischen Infrastruktur der Unternehmens- und Konzernnetze sind Steuerungsinstrumente wie Directories, Tools oder andere entsprechende Applikationen zur übergreifenden Netzwerkverwaltung erforderlich. Hierzu werden für die Administration Mitarbeiterstammdaten benötigt. Rechtliche Grundlagen: Die technische Infrastruktur gehört zu den Arbeitsmitteln, die der Arbeitgeber den Arbeitnehmern zur Verfügung stellt. Die Verwendung personenbezogener Mitarbeiterdaten zur Steuerung dieser Systeme ist zur Erfüllung der arbeitsvertraglichen Pflichten und somit auch für die Durchführung des Beschäftigungsverhältnisses erforderlich. Mithin ergibt sich die datenschutzrechtliche Zulässigkeit aus dem Arbeitsvertrag ( 32 Abs. 1 Satz 1 BDSG). 11 Abs. 5 BDSG stellt im Hinblick auf die Fernadministration klar, dass die Grundsätze der Auftragsdatenverarbeitung anzuwenden sind. Praxishinweis Sollte eine Unternehmensgruppe über eine Vielzahl an Administratoren verfügen, die über mehrere Gesellschaften verteilt sind, empfiehlt sich mit Blick auf die Anforderungen des 11 Abs. 5 BDSG die Bildung einer einheitlichen Administratorenstelle, die als Auftragnehmerin für die jeweilige verantwortliche Stelle agiert. Eine örtliche Bündelung ist dabei nicht erforderlich. Ebenso bestehen aus Sicht des Datenschutzes keine besonderen Anforderungen an die Rechtsform dieser Administratorenstelle, zumal das BDSG nur von einer verantwortlichen Stelle ausgeht (vgl. 3 Abs. 7 BDSG). Im Falle einer zentralen Wartungsstelle kann auf den Abschluss einer Vielzahl von Einzelverträgen zur Auftragsdatenverarbeitung zwischen der verantwortlichen Stelle und der jeweiligen Einheit, dem der Administrator angehört, verzichtet werden. Dies kann sich ebenfalls positiv auf die in 11 Abs. 2 Satz 4 BDSG normierte Prüfpflicht hinsichtlich der beim Auftragnehmer vorherrschenden technisch-organisatorischen Maßnahmen auswirken, da eine zentralisierte Administratorenstelle über technisch-organisatorische Maßnahmen verfügt, die sich an der Kerntätigkeit ausrichten. Soweit die Administration der IT-Infrastruktur aus einem Drittland heraus vorgenommen wird und hierbei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann, gelten die Zulässigkeitsvoraussetzungen nach den 4b, 4c BDSG. 16

20 2.2 Elektronische Kommunikationsverzeichnisse Definition: Elektronische Kommunikationsverzeichnisse werden zum Zwecke einer effizienten Kommunikation zwischen den einzelnen Konzernunternehmen bzw. deren Mitarbeitern konzernweit - häufig über Intranet - zugänglich gemacht. Gegenstand der damit einhergehenden Datenübermittlungen sind meist nur Basiskommunikationsdaten der Mitarbeiter, die in Namens-, Telefon- und -Verzeichnisse aufgenommen werden. Rechtliche Grundlagen: Um den Konzernzielen gerecht werden zu können, bedarf es regelmäßig der Kommunikation zwischen den Mitarbeitern der einzelnen Konzernteile. Vielfach ergibt sich die Berechtigung zur konzerninternen Übermittlung der erforderlichen Basiskommunikationsdaten der Mitarbeiter bereits aus den ihnen obliegenden arbeitsvertraglichen Pflichten ( 32 Abs. 1 Satz 1 BDSG). Werden lediglich die dienstlichen Basiskommunikationsdaten der einzelnen Mitarbeiter in die konzernweiten Kommunikationsverzeichnisse aufgenommen und kann die Datenübermittlung nicht unmittelbar aus den arbeitsvertraglichen Pflichten abgeleitet werden, führt aber auch eine Interessenabwägung nach 28 Abs. 1 Satz 1 Nr. 2 BDSG zur Zulässigkeit der damit einhergehenden Datenübermittlungen. Das unternehmerische Interesse an einer effizienten, konzernweiten Mitarbeiterkommunikation überwiegt insoweit Vertraulichkeitsinteressen der Mitarbeiter, soweit solche überhaupt bestehen. Dies ergibt sich insbesondere daraus, dass diese dienstlichen Basiskommunikationsdaten keine besondere Sensitivität aufweisen. Unter Angemessenheitsgesichtspunkten besteht hinsichtlich der Basiskommunikationsdaten auch kein sachlicher Grund dafür, sich lediglich auf sog. Funktionsträger zu beschränken. Vielmehr kommt es mit Blick auf eine angemessene Technikgestaltung darauf an, dass ein Mitarbeiter aufgabenbezogen in das Verzeichnis aufgenommen wurde bzw. Zugriffsrechte erhalten hat. Sollen über die o.g. Basiskommunikationsdaten hinausgehende Informationen aufgenommen werden, sollten die betroffenen Mitarbeiter angesichts ihres auch im Arbeitverhältnis geltenden Persönlichkeitsrechts über den Eintrag selbst bestimmen können 32. Dies gilt insbesondere bei Fotografien, für deren Aufnahme jeder Mitarbeiter auch nach den Vorschriften des KunstUrhG 33 um seine Einwilligung gebeten werden muss. Ist den Mitarbeitern die Funktionsweise des Verzeichnisses bekannt und geben sie weitere Daten selbst freiwillig ein, so kann i.d.r. vom Vorliegen einer durch schlüssiges Verhalten erteilten Einwilligung nach 4a BDSG ausgegangen werden. Soweit die Übermittlung von Mitarbeiterkommunikationsdaten im internationalen Unternehmensverbund schon auf Grund des konkreten Arbeitsverhältnisses erforderlich ist 34, dürfen diese Daten auch in Drittländer ohne angemessenes Datenschutzniveau gegeben werden ( 4c Abs. 1 Satz 1 Nr. 2 BDSG). Selbst wenn man die Auffassung zu Grunde legt, wonach 4c BDSG nicht isoliert von den Anforderungen der 28 bis 32 BDSG betrachtet werden soll, d.h. vorab einer Prüfung des 4c BDSG muss die Zulässigkeit der Übermittlung nach den einschlägigen Normen des BDSG untersucht werden 35, und eine Erforderlichkeit zur Durchführung des Arbeitsverhältnisses bei der jeweiligen Datenübermittlung nicht gegeben ist, so beseitigt dies 32 Sog. Employee Self Service. 33 Gesetz betreffend das Urheberrecht an Werken der bildenden Künste und der Photographie (KunstUrhG). 34 Zur Begriff der Erforderlichkeit vgl. Fn Vgl. Simitis, in: Simitis, BDSG, 7. Aufl., 4c Rn

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012 IT-Outsourcing aus der Perspektive einer bdsb Bettina Robrecht Datenschutzbeauftragte 17. März 2012 Agenda I. Überblick: Definitionen und anwendbares Recht II. Outsourcing innerhalb der EU/EWR III. Outsourcing

Mehr

Datenverwendung und Datenweitergabe - was ist noch legal?

Datenverwendung und Datenweitergabe - was ist noch legal? RA Andreas Jaspers Geschäftsführer der Gesellschaft für Datenschutz und Datensicherung (GDD) e.v. Pariser Str. 37 53117 Bonn Tel.: 0228-694313 Fax: 0228-695638 E-Mail: jaspers@gdd.de Die GDD e.v. Die GDD

Mehr

EuGH Urteil: Safe-Harbour gewährt kein angemessenes Datenschutz Niveau.

EuGH Urteil: Safe-Harbour gewährt kein angemessenes Datenschutz Niveau. EuGH Urteil: Safe-Harbour gewährt kein angemessenes Datenschutz Niveau. Heute hat der EuGH in der Rechtssache C-362/14 (Maximillian Schrems gegen die irische Datenschutz- Aufsichtsbehörde) eine weitreichende

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht 2 Datenschutz im Unternehmen Umgang mit Mitarbeiterdaten Neuregelung, Folgen, Praxisrelevante Fälle 1 3 Personenbezogene Daten Einzelangaben über persönliche

Mehr

17 HmbDSG - Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland

17 HmbDSG - Übermittlung an Stellen außerhalb der Bundesrepublik Deutschland Stabsstelle Recht / R16 05.01.2015 Datenschutzbeauftragter 42838-2957 Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz Kurzvortrag CeBIT 2012 Christopher Beindorff Rechtsanwalt und Fachanwalt für IT-Recht Beindorff & Ipland Rechtsanwälte Rubensstraße 3-30177 Hannover Tel: 0511-6468098 Fax:

Mehr

Sommerakademie 2009. Arbeitnehmer Freiwild der Überwachung? Personalvertretung und Datenschutz im internationalen Kontext. www.datenschutzzentrum.

Sommerakademie 2009. Arbeitnehmer Freiwild der Überwachung? Personalvertretung und Datenschutz im internationalen Kontext. www.datenschutzzentrum. Sommerakademie 2009 Arbeitnehmer Freiwild der Überwachung? Infobörse 3: Personalvertretung und Datenschutz im internationalen Kontext Frau Meike Kamp Übersicht Datenschutzrechtliche Gestaltungsmacht der

Mehr

Datenschutz und Arbeitnehmer

Datenschutz und Arbeitnehmer Seite 1 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit http://www.bfdi.bund.de Datenschutz und Arbeitnehmer SAP Fachtagung 2008 vom 13.-15. Februar 2008 SAP im betrieblichen Spannungsfeld

Mehr

Datenschutz im Arbeitsverhältnis ausgewogen und rechtssicher gestalten

Datenschutz im Arbeitsverhältnis ausgewogen und rechtssicher gestalten Datenschutz im Arbeitsverhältnis ausgewogen und rechtssicher gestalten Balance zwischen Datenschutz und Compliance sicherstellen Ansprechpartner: Abteilung Arbeitsrecht T +49 30 2033-1200 arbeitsrecht@arbeitgeber.de

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Datenübermittlung ins Ausland

Datenübermittlung ins Ausland Die Landesbeauftragte für den Datenschutz Niedersachsen Datenübermittlung ins Ausland I) Allgemeines Unternehmen übermitteln häufig personenbezogene Daten ins Ausland, z.b. beim Outsourcing von einzelnen

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Datenschutz im Arbeitsverhältnis

Datenschutz im Arbeitsverhältnis Datenschutz im Arbeitsverhältnis Cloud Computing versus Datenschutz, RAin Karoline Brunnhübner Folie 0 / Präsentationstitel / Max Mustermann TT. Monat 2010 Allgemeine Grundlagen des Datenschutzes Rechtsquellen

Mehr

9 Mitarbeiterscreenings

9 Mitarbeiterscreenings 9 Mitarbeiterscreenings Mitarbeiterscreenings werden in Unternehmen immer häufiger eingesetzt. Screenings sind Rasterfahndungen, bei denen verschiedene personenbezogene Daten der Mitarbeiter nach bestimmten

Mehr

Vereinbarung Auftrag gemäß 11 BDSG

Vereinbarung Auftrag gemäß 11 BDSG Vereinbarung Auftrag gemäß 11 BDSG Schuster & Walther Schwabacher Str. 3 D-90439 Nürnberg Folgende allgemeinen Regelungen gelten bezüglich der Verarbeitung von Daten zwischen den jeweiligen Auftraggebern

Mehr

Heiter bis wolkig Datenschutz und die Cloud

Heiter bis wolkig Datenschutz und die Cloud Heiter bis wolkig Datenschutz und die Cloud Inhaltsüberblick 1) Kurzvorstellung Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 2) TClouds Datenschutz in Forschung und Entwicklung 3) Cloud

Mehr

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de Position Arbeitnehmerdatenschutz rechtssicher gestalten Stand: März 2014 www.vbw-bayern.de Vorwort X Vorwort Zehn Forderungen für einen praxisgerechten Beschäftigtendatenschutz Die vbw Vereinigung der

Mehr

Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR)

Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR) ARTIKEL-29-DATENSCHUTZGRUPPE 1271-03-02/08/DE WP 155 Rev.03 Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR) Angenommen am 24. Juni 2008 Zuletzt

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Auftragsdatenverarbeitung und Funktionsübertragung - Stand: 31. Dezember 2012 -

Auftragsdatenverarbeitung und Funktionsübertragung - Stand: 31. Dezember 2012 - DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ Auftragsdatenverarbeitung und Funktionsübertragung - Stand: 31. Dezember 2012 - Seite 2 Der Landesbeauftragte für den Datenschutz Baden-Württemberg Königstraße

Mehr

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Rechtliche Anforderungen an Cloud Computing in der Verwaltung Rechtliche Anforderungen an Cloud Computing in der Verwaltung Dr. Sönke E. Schulz Geschäftsführender wissenschaftlicher Mitarbeiter 19. Berliner Anwenderforum egovernment 19./20. Februar 2013 Bundespresseamt,

Mehr

Praktische Beispiele und Handlungsempfehlungen

Praktische Beispiele und Handlungsempfehlungen Vorbemerkung Die Übermittlung personenbezogener Daten zählt häufig zu den wesentlichen Bestandteilen der Anbahnung und Abwicklung von Verträgen und anderen Transaktionen zahlreicher Unternehmen. Dabei

Mehr

UNSAFE HARBOR: DATENVERARBEITUNG VON ONLINE-SHOPS NACH DEM EUGH-URTEIL

UNSAFE HARBOR: DATENVERARBEITUNG VON ONLINE-SHOPS NACH DEM EUGH-URTEIL UNSAFE HARBOR: DATENVERARBEITUNG VON ONLINE-SHOPS NACH DEM EUGH-URTEIL Dr. Martin Schirmbacher HÄRTING Rechtsanwälte Daniel Schätzle HÄRTING Rechtsanwälte Unsafe Harbor: Datenverarbeitung nach dem EuGH-Urteil

Mehr

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz 1. Was versteht man unter der "Verpflichtung auf das Datengeheimnis"? Die Verpflichtung auf das Datengeheimnis

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

Workshop 2b: Datenschutz und SAP

Workshop 2b: Datenschutz und SAP Workshop 2 Datenschutz und SAP Workshop 2a: Workshop 2b: Lorenz Hinrichs, TBS Niedersachsen ggmbh Jochen Brandt, Brandtschutz Hamburg Horst Kübeck, g ibs Berlin mbh Friedhelm Michalke, TIB Hamburg 1 Datenschutz

Mehr

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)...

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)... 2 Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7 1. Gesetzliche Verpflichtung... 7 2. Vertragliche Verpflichtungen... 7 3. Staatliche Sanktionsmöglichkeiten... 7 4. Schadensersatzansprüche...

Mehr

3 HmbDSG - Datenverarbeitung im Auftrag

3 HmbDSG - Datenverarbeitung im Auftrag Stabsstelle Recht / R16 05.01.2015 Datenschutzbeauftragter 42838-2957 Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Mehr

Forum 2: Datenverarbeitung außerhalb des eigenen Betriebs Anforderungen aus dem Bundesdatenschutzgesetz

Forum 2: Datenverarbeitung außerhalb des eigenen Betriebs Anforderungen aus dem Bundesdatenschutzgesetz Forum 2: Datenverarbeitung außerhalb des eigenen Betriebs Anforderungen aus dem Bundesdatenschutzgesetz Pfalz Datentransfer ist Outsourcing Sofern keine gesetzliche Pflicht für einen Datentransfer besteht,

Mehr

Datenschutz beim Einsatz von Internet, Intranet und E-Mail am Arbeitsplatz

Datenschutz beim Einsatz von Internet, Intranet und E-Mail am Arbeitsplatz Cristina Baier Datenschutz beim Einsatz von Internet, Intranet und E-Mail am Arbeitsplatz Verlag Dr. Kovac Hamburg 2010 -IX- Inhaltsverzeichnis Literaturverzeichnis XVII Einleitung.. > «>..»..». 1 1. Teil:

Mehr

Fallgruppen zur internationalen Auftragsdatenverarbeitung. Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung

Fallgruppen zur internationalen Auftragsdatenverarbeitung. Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung 19. April 2007 Fallgruppen zur internationalen Auftragsdatenverarbeitung Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung Einleitung Die folgende Darstellung beinhaltet die häufigsten Fallkonstellationen

Mehr

Öffentliches Verfahrensverzeichnis

Öffentliches Verfahrensverzeichnis 2011 Öffentliches Verfahrensverzeichnis Stand: 01.03.2011 Öffentliches Verfahrensverzeichnis Stand: 01.03.2011 Der Schutz Ihrer persönlichen Daten und Ihrer Privatsphäre ist uns sehr wichtig. Deshalb ist

Mehr

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG

X. Datenvermeidung und Datensparsamkeit nach 3a BDSG X. Datenvermeidung und Datensparsamkeit nach 3a BDSG Gestaltung und Auswahl von Datenverarbeitungssystemen haben sich nach 3a S. 1 BDSG an dem Ziel auszurichten, keine oder so wenig personenbezogene Daten

Mehr

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern Verordnung zum Schutz von Patientendaten Krankenh-DSV-O 715 Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern vom 29. Oktober 1991 KABl. S. 234 Aufgrund von 11 Absatz 2 des Kirchengesetzes

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

Firmeninformation zum Datenschutz

Firmeninformation zum Datenschutz BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Firmeninformation zum Datenschutz Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax: (0981)

Mehr

Vorlesungsreihe Datenschutzrecht am ITM der WWU Münster. Beschäftigtendatenschutz/Aufsichtsbehörden

Vorlesungsreihe Datenschutzrecht am ITM der WWU Münster. Beschäftigtendatenschutz/Aufsichtsbehörden Vorlesungsreihe Datenschutzrecht am ITM der WWU Münster Axel Trösken Leiter Recht & Compliance der The Phone House Telecom GmbH Münster, 21. Januar 2011 Seite 1 I. Einleitung Datenschutz profitierte in

Mehr

12a HmbDSG - Unterrichtung bei der Erhebung

12a HmbDSG - Unterrichtung bei der Erhebung Stabsstelle Recht / R16 05.01.2015 Datenschutzbeauftragter 42838-2957 Hamburgisches Datenschutzgesetz (HmbDSG) mit Kommentierung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 1. Übung im SoSe 2007: BDSG (1) 1.1 Voraussetzungen zur automatisierten DV (1) Anmerkung: Automatisierte Datenverarbeitung = Erhebung, Verarbeitung oder Nutzung unter

Mehr

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Erläuterungen zum Abschluss der Datenschutzvereinbarung Erläuterungen zum Abschluss der Datenschutzvereinbarung Bei der Nutzung von 365FarmNet erfolgt die Datenverarbeitung durch die365farmnet GmbH im Auftrag und nach Weisung des Kunden. Die die365farmnet GmbH

Mehr

Arbeitnehmerdatenschutz - Datenschutz am Arbeitsplatz

Arbeitnehmerdatenschutz - Datenschutz am Arbeitsplatz Arbeitnehmerdatenschutz - Datenschutz am Arbeitsplatz Das Bundesdatenschutzgesetz (BDSG) regelt in seinem 32, zu welchen Zwecken und unter welchen Voraussetzungen der Arbeitgeber Mitarbeiterdaten vor der

Mehr

BDSG - Interpretation

BDSG - Interpretation BDSG - Interpretation Materialien zur EU-konformen Auslegung Christoph Klug Rechtsanwalt, Köln Gesellschaft für Datenschutz und Datensicherung e. V., Bonn 2. aktualisierte und erweiterte Auflage DATAKONTEXT-FACHVERLAG

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung 1. DFN Workshop Datenschutz Rechtliche Aspekte der Auftragsdatenverarbeitung Hamburg, 28.11.2012 Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht JUCONOMY Rechtsanwälte 1 1 Grundverständnis der

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Datenschutz bei der Datenverarbeitung außer Haus Was passiert, wenn Daten rausgehen? Worauf ihr achten müsst?

Datenschutz bei der Datenverarbeitung außer Haus Was passiert, wenn Daten rausgehen? Worauf ihr achten müsst? Datenschutz bei der Datenverarbeitung außer Haus Was passiert, wenn Daten rausgehen? Worauf ihr achten müsst? Vortrag Jürgen Fickert, TBS NRW e.v., im Rahmen 28. SAP/NT-Konferenz 03. - 05. November 2015

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Datenübermittlung ins Ausland neue Vorgaben im BDSG

Datenübermittlung ins Ausland neue Vorgaben im BDSG bruno schierbaum Datenübermittlung ins Ausland neue Vorgaben im BDSG Sensibles Thema: Übermittlung von Arbeitnehmerdaten ins Ausland sei es an die Konzernmutter oder Geschäftspartner. Klar: Die Vorgaben

Mehr

Datenschutz International

Datenschutz International Harald Eul/Petra Eul Datenschutz International Praxisleitfaden zur Übermittlung von Kunden-, Mitarbeiter- und Lieferantendaten 1. Auflage 2011 DATAKONTEXT Vorwort 5 Verzeichnis der Checklisten/Arbeitshilfen/Übersichten

Mehr

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft Cloud Computing und Datenschutz: Was sind die rechtlichen Probleme und wie löst man diese? Oberhausen, 09.11.2011 Dr.

Mehr

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Arbeitskreis Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten

Mehr

1. bvh-datenschutztag 2013

1. bvh-datenschutztag 2013 1 CLOUD COMPUTING, DATENSCHUTZ ASPEKTE DER VERTRAGSGESTALTUNG UND BIG DATA Rechtsanwalt Daniel Schätzle Berlin, 20. März 2013 1. bvh-datenschutztag 2013 Was ist eigentlich Cloud Computing? 2 WESENTLICHE

Mehr

Vorschlag einer europäischen Datenschutzverordnung aus Sicht der Beschäftigten

Vorschlag einer europäischen Datenschutzverordnung aus Sicht der Beschäftigten Vorschlag einer europäischen Datenschutzverordnung aus Sicht der Beschäftigten Interparlamentarisches Ausschuss- Treffen zum Datenschutz im Europäischen Parlament in Brüssel, 9./10.10.2012 1 Wichtigste

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat.

Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. Man kommt schlecht weg, wenn man mit einem Mächtigen ein Geheimnis zu teilen hat. (Aus den»fliegenden Blättern«, humoristisch-satirische Zeitschrift, die von 1844-1944 in München erschien) 1 8.2.1.Der

Mehr

Aufbewahrung von erweiterten Führungszeugnissen. Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland

Aufbewahrung von erweiterten Führungszeugnissen. Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland Aufbewahrung von erweiterten Führungszeugnissen Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland Nach 72a Abs. 1 SGB VIII dürfen Träger der öffentlichen Jugendhilfe keine Personen hauptamtlich beschäftigen

Mehr

Inhaltsverzeichnis. A. Einleitung 17. B. Allgemeine Wettbewerbssituation 21. C. Internationalisierung der Wirtschaft 23

Inhaltsverzeichnis. A. Einleitung 17. B. Allgemeine Wettbewerbssituation 21. C. Internationalisierung der Wirtschaft 23 Inhaltsverzeichnis A. Einleitung 17 B. Allgemeine Wettbewerbssituation 21 C. Internationalisierung der Wirtschaft 23 I. Multinationale Unternehmen 24 II. Multinationale Konzerne 25 III. Internationale

Mehr

Übermittlung personenbezogener Daten ins Ausland

Übermittlung personenbezogener Daten ins Ausland Übermittlung personenbezogener Daten ins Ausland September 2014 Wichtige Datenschutzinformationen für Ihr Unternehmen Inhalte Datenschutzinformationen September 2014 Inhaltsverzeichnis Begrüßung Ihr Datenschutzbeauftragter

Mehr

Aktuelle Änderungen im Bundesdatenschutzgesetz - Schwerpunkte: Auftragsdatenverarbeitung und Beschäftigtendatenschutz -

Aktuelle Änderungen im Bundesdatenschutzgesetz - Schwerpunkte: Auftragsdatenverarbeitung und Beschäftigtendatenschutz - Aktuelle Änderungen im Bundesdatenschutzgesetz - Schwerpunkte: Auftragsdatenverarbeitung und Beschäftigtendatenschutz - RAin Yvette Reif, LL.M. Stellvertretende Geschäftsführerin Gesellschaft für Datenschutz

Mehr

IT-Compliance und Datenschutz. 16. März 2007

IT-Compliance und Datenschutz. 16. März 2007 IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot

Mehr

Datenschutz-konformer Umgang mit Mitarbeiterdaten

Datenschutz-konformer Umgang mit Mitarbeiterdaten Datenschutz-konformer Umgang mit Mitarbeiterdaten bfd-online-seminar Montag, 24. Juni 2013 15:00 16:00 Uhr + Fragen Referent: Wolfgang A. Schmid KPWT Rau & Kollegen Moderator: Stefan Wache bfd Fachinformations-Tipps

Mehr

Regina Steiner Silvia Mittländer Erika Fischer Fachanwältinnen für Arbeitsrecht

Regina Steiner Silvia Mittländer Erika Fischer Fachanwältinnen für Arbeitsrecht steiner mittländer fischer rechtsanwältinnen Regina Steiner Silvia Mittländer Erika Fischer Fachanwältinnen für Arbeitsrecht Berliner Straße 44 60311 Frankfurt am Main Telefon 0 69 / 21 93 99 0 Telefax

Mehr

IHK-Merkblatt Stand: 04.11.2015

IHK-Merkblatt Stand: 04.11.2015 IHK-Merkblatt Stand: 04.11.2015 HINWEIS: Dieses Merkblatt soll als Service Ihrer IHK nur erste Hinweise geben und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl es mit größter Sorgfalt erstellt

Mehr

Datenschutz im Spendenwesen

Datenschutz im Spendenwesen Datenschutz im Spendenwesen Corinna Holländer, Referentin beim Berliner Beauftragten für f r Datenschutz und Informationsfreiheit (Bereiche: Wirtschaft, Sanktionsstelle) Berlin, den 16. Mai 2011 1 Gliederung

Mehr

e-mail, Internet + Datenschutz am Arbeitsplatz

e-mail, Internet + Datenschutz am Arbeitsplatz GÖRG GÖRG WIR BERATEN THE BUSINESS UNTERNEHMER. LAWYERS. München, 29. September 2010 DR. AXEL CZARNETZKI, LL.M. e-mail, Internet + Datenschutz am Arbeitsplatz 1 E-Mail und Internet am Arbeitsplatz Datenschutz

Mehr

Das neue Datenschutzgesetz 2009 - Konsequenzen für den betrieblichen Datenschutz

Das neue Datenschutzgesetz 2009 - Konsequenzen für den betrieblichen Datenschutz Das neue Datenschutzgesetz 2009 - Konsequenzen für den betrieblichen Datenschutz Eine Veranstaltung der IHK Regensburg am 27.10.2009 Referentin: Sabine Sobola, Rechtsanwältin, Lehrbeauftragte für IT-Recht

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

der Gesellschaft für Datenschutz und Datensicherung e. V. (GDD)

der Gesellschaft für Datenschutz und Datensicherung e. V. (GDD) Stellungnahme der Gesellschaft für Datenschutz und Datensicherung e. V. (GDD) im Rahmen der Konsultation der Europäischen Kommission zum Rechtsrahmen für das Grundrecht auf Schutz personenbezogener Daten

Mehr

Gründe für ein Verfahrensverzeichnis

Gründe für ein Verfahrensverzeichnis 1 Wozu ein Verfahrensverzeichnis? Die Frage, wieso überhaupt ein Verfahrensverzeichnis erstellt und gepflegt werden soll, werden nicht nur Sie sich stellen. Auch die sogenannte verantwortliche Stelle in

Mehr

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06. Business mit der Cloudflexibler, einfacher, mobiler? Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.2015 Cloud Services www.res-media.net 1 Was ist Cloud-Computing? neue

Mehr

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Vorabkontrolle gemäß 4d Abs. 5 BDSG - Checkliste + Formular - Vorabkontrolle gemäß 4d Abs. 5 BDSG Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 A. Wenn ein Unternehmen personenbezogene

Mehr

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem!

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! David Herzog Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! 1. Rechtliche Rahmenbedingungen Auftrag: Gegen welche Personen bestehen ausgehend von den Erkenntnissen aus

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser

Surfen am Arbeitsplatz. Ein Datenschutz-Wegweiser Surfen am Arbeitsplatz Ein Datenschutz-Wegweiser Inhalt Allgemeine Fragen zur Wahrung der Privatsphäre 4 Grundsätzliche Anforderungen 6 Allgemeines 6 Dienstliche Nutzung 7 Private Nutzung 8 Protokollierung

Mehr

Fälle mit Lösungsskizzen

Fälle mit Lösungsskizzen Fall 1: Der Versicherungsrabatt Die mit der X-Bank konzernverbundene Y-Versicherung bittet die X-Bank um die Mitteilung von Namen und (Post-)Anschriften der neu eingestellten Auszubildenden. Sie teilt

Mehr

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche (Kirchliches Amtsblatt, Erzbistum Hamburg, Bd. 11, Nr. 3, Art. 36, S. 34 ff., v. 15. März 2005) Vorbemerkung: Der Schutz von Sozialdaten

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich -

Baden-Württemberg. INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich - Baden-Württemberg INNENMINISTERIUM - Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich - Datenschutzrechtliche Hinweise zum Einsatz von Webanalysediensten wie z. B. Google Analytics 1 -

Mehr

Alexander Jung, Managing Consultant / legitimis GmbH

Alexander Jung, Managing Consultant / legitimis GmbH Alexander Jung, Managing Consultant / legitimis GmbH Strategische Managementberatung mit Schwerpunkt Datenschutz International operierende Strategie- und Managementberatung mit den Schwerpunkten Datenschutz,

Mehr

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) Anlage zur Beauftragung vom ##.##.2016 Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) zwischen der Verbraucherzentrale Nordrhein-Westfalen e.v., Mintropstr. 27, 40215

Mehr

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Goethestraße 27 18209 Bad Doberan Telefon: 038203/77690 Telefax: 038203/776928 Datenschutzbeauftragter Schütte, Goethestraße 27, 18209 Bad Doberan

Mehr

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-02-R-01 Inhaltsverzeichnis 1 Ziel...

Mehr

ARTIKEL-29-DATENSCHUTZGRUPPE

ARTIKEL-29-DATENSCHUTZGRUPPE ARTIKEL-29-DATENSCHUTZGRUPPE 12110/04/DE WP 102 Muster-Checkliste Antrag auf Genehmigung verbindlicher Unternehmensregelungen angenommen am 25. November 2004 Die Gruppe ist gemäß Artikel 29 der Richtlinie

Mehr

IT-LawCamp 2010 BIRD & BIRD, Frankfurt 20. März 2010. IT-Sicherheit und Datenschutz eine Beziehung mit Spannungen

IT-LawCamp 2010 BIRD & BIRD, Frankfurt 20. März 2010. IT-Sicherheit und Datenschutz eine Beziehung mit Spannungen AK WLAN IT-LawCamp 2010 BIRD & BIRD, Frankfurt 20. März 2010 IT-Sicherheit und Datenschutz eine Beziehung mit Spannungen RA Ivo Ivanov Justiziar des eco e.v. 1 Übersicht Ausgangssituation Datenschutzrechtlicher

Mehr

SUFFEL & KOLLEGEN, Jena. seit 1990 in Jena. RA Jan Schröder, FA für Arbeitsrecht. RA David Conrad. SUFFEL & KOLLEGEN, Rechtsanwälte

SUFFEL & KOLLEGEN, Jena. seit 1990 in Jena. RA Jan Schröder, FA für Arbeitsrecht. RA David Conrad. SUFFEL & KOLLEGEN, Rechtsanwälte seit 1990 in Jena RA Claus Suffel, FA Bau- und Architektenrecht RA Jan Schröder, FA für Arbeitsrecht RA Dr. Mathis Hoffmann RA David Conrad www.jenanwalt.de Datenschutzrecht für kleine und mittlere Unternehmen

Mehr

- Vertrauen durch Transparenz

- Vertrauen durch Transparenz !"" # $%&''()*+," -.%&''()*+!*( /01%#2 30#4 5607#689 - Vertrauen durch Transparenz Grundlegende Informationen für eine Datenschutz-Policy sowie Formulierungen abrufbar unter www.gdd.de (Rubrik Aktuelles

Mehr

Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten

Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten In dieser fünftägigen Ausbildungsreihe werden vertiefte Kenntnisse zum Datenschutzrecht vermittelt. Es werden alle Kenntnisse

Mehr

Datenschutz bei Collaborative Work am Beispiel von GoToMeeting

Datenschutz bei Collaborative Work am Beispiel von GoToMeeting In Kooperation mit Datenschutz bei Collaborative Work am Beispiel von GoToMeeting Münchner Fachanwaltstag IT-Recht Datenschutzrechtliche Fragen eines USamerikanischen SaaS-Anbieters aus Kunden-, Anbieter-

Mehr

Arbeitnehmerdatenschutz Arbeitsrechtliche Aspekte

Arbeitnehmerdatenschutz Arbeitsrechtliche Aspekte Arbeitnehmerdatenschutz Arbeitsrechtliche Aspekte Rechtsanwalt Dr. Oliver Grimm Fachanwalt für Arbeitsrecht München 26. November 2009 Überblick Was gilt aktuell für den Umgang mit Mitarbeiterdaten? Wann

Mehr

Richtlinie. des Arbeitskreises. Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater. in der

Richtlinie. des Arbeitskreises. Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater. in der Richtlinie des Arbeitskreises Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater in der Gesellschaft für Datenschutz und Datensicherheit e.v. - GDD - Verabschiedet von den Mitgliedern der

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Bedeutung für die Arbeitswelt im Zeichen von Big Data Dr. Philipp Richter Übersicht 1. Arbeitnehmerdatenschutz: Einführung 2. Klassische, aktuelle und kommende Themen 3.

Mehr

Änderungs- und Ergänzungsvorschläge der deutschen gesetzlichen Krankenkassen

Änderungs- und Ergänzungsvorschläge der deutschen gesetzlichen Krankenkassen über eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) KOM(2012)

Mehr

Konzerninterne Datentransfers

Konzerninterne Datentransfers Datenschutz Ergonomie Mitbestimmung Konzerninterers Datenschutz und Mitbestimmung BvD AK Externe DSB, 23. September 2011 Lothar Bräutigam Datenschutz Ergonomie Mitbestimmung Überblick 1. Praxisbeispiele

Mehr

Datenschutz im Arbeitsverhältnis

Datenschutz im Arbeitsverhältnis Datenschutz im Arbeitsverhältnis Congress@it-sa am 07. Oktober 2014 RAin Jacqueline Kepura Folie 0 / Datenschutz im Arbeitsverhältnis / Referent TT. Monat 2010 Gliederung 1. Allgemeine Grundlagen des Datenschutzes

Mehr

Datenschutzkonzept: Phishing-Kampagne von datenschutz nord GmbH. im Auftrag der Context Information Security Ltd. info@contextis.

Datenschutzkonzept: Phishing-Kampagne von datenschutz nord GmbH. im Auftrag der Context Information Security Ltd. info@contextis. Datenschutzkonzept: Phishing-Kampagne von datenschutz nord GmbH im Auftrag der Context Information Security Ltd. April 2015 info@contextis.com www.contextis.com Inhalt 1 Einleitung 3 1.1 Kurzbeschreibung

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr