xxx Interne Untersuchungen und Datenschutz xxx Tim Wybitul Juli 2012 xxx

Größe: px
Ab Seite anzeigen:

Download "xxx Interne Untersuchungen und Datenschutz xxx Tim Wybitul Juli 2012 xxx"

Transkript

1 xxx xxx Juli 2012 xxx Interne Untersuchungen und Datenschutz Tim Wybitul Oktober 2012 Vorveröffentlichung des Kapitels "Interne Untersuchungen und Datenschutz" aus dem im Verlag C.F. Müller erscheinenden "Handbuch Internal Investigations", Hrsg. Knierim/Rübenstahl/Tsambikakis

2 Weitere Informationen Für weiterführende Informationen zu dieser Veröffentlichung wenden Sie sich gerne jederzeit an: Tim Wybitul Of Counsel, Hogan Lovells Frankfurt T Bitte berücksichtigen Sie, dass diese Abhandlung nur als allgemeiner Leitfaden dienen soll. Sie ersetzt keine spezifische rechtliche Beratung. Wir danken dem Verlag C.F. Müller für die freundliche Genehmigung dieses Vorabdrucks. Hogan Lovells 2

3 Executive Summary: Was Sie über Datenschutz bei internen Ermittlungen im Unternehmen wissen sollten Aufgrund der strengen Anforderungen des Datenschutzes müssen interne Ermittlungen in deutschen Unternehmen besonders sorgfältig vorbereitet und geplant werden. Dabei sollten Sie insbesondere die folgenden Punkte genau beachten: Das Bundesdatenschutzgesetz (BDSG) setzt bei internen Ermittlungen in aller Regel eine umfassende Interessenabwägung unter Berücksichtigung der Persönlichkeitsrechte der betroffenen Personen voraus. Das BDSG ist bei jedem Umgang mit Beschäftigtendaten unabhängig davon zu beachten, ob es um eine automatisierte Datenverarbeitung geht oder nicht, vgl. 32 Abs. 2 BDSG. Ermittler müssen sowohl die Vorschriften zu Datenschutz als auch die einschlägige Rechtsprechung genau kennen, andernfalls drohen Bußgelder, Haftungsrisiken, Rufschäden, Beweisvortragsverbote und weitere Nachteile. Ausländische Rechtsvorschriften und interne Compliance-Richtlinien können den Umgang mit personenbezogenen Daten nicht erlauben (vgl. 4 Abs. 1 BDSG) aber sie können wichtige Interessen des Unternehmens darstellen, die im Rahmen einer Interessenabwägung zu berücksichtigen sind. In aller Regel akzeptieren deutsche Datenschutzaufsichtsbehörden Einwilligungen von Beschäftigten nicht als Rechtsgrundlage für interne Ermittlungen. Verstöße gegen das BDSG können mit Geldbußen von bis zu EUR pro Fall geahndet werden, zudem sollen aus Rechtsverstößen gezogene Gewinne abgeschöpft werden. Schwere Verstöße gegen das BDSG sind strafbar kürzlich hat das OLG Lüneburg einen Anfangsverdacht nach 44 BDSG in einem Fall bejaht, in dem ein Ermittler einen GPS-Sender am Auto einer Zielperson anbrachte. Die Übermittlung personenbezogener Daten in Staaten außerhalb der EU unterliegt hohen Anforderungen, z.b. an US-Gerichte oder US-Behörden. Das Sichten und Auswerten von s kann nach Auffassung der Aufsichtsbehörden für den Datenschutz einen strafbaren Verstoß gegen das Fernmeldegeheimnis darstellen allerdings haben zwei Landesarbeitsgerichte kürzlich Auswertungen unter strenger Berücksichtigung datenschutzrechtlicher Vorgaben für zulässig erachtet. Hogan Lovells 3

4 Interne Untersuchungen und Datenschutz Die gesetzlichen Vorgaben des Datenschutzes stellen oftmals einen wesentlichen Aspekt rechtlich zulässiger Untersuchungen durch Unternehmen dar. Datenschutzskandale in deutschen Großunternehmen haben gezeigt, welch drastische Nachteile bei Verstößen gegen das Bundesdatenschutzgesetz (BDSG) im Rahmen der Aufklärung möglicher Rechtsverstöße drohen. Der vorliegende Überblick zeigt zunächst, welche Folgen Fehler beim Umgang mit den Persönlichkeitsrechten bei Maßnahmen zur Sachverhaltsaufklärung haben können. Er beschreibt die Grundsätze und die wesentlichen Regelungen des BDSG, welche die an einer internen Untersuchung Beteiligten unbedingt kennen sollten. Zudem findet der Leser Handlungsempfehlungen und Praxistipps zur Durchführung datenschutzrechtlich zulässiger interner Ermittlungen. A. Bedeutung des Datenschutzes bei internen Ermittlungen Der Datenschutz hat bei der internen Sachverhaltsaufklärung durch Unternehmen 1 bis vor wenigen Jahren keine große Rolle gespielt. Dies hat sich ganz erheblich geändert. 2 Das Vorgehen der Aufsichtsbehörden und die öffentliche Wahrnehmung haben weitgehend neue Rahmenbedingungen von Untersuchungen in und durch Wirtschaftsunternehmen geschaffen. 3 Diese Rahmenbedingungen gelten sowohl für Unternehmen und deren Leitungsorgane und Mitarbeiter als auch für von Unternehmen beauftragte externe Ermittler. 4 I. Folgen von Fehlern beim Datenschutz Verstöße gegen das BDSG können zu einer Reihe von Sanktionen und sonstigen Nachteilen führen. 43 BDSG sieht Bußgelder von bis zu Euro pro Verstoß vor. Zudem droht die Abschöpfung von Gewinnen, die durch Verletzungen der Vorgaben des Datenschutzes gewonnen wurden. Falls externe Ermittler etwa die Vorgaben des BDSG missachten, könnte die Datenschutzaufsichtsbehörde durchaus die im Rahmen eines Ermittlungsauftrages gewonnenen Gewinne abschöpfen. 5 Schwere Datenschutzverstöße sind nach 43 Abs. 2 BDSG in Verbindung mit 44 BDG strafbar und werden auch in der Rechtspraxis zunehmend verfolgt. So hat das LG Lüneburg kürzlich in einem Fall einen Anfangsverdacht einer Straftat nach 44 BDSG bejaht, in dem ein Privatermittler einen GPS-Peilsender am Auto einer Zielperson anbrachte, um ein Bewegungsprofil erstellen zu können. 6 1 Sofern nachstehend auf Unternehmen oder Arbeitgeber Bezug genommen wird, bezieht sich dies aus datenschutzrechtlicher Sicht auf nicht-öffentliche verantwortliche Stellen im Sinne von 2 Abs. 4 BDSG. Der vorliegende Beitrag bezieht sich nicht auf das Erheben, Verarbeiten und Nutzen personenbezogener Daten durch öffentliche Stellen. Wo der Beitrag sich auf Adressaten des BDSG in Form verantwortlicher Stellen bezieht, werden diese aus Gründen der sprachlichen Darstellung als Unternehmen oder im Verhältnis zu Beschäftigten als Arbeitgeber bezeichnet. 2 Vgl. etwa Zöll, in Taeger/Gabel (Hrsg.), BDSG, 1. Aufl. 2010, 32, Rn. 2 ff. 3 Vgl. die gelungene Darstellung zu den arbeitsrechtlichen Aspekten der Aufklärung von Compliance-Verstößen Böhm, Non- Compliance und Arbeitsrecht, Diss, 2011, S. 82 ff. 4 Vgl. ausführlich zum Umgang mit Beschäftigtendaten zur Aufdeckung von Straftaten im Beschäftigungsverhältnis Wybitul, Handbuch Datenschutz im Unternehmen, 1. Aufl. 2011, Rn. 199 ff 5 43 Abs. 3 Satz 2 BDSG. 6 LG Lüneburg, ZD 2011, 39. Hogan Lovells 4

5 In der Praxis führt das Bekanntwerden von Datenschutzverstößen im Rahmen interner Untersuchungen in aller Regel zu ausgesprochen negativer Berichterstattung in der Presse und erheblichen Rufschäden. Solche Reputationsschäden können durchaus die Wirkung von Werbeausgaben eines Unternehmens über mehrere Jahre entwerten. Zudem veranlasst die negative Pressewirkung von Datenschutzverstößen Unternehmen nicht selten auch zu personellen Maßnahmen. Wer im Rahmen interner Untersuchungen beim Datenschutz Entscheidungen trifft, die erhebliche Rufschäden für das Unternehmen nach sich ziehen, muss mit arbeitsrechtlichen Konsequenzen bis hin zur Kündigung rechnen. Auch die Bundesrechtsanwaltskammer hat unmissverständlich klargestellt, dass bei unternehmensinternen Erhebungen stets die Vorschriften des Datenschutzes genau zu befolgen sind. 7 Die Vielzahl und Schwere der Folgen von Fehlern beim Datenschutz führen dazu, dass die an internen Untersuchungen Beteiligten sich immer intensiver mit den Anforderungen des Datenschutzes auseinander setzen müssen und diese Anforderungen zunächst einmal kennen müssen. II. Herausforderungen beim Datenschutz Der ordnungsgemäße und sichere Umgang mit personenbezogenen Daten im Rahmen interner Untersuchungen birgt eine Vielzahl von Herausforderungen. Das BDSG ist schlecht verständlich und unstrukturiert. Es arbeitet mit einer Vielzahl unbestimmter Rechtsbegriffe, was dem Anwender die Umsetzung der teilweise sehr unbestimmten Vorgaben des Gesetzes weiter erschwert. Viele Normen sind unklar formuliert und lassen enorm weiten Spielraum für Auslegungen. Gleichzeitig legen die Aufsichtsbehörden für den Datenschutz oftmals sehr enge und restriktive Maßstäbe an. 8 B. Grundlagen des gesetzlichen Datenschutzes Die grundlegenden Vorschriften zum Umgang mit personenbezogenen Daten sind im BDSG geregelt. Ziel des BDSG ist es, den Schutz der Persönlichkeitsrechte natürlicher Personen zu gewährleisen. 1 Abs. 1 BDSG: Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. 7 Vgl. Wybitul, BB 2011, Heft: 22, S. VI, Im Blickpunkt: Interne Ermittlungen durch Unternehmen. 8 Vgl. etwa die Stellungnahme der Aufsichtsbehörden Whistleblowing Hotlines: Firmeninterne Warnsysteme und Beschäftigtendatenschutz, Arbeitsbericht der Ad-hoc-Arbeitsgruppe Beschäftigtendatenschutz des Düsseldorfer Kreises abrufbar unter Hogan Lovells 5

6 Bei internen Untersuchungen durch Unternehmen stehen sich unterschiedliche Grundrechtspositionen gegenüber, die das BDSG zu einem verfassungsgemäßen Ausgleich bringen soll. Auf der einen Seite stehen etwa die Wirtschaftsfreiheit des Unternehmens und die Eigentumsrechte seiner Anteilseigner, auf der anderen Seite vor allem das Recht der von einer Untersuchung betroffenen Personen auf informationelle Selbstbestimmung. Sofern Unternehmen auch auf elektronisch gespeicherte Daten zugreifen, wie etwa s oder Rechner von Mitarbeitern, kommen daneben auch das Grundrecht auf Integrität von Informationstechnologiesystemen und das verfassungsmäßig geschützte Fernmeldegeheimnis in Betracht. Bei internen Untersuchungen durch Wirtschaftsunternehmen stehen sich somit verfassungsrechtlich geschützte Grundrechtspositionen Privater gegenüber. Das BDSG gibt wesentliche Regeln vor, mit denen ein angemessener Interessenausgleich zwischen diesen Positionen erzielt werden soll. Dem BDSG liegen vier Prinzipien zu Grunde, die man beim Umgang mit personenbezogenen Daten kennen sollte: der Verhältnismäßigkeitsgrundsatz; der Zweckbindungsgrundsatz; das grundsätzliche Verbot des Erheben und Verwendens personenbezogener Daten, falls nicht ein Erlaubnistatbestand vorliegt, und das Transparenzgebot. I. Verhältnismäßigkeitsgrundsatz Das BDSG arbeitet mit einer Reihe von unbestimmten Rechtsbegriffen, bei deren Auslegung der Verhältnismäßigkeitsgrundsatz eine wesentliche Hilfe ist. Wo das BDSG etwa in 32 BDSG fordert, dass das Erheben und Verwenden von Beschäftigtendaten erforderlich sein muss, kann man diese recht unbestimmte Anforderung auf der Basis des Verhältnismäßigkeitsgrundsatzes konkretisieren. Der Verhältnismäßigkeitsgrundsatz trägt der Tatsache Rechnung, dass sich beim Datenschutz in Unternehmen Grundrechtspositionen gegenüber stehen, die im Rahmen der Anwendung der Vorschriften des BDSG zu einem angemessenen Ausgleich gebracht werden müssen. Auch im Rahmen interner Untersuchungen durch Unternehmen muss das Erheben, Verarbeiten und Nutzen personenbezogener Daten stets auf der Grundlage einer objektiv nachvollziehbaren Interessenabwägung geschehen. Der Umgang mit personenbezogenen Daten ist dann verhältnismäßig, wenn er zur Verwirklichung des jeweils im BDSG näher bestimmten Zwecks geeignet ist, das mildeste aller gleich effektiven Mittel zur Verwirklichung dieses Zwecks darstellt und einen angemessenen Interessenausgleich zwischen der datenverarbeitenden Stelle und dem von der Datenerhebung oder -verarbeitung Betroffenen herstellt. Wer diese Prinzipien kennt und bei der Durchführung interner Untersuchungen berücksichtigt, kann Rufschäden, Bußgelder und sonstige Nachteile durch schwerwiegende Fehler beim Datenschutz vermeiden. Daher sollten die nachstehend beschriebenen Prinzipien wirklich jedem an internen Sachverhaltsaufklärungen Beteiligten geläufig sein. Hogan Lovells 6

7 1. Zum Erreichen des verfolgten Zwecks geeignet Das BDSG nennt an verschiedenen Stellen Zwecke, für deren Verwirklichung es Anforderungen bestimmt. 32 Abs. 1 Satz 1 BDSG etwa erlaubt Unternehmen, personenbezogene Daten von Beschäftigten zu erheben, soweit dies für Zwecke der Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Die Durchführung des Beschäftigungsverhältnisses kann auch Kontrollen im Rahmen des Arbeitsverhältnisses umfassen, also etwa Überprüfungen im Rahmen präventiver Compliance-Maßnahmen. Falls ein Erheben oder Verwenden personenbezogener Daten von Beschäftigten Zwecke des Beschäftigungsverhältnisses gar nicht verwirklichen kann, ist das Erheben oder Verwenden zur Verwirklichung dieses Zwecks nicht geeignet und damit auch nicht nach 32 BDSG erlaubt. Zudem muss ein Umgang mit personenbezogenen Daten einem von der Rechtsordnung gebilligten Zweck dienen, damit er als geeignet eingeordnet werden kann. 2. Wahl des mildesten aller gleich effektiven Mittel zur Verwirklichung des verfolgten Zwecks 3a BDSG verpflichtet Unternehmen, beim Umgang mit personenbezogenen Daten stets darauf zu achten, dass sie möglichst wenig beziehungsweise so wenig eingriffsintensive personenbezogenen Daten erheben, verarbeiten oder nutzen. Zudem dürfen Unternehmen grundsätzlich nur so viele Daten erheben und verwenden, wie zur Verwirklichung der im BDSG vorgesehenen Zwecke nötig ist sogenannter Grundsatz der Datenvermeidung und Datensparsamkeit. 3a BDSG: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert. Die grundsätzliche Pflicht zur Wahl des mildesten Mittels wird im Rahmen der Verhältnismäßigkeitsprüfung auch als Erforderlichkeit im engeren Sinne bezeichnet. Richtigerweise wird man Unternehmen bei der Wahl des mildesten unter allen verfügbaren gleich effektiven Mitteln einen nicht unerheblichen Einschätzungsspielraum zugestehen müssen. Wichtig ist in diesem Zusammenhang auch, dass Unternehmen nicht gehalten sind, weniger effektive Mittel zu wählen. 9 Für die Praxis unternehmensinterner Sachverhaltsaufklärung bedeutet die Pflicht zur Wahl des mildesten Mittels, dass Unternehmen und die von ihnen beauftragten internen und externen Ermittler prüfen müssen, ob einzelne Ermittlungszwecke auch durch andere, weniger eingriffsintensive Mittel verwirklicht werden. So sind Sachverhaltsaufklärungen unter anderem auf Zeiträume und Personen zu beschränken, die über den aufzuklärenden Sachverhalt Aufschluss geben können. Der Ansatz, erst einmal darauf los zu ermitteln und personenbezogene Daten mehr oder minder auf Vorrat zu sammeln, ist datenschutzrechtlich nicht erlaubt. 9 Vgl. etwa die gelungene Darstellung von Bausewein, Legitimationswirkung von Einwilligung und Betriebsvereinbarung im Beschäftigtendatenschutz, Diss. 2011, S Hogan Lovells 7

8 Eine datenschutzkonform ausgelegte interne Untersuchung setzt voraus, dass die unternehmensinternen Ermittler bereits bei der Planung der gesamten Untersuchung und vor der Durchführung einzelner Ermittlungsmaßnahmen prüfen, ob die geplanten Schritte dem Erfordernis des mildesten Mittels genügen. Diese datenschutzrechtliche Prüfung sollte man grundsätzlich dokumentieren, um später gegebenenfalls nachweisen zu können, welche datenschutzrechtlichen Überlegungen die Ermittler angestellt haben. Diese Dokumentation kann im Falle von Kontrollen der Aufsichtsbehörden, bei Beschwerden von Personen, die von Aufsichtsmaßnahmen betroffen sind, bei Gerichtsverfahren über die Zulässigkeit einzelner Ermittlungsmaßnahmen oder bei Nachfragen des Betriebsrats von entscheidender Bedeutung sein. 3. Angemessenheit des Erhebens oder Verwendens von Daten Der Umgang mit personenbezogenen Daten ist grundsätzlich nur dann zulässig, wenn er angemessen ist, also auf einem sachgemäßen Ausgleich der Interessen der Beteiligten beruht. Im Datenschutzrecht kommt dieser Grundsatz in einer Reihe von Bestimmungen zum Ausdruck, die einen solchen Interessenausgleich ausdrücklich vorsehen. Nach 32 Abs. 1 Satz 2 BDSG oder nach 28 Abs. 1 Satz 1 Nr. 2 BDSG dürfen Unternehmen personenbezogene Daten dann nicht erheben oder verarbeiten, wenn überwiegende schutzwürdige Interessen des Betroffenen entgegenstehen. Richtigerweise fordert man auch bei den Vorschriften des BDSG, deren Wortlaut eine Interessenabwägung nicht ausdrücklich vorsieht, eine solche Angemessenheitsprüfung, um die Grundrechtspositionen der Beteiligten zu einem sachgerechten Ausgleich zu bringen. 10 Für die Praxis unternehmensinterner Sachverhaltsaufklärungen bedeutet die Verpflichtung zur Durchführung einer solchen Angemessenheitsprüfung, dass die beteiligten Ermittler das Aufklärungsinteresse des Unternehmens gegen das Recht der von der Untersuchung betroffenen Personen auf informationelle Selbstbestimmung abwägen müssen. Oftmals liegt hier der Schwerpunkt der datenschutzrechtlichen Überprüfung einzelner Ermittlungsmaßnahmen. Erfahrene Ermittler orientieren sich bei dieser Prüfung unter anderem an den Vorgaben der Arbeitsgerichte zu Kontrollmaßnahmen im Arbeitsverhältnis. 11 Hier kann man auf eine umfassende Rechtsprechung zurückgreifen. 10 Vgl. Kock/Francke, NZA 2009, 646, Dies entspricht auch dem im Wortlaut der Gesetzesbegründung klar zum Ausdruck kommenden Willen des Gesetzgebers, BT- Drs. 16/13657, S. 21. Aus der Gesetzesbegründung ergibt sich klar, dass 32 BDSG die Rechtsprechung zu den allgemeinen Grundsätzen zum Datenschutz zusammenfassen soll, vgl. auch Wybitul, BB 2010, 1085 ff.; Wybitul, Handbuch Datenschutz im Unternehmen, 1. Aufl. 2011, Rn Daraus kann der Schluss gezogen werden, dass erforderlich jeweils der Datenumgang ist, den Bundesarbeitsgericht und Bundesverfassungsgericht bereits in der Vergangenheit als zulässig erachtet haben, LAG Köln, ZD 2011, 183. Hogan Lovells 8

9 II. Zweckbindungsgrundsatz Nach dem datenschutzrechtlichen Zweckbindungsgrundsatz dürfen personenbezogene Daten nur für konkret festgelegte und gesetzlich erlaubte Zwecke erhoben und verwendet werden. Will ein Unternehmen diese Daten für andere Zwecke verarbeiten oder nutzen, darf es dies nur, falls die gesetzlichen Voraussetzungen für eine solche Zweckänderung vorliegen. 12 Der Zweckbindungsgrundsatz hat auch auf die zulässige Dauer des Speicherns personenbezogener Daten erhebliche Auswirkungen. Sofern Daten für die Verwirklichung des Zwecks, für den sie gespeichert wurden, nicht mehr erforderlich sind, sind diese personenbezogenen Daten grundsätzlich zu löschen. Für unternehmensinterne Sachverhaltsaufklärungen bedeutet der Zweckbindungsgrundsatz unter anderem, dass das Unternehmen bei jeder Aufklärungsmaßnahme und jedem gespeicherten Datensatz klar belegen können muss, welchem konkreten Zweck diese fraglichen Informationen dienen. Eine pauschale Bezeichnung für Ermittlungszwecke ist aus Sicht des Datenschutzes nicht ausreichend. In aller Regel verwenden Ermittler bei internen Untersuchungen nicht nur personenbezogene Daten, die eigens für Untersuchungszwecke erhoben wurden, sondern greifen auf unternehmensinterne Informationssysteme zurück. In diesem Falle muss man prüfen, ob dies eine Zweckänderung darstellt beziehungsweise, ob die gesetzlichen Voraussetzungen für eine solche Zweckänderung vorliegen. Zudem müssen Unternehmen auch im Rahmen interner Untersuchungen ein Löschkonzept erstellen, das sicherstellt, dass die im Rahmen der Sachverhaltsaufklärung gespeicherten Daten nach Maßgabe der gesetzlichen Anforderungen gelöscht werden. III. Verbot mit Erlaubnisvorbehalt Das BDSG untersagt Unternehmen grundsätzlich, personenbezogene Daten zu erheben, verarbeiten oder zu nutzen. Dieses Verbot mit Erlaubnisvorbehalt greift nur dann nicht ein, wenn ein gesetzlich bestimmter Erlaubnistatbestand vorliegt. 4 Abs. 1 BDSG verbietet dem Umgang mit personenbezogenen Daten, falls nicht das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder falls nicht der vom Erheben und Verwenden seiner Daten Betroffene eingewilligt hat. 4 Abs. 1 BDSG: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. 12 Vgl. 28 Abs. 2 BDSG. Hogan Lovells 9

10 In der Praxis unternehmensinterner Maßnahmen zur Sachverhaltsaufklärung führt das datenschutzrechtliche Verbot mit Erlaubnisvorbehalt dazu, dass man vor jeder Ermittlungsmaßnahme nach einem Erlaubnistatbestand suchen und feststellen sollte, ob dessen Voraussetzungen vorliegen. Typische Erlaubnistatbestände im Rahmen interner Untersuchungen sind etwa 32 Abs. 1 Satz 1 oder Satz 2 BDSG oder 28 Abs. 1 Satz 1 Nr. 2 BDSG. 13 Daneben gibt es noch Spezialnormen, die bei internen Untersuchungen in einzelnen Branchen relevant werden können. 14 Einwilligungen sind dagegen bei internen Untersuchungen als datenschutzrechtlicher Erlaubnistatbestand nur eingeschränkt geeignet. Für flächendeckende Ermittlungsmaßnahmen sind Einwilligungen kaum ein zweckmäßiger Ansatz, da Datenschutzaufsichtsbehörden und Fachliteratur hohe Anforderungen an den Umgang mit personenbezogenen Daten auf der Grundlage von Einwilligungserklärungen stellen. Soweit es um personenbezogene Daten von Beschäftigten geht, kann auch eine Betriebsvereinbarung zur Durchführung einer internen Untersuchung durchaus eine Rechtsvorschrift darstellen, die den zur Sachverhaltsaufklärung notwendigen Umgang mit personenbezogenen Daten erlaubt. 15 IV. Transparenzgebot Das Transparenzgebot beziehungsweise der Transparenzgrundsatz soll sicherstellen, dass vom Erheben oder Verwenden ihrer personenbezogenen Daten betroffene Personen grundsätzlich von diesem Erheben oder Verwenden informiert werden. Wenn ein Unternehmen Informationen über Mitarbeiter oder unternehmensfremde Personen sammelt oder deren personenbezogene Daten verwendet, sollen diese hiervon prinzipiell unterrichtet werden. Der Betroffene soll grundsätzlich darüber informiert sein, wer über seine personenbezogenen Daten verfügt und was mit diesen Daten gemacht wird. 16 Damit ermöglicht der Grundsatz der Transparenz durch umfassende Information des Betroffenen auch die Gewährleistung eines effektiven Rechtsschutzes gegen unzulässigen Datenumgang. 17 Bei internen Untersuchungen stellt das Transparenzgebot die beteiligten Ermittler oftmals vor hohe inhaltliche Voraussetzungen. Denn in aller Regel wollen diese die von einer internen Untersuchung Betroffenen ja nicht oder zumindest nicht besonders früh von einzelnen Ermittlungsmaßnahmen in Kenntnis setzen. Die im Rahmen des BDSG vorgeschriebene Transparenz soll unter anderem durch den so genannten Direkterhebungsgrundsatz gewährleistet werden. Nach 4 Abs. 2 Satz 1 BDSG sind personenbezogene Daten beim Betroffenen selbst zu erheben. Dies soll den vom Umgang mit seinen personenbezogenen Daten Betroffenen in die Lage versetzen, selbst darüber zu entscheiden, welche Daten er wem gegenüber preisgibt.. 13 Die Voraussetzungen und die Anwendung der genannten Vorschriften bei internen Untersuchungen werden nachstehend noch im Einzelnen dargestellt. 14 Bei Kreditinstituten etwa kann 25c Kreditwesengesetz interne Untersuchungen unter Umständen rechtfertigen. 15 Gola/Schomerus, BDSG, 10. Aufl. 2010, 4, Rn Vgl. etwa 4 Abs. 2 BDSG oder 33 und 34 BDSG. 17 Vgl. BVerfG, NJW 2010, 833, 843, Rn. 239 ff. (sog. Vorratsdatenspeicherungs-Entscheidung). Hogan Lovells 10

11 Von diesem Direkterhebungsgebot dürfen Unternehmen nur unter den in 4 Abs. 2 Satz 2 BDSG genannten Voraussetzungen abweichen. Sie dürfen personenbezogene Daten etwa dann bei anderen als beim Betroffenen erheben, wenn eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt. 18 So dürfen Finanzbehörden Daten über Steuerschuldner nach 93 Abs. 1 Abgabenordnung nicht nur beim Betroffenen selbst, sondern auch bei Dritten erheben. Bei staatsanwaltschaftlichen Ermittlungen sehen etwa 100a und 100b Strafprozessordnung bei der Überwachung von Telekommunikation vor, dass die Ermittlungsbehörden Daten nicht beim Betroffenen, sondern beim Netzbetreiber erheben. Privaten Ermittlern stehen derartige Ermittlungsbefugnisse in aller Regel nicht zur Verfügung. Allerdings kommt nach 4 Abs. 2 Satz 2 Nr. 2a BDSG ein Abweichen vom Direkterhebungsgrundsatz auch dann in Betracht, wenn der vom Unternehmen verfolgte Geschäftszweck ein Erheben bei anderen Personen oder Stellen erforderlich macht und keine Anhaltspunkte dafür bestehen, dass überwiegende schutzwürdige Interessen des Betroffenen beeinträchtigt werden. Teilweise wird in der Fachliteratur vertreten, dass Sachverhaltsaufklärungen ohne Kenntnis der Betroffenen auf 4 Abs. 2 Satz 2 Nr. 2a BDSG gestützt werden können. 19 In der Praxis unternehmensinterner Untersuchungen sollten die Gründe für ein Abweichen vom Direkterhebungsgrundsatz sorgfältig geprüft und dokumentiert sowie mit dem betrieblichen Datenschutzbeauftragten abgestimmt werden. C. Grundbegriffe des BDSG Eines der wesentlichen Probleme beim Umgang mit dem BDSG ist die schwer verständliche Sprache des Gesetzes. Zudem setzt das BDSG eine Vielzahl von Fachbegriffen voraus, die sich dem Rechtsanwender nicht ohne Weiteres erschließen. Personenbezogene Daten, Erforderlichkeit, Erheben, Verarbeiten, Nutzen, Betroffener, verantwortliche Stelle, Anonymisieren oder Pseudonymisieren sind Begriffe, die dem Rechtsanwender Hintergrundwissen abfordern. Dies gibt Anlass, einige vom BDSG vorausgesetzte Fachbegriffe kurz zu erklären. I. Personenbezogene Daten Das BDSG ist auf das Erheben, Verarbeiten und Nutzen personenbezogener Daten anwendbar. Personenbezogene Daten sind nach 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse bestimmter oder bestimmbarer Personen. Diese gesetzliche Definition ist ausgesprochen weit. Eine Information ist danach dann ein personenbezogenes Datum, wenn das Unternehmen, das über diese Information verfügt, die natürliche Person, auf die sich die fragliche Information bezieht, identifizieren kann. Damit entscheidet der Personenbezug einer Information darüber, ob sie ein personenbezogenes Datum ist und dem BDSG unterliegt. In der Praxis unternehmensinterner Untersuchungen empfiehlt es sich in aller Regel, Informationen als personenbezogene Daten zu behandeln. Denn üblicherweise werden das Unternehmen oder die von ihm beauftragten Ermittler die Informationen, die sie sammeln und auswerten, einzelnen Personen zuordnen können Abs. 2 Satz 2 Nr. 1 BDSG. 19 Vgl. Gola/Schomerus, BDSG, 10. Aufl. 2010, 4, Rn. 27a zu Tätigkeiten von Detektiven und Whistleblowing. Hogan Lovells 11

12 II. Betroffener und Beschäftigter Die wichtigsten Erlaubnistatbestände im Rahmen interner Untersuchungen sind 32 Abs. 1 und 28 Abs. 1 Satz 1 Nr. 2 BDSG. Beide Regelungen setzen Interessenabwägungen zwischen Unternehmen und Betroffenem beziehungsweise betroffenem Beschäftigtem voraus. Daher erläutern die nachstehenden Ausführungen, was das BDSG unter Betroffenen 20 beziehungsweise unter Beschäftigten 21 versteht. Das BDSG schützt das Recht natürlicher Personen auf ihre informationelle Selbstbestimmung. Zweck des BDSG ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. 22 Die von den Vorschriften zum Datenschutz gegen den unbefugten Umgang mit ihren personenbezogenen Daten geschützten Personen nennt das BDSG Betroffene. Die EU-Datenschutzrichtlinie bezeichnet diesen Personenkreis etwas technischer als Datensubjekte. Sofern ein Unternehmen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhebt oder verwendet, setzt dies nach 32 Abs. 1 BDSG grundsätzlich eine Interessenabwägung zwischen dem Unternehmen und dem betroffenen Beschäftigten voraus. 23 Beschäftigte sind unter anderem Arbeitnehmer und Auszubildende, vgl. 3 Abs. 11 Nr. 1 und Nr. 2 BDSG. Bei internen Untersuchungen müssen Unternehmen grundsätzlich darauf achten, dass sie die Persönlichkeitsrechte der von der Untersuchung Betroffenen und Beschäftigten stets angemessen berücksichtigen. Stehen einer Ermittlungsmaßnahme überwiegende schutzwürdige Interessen der von dem Erheben oder Verwenden ihrer personenbezogenen Daten Betroffenen entgegen, muss diese konkrete Maßnahme unterbleiben. Dies gilt unabhängig davon, ob der Betroffene ein Beschäftigter ist oder nicht Vgl. 3 Abs. 1 BDSG. 21 Vgl. 3 Abs. 11 BDSG Abs. 1 BDSG. 23 Richtigerweise setzt nicht nur 32 Abs. 1 Satz 2 BDSG, sondern auch 32 Abs. 1 Satz 1 BDSG eine Interessenabwägung voraus, obwohl der Wortlaut von 32 Abs. 1 Satz 1 BDSG eine solche Interessenabwägung nicht ausdrücklich nahelegt, sondern nur davon spricht, dass der fragliche Umgang mit den personenbezogenen Daten des Beschäftigten erforderlich sein muss. 24 Die Frage, ob der Betroffene zudem ein Beschäftigter im Sinne von 3 Abs. 1 BDSG ist, entscheidet allerdings darüber, nach welcher Norm das Unternehmen die Zulässigkeit einer Ermittlungsmaßnahme prüfen muss. Erhebt, verarbeitet oder nutzt ein Unternehmen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses oder zur Aufdeckung von im Beschäftigungsverhältnis begangenen Straftaten, ist 32 Abs. 1 BDSG einschlägig. Hogan Lovells 12

13 III. Verantwortliche Stelle und Dritte Das BDSG richtet sich nach seinem Wortlaut an verantwortliche Stellen. 25 Verantwortliche Stelle ist nach 3 Abs. 7 BDSG jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag 26 vornehmen lässt. Im Rahmen einer internen Untersuchung ist daher das fragliche Unternehmen selbst die im Sinne des BDSG verantwortliche Stelle. Sofern ein Unternehmen im Rahmen interner Untersuchungen externe Ermittler einsetzt, sind diese im Übrigen dann keine Auftragsdatenverarbeiter, wenn sie nicht nur ausgesprochene Hilfstätigkeiten verrichten, sondern im Rahmen der Untersuchung selbst Entscheidungen treffen, wie der fragliche Sachverhalt aufgeklärt werden soll. Die gelegentlich von externen Ermittlern vertretene Auffassung, sie seien lediglich als Auftragsdatenverarbeiter tätig und die Übermittlung personenbezogener Daten an das externe Ermittlungsunternehmen oder seine Mitarbeiter bedürfe keiner datenschutzrechtlichen Rechtfertigung dürfte in den allermeisten in der Praxis anzutreffenden Sachverhaltskonstellationen falsch sein. Verantwortliche Stelle ist das jeweilige Unternehmen selbst. Gibt ein Unternehmen personenbezogene Daten an ein anderes Unternehmen oder unternehmensfremde Personen weiter, betrachtet das BDSG diese als Dritte. Die Weitergabe der personenbezogenen Daten stellt dann eine Übermittlung 27 dar, die gemäß 4 Abs. 1 BDSG nur beim Vorliegen eines Erlaubnistatbestandes zulässig ist. Dritter ist jede Person oder Stelle außerhalb der verantwortlichen Stelle. 28 In seiner derzeit geltenden Fassung kennt das BDSG kein sogenanntes Konzernprivileg. Dies bedeutet, dass der Datentransfer zwischen Konzernunternehmen grundsätzlich denselben Anforderungen unterliegt wie das Übermitteln personenbezogener Daten an konzernfremde Personen oder Unternehmen. Daher müssen Unternehmen insbesondere bei konzernweiten Untersuchungen oder bei der Auswertung eines für alle Konzernunternehmen zentral betriebenen Hinweisgebersystems besonders auf die Zulässigkeit geplanter konzerninterner Übermittlungen achten. Hier ist in aller Regel eine enge Abstimmung mit dem betrieblichen Datenschutzbeauftragten oder mit internen oder externen Datenschutzexperten nötig. IV. Erforderlichkeit des Umgangs mit personenbezogenen Daten Wie bereits im Rahmen der Erläuterungen zum Verhältnismäßigkeitsgrundsatz beschrieben, ist die etwa in 32 Abs. 1 Satz 1 oder 2 BDSG geforderte Erforderlichkeit des Erhebens oder Verwendens personenbezogener Daten richtigerweise am verfolgten Zweck auszurichten. Sofern der fragliche Umgang mit personenbezogenen Daten zur Verwirklichung des verfolgten Zwecks geeignet, das mildeste Mittel und angemessen ist, ist er erforderlich. 25 Vgl. 1 Abs. 2 BDSG.2 Vgl. etwa Zöll, in Taeger/Gabel (Hrsg.), BDSG, 1. Aufl. 2010, 32, Rn. 2 ff. 26 Vgl. zur Auftragsdatenverarbeitung 11 BDSG. 27 Vgl. 3 Abs. 4 Satz 2 Nr. 3 BDSG Abs. 8 Satz 2 BDSG. Hogan Lovells 13

14 V. Erheben personenbezogener Daten Erheben ist das Sammeln personenbezogener Daten, also etwa das Befragen von Beschäftigten oder anderen Personen, eine Hintergrundrecherche über eine Person im Internet. Das Beschaffen personenbezogener Daten fällt nur dann unter das BDSG, wenn es zielgerichtet erfolgt. Hört beispielsweise ein Vorgesetzter rein zufällig ein Gespräch mit, ist dies nicht zielgerichtet und unterliegt nicht dem BDSG. Verwendet der Arbeitgeber die zufällig mitgehörten Informationen hingegen zu einem späteren Zeitpunkt, so wird dies ein Verarbeiten oder Nutzen darstellen, auf welches das BDSG anzuwenden ist. VI. Verarbeiten personenbezogener Daten Nachdem ein Unternehmen personenbezogene Daten erhoben hat, kann es diese weiter verarbeiten oder nutzen. Verarbeiten ist das Speichern, Verändern, Übermitteln, Sperren oder Löschen von personenbezogenen Daten. 29 Speichern ist das Festhalten personenbezogener Daten, also das Erfassen, Aufnehmen oder Aufbewahren zum Zweck ihrer weiteren Verarbeitung oder Nutzung. 30 Verändern ist das inhaltliche Umgestalten von personenbezogenen Daten. 31 Übermitteln ist das Bekanntgeben gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten. 32 Dies kann in Form einer Weitergabe der Daten an einen Dritten geschehen oder dadurch, dass ein Dritter zum Abruf bereitgehaltene Daten einsieht oder abruft. Löschen ist das Unkenntlichmachen gespeicherter personenbezogener Daten, 33 etwa durch das Vernichten von Datenträgern oder durch Überschreiben. Daten sind erst dann als gelöscht zu betrachten, wenn sie nicht wiederhergestellt werden können und wenn auch alle Kopien dieser Daten gelöscht sind. 35 Abs. 2 BDSG regelt, unter welchen Umständen Unternehmen löschen müssen. Unter Sperren versteht das BDSG das Einschränken der Möglichkeiten, auf als gesperrt gekennzeichnete personenbezogene Daten zuzugreifen. Unter gewissen Umständen verpflichtet 35 BDSG Unternehmen, Daten zu sperren. Für interne Ermittlungen ist besonders wichtig, dass personenbezogene Daten über strafbare Handlungen und Ordnungswidrigkeiten dann zu löschen sind, wenn die verantwortliche Stelle ihre Richtigkeit nicht beweisen kann. 34 Daneben sind personenbezogene Daten auch dann zu löschen, wenn ihre Speicherung unzulässig ist. 35 Verarbeitet ein Unternehmen personenbezogene Daten für eigene Zwecke, so muss es diese Daten löschen, sobald ihre Kenntnis für die Erfüllung des Zwecks der Speicherung nicht mehr erforderlich ist Abs. 4 Satz 1 BDSG Abs. 4 Satz 2 Nr. 1 BDSG, vgl. hierzu auch Wybitul, Handbuch Datenschutz im Unternehmen, 1. Aufl. 2011, Rn Abs. 4 Satz 2 Nr. 2 BDSG Abs. 4 Satz 2 Nr. 3 BDSG, vgl. hierzu auch Wybitul, Handbuch Datenschutz im Unternehmen, 1. Aufl. 2011, Rn Abs. 4 Satz 2 Nr. 5 BDSG, vgl. hierzu auch Wybitul, Handbuch Datenschutz im Unternehmen, 1. Aufl. 2011, Rn Abs. 2 Satz 2 Nr. 2 BDSG Abs. 2 Satz 2 Nr. 1 BDSG Abs. 2 Satz 2 Nr. 3 BDSG. Hogan Lovells 14

15 VII. Nutzen personenbezogener Daten Für die Frage, ob das weitere Auswerten bereits erhobener personenbezogener Daten dem BDSG unterfällt, ist nicht entscheidend, ob dieser Vorgang ein Verarbeiten darstellt oder nicht. Denn auch das Nutzen personenbezogener Daten unterliegt dem BDSG. Unter Nutzen ist jede Verwendung personenbezogener Daten zu verstehen, soweit es sich nicht um ein Verarbeiten handelt. Auch im Rahmen interner Untersuchungen unterliegt daher weitgehend jedes Verwenden personenbezogener Daten dem BDSG. 37 VIII. Anonymisieren und Pseudonymisieren Das BDSG versteht unter Anonymisieren das Unkenntlichmachen personenbezogener Daten. Daten sind dann anonymisiert, wenn sie keinen Personenbezug mehr haben, die verantwortliche Stelle, die über diese Daten verfügt, also mit verhältnismäßigen Mitteln nicht mehr erkennen kann, welcher Person diese Daten zuzuordnen sind. Wenn beispielsweise ein Unternehmen aus einem Datensatz alle Daten löscht, aufgrund derer sich die Personen, auf die sich dieser Datensatz bezieht und diesen Personenbezug auch mit anderen im Unternehmen gespeicherten Daten nicht wiederherstellen kann, sind die fraglichen Daten anonymisiert. Diese Angaben sind dann keine personenbezogenen Daten im Sinne von 3 Abs. 1 BDSG mehr, für diese anonymisierten Informationen gilt das BDSG nicht mehr. Anders ist dies bei Daten, bei denen das Unternehmen den Personenbezug wiederherstellen kann, etwa durch Verknüpfung mit anderen im Unternehmen gespeicherten Datensätzen. Solche Daten sind lediglich pseudonymisiert. Personenbezogene Daten sind pseudonymisiert beziehungsweise verschlüsselt, wenn ihre personenbezogenen Merkmale (z.b. Namen oder Personalnummer) durch ein Kennzeichen beziehungsweise durch einen Schlüssel ersetzt werden. Anders als anonymisierte Daten kann der Personenbezug pseudonymisierter Daten wiederhergestellt werden. Pseudonymisierte Daten sind weiterhin personenbezogen und unterliegen den Beschränkungen des BDSG. Sofern aber beim Umgang mit diesen Daten sichergestellt ist, dass sie nicht wieder personalisiert werden, dürfte eine Interessenabwägung mangels entgegenstehender schutzwürdiger Interessen der Betroffenen aber oftmals zu Gunsten des Unternehmens ausfallen. 37 Es sei denn, die personenbezogenen Daten werden für rein persönliche oder familiäre Zwecke verwendet (vgl. 1 Abs. 2 Nr. 3 BDSG) oder das BDSG findet insgesamt keine Anwendung, etwa weil es nach 1 Abs. 1 Satz 1 BDSG verdrängt wird. Hogan Lovells 15

16 D. Erlaubnistatbestände zur Rechtfertigung interner Ermittlungsmaßnahmen Da 4 Abs. 1 BDSG grundsätzlich jeden Umgang mit personenbezogenen Daten verbietet, falls nicht ein Erlaubnistatbestand vorliegt, ist einer der wesentlichen Schritte vor jeder Ermittlungsmaßnahme die Suche nach einem Tatbestand, der diese Maßnahme erlaubt. Ein solcher Tatbestand kann etwa eine entsprechende Regelung des BDSG sein, z.b. 32 Abs. 1 BDSG oder 28 Abs. 1 Satz 1 Nr. 2 BDSG. 38 Einzelne, eng umrissene Ermittlungsmaßnahmen lassen sich auch auf Einwilligungen nach 4a BDSG stützen. Daneben kommen etwa auch Betriebsvereinbarungen als Rechtvorschriften in Betracht, die Maßnahmen zur Sachverhaltsaufklärung erlauben können. Der nachstehende Überblick fasst in knapper Form zusammen, aufgrund welcher Erlaubnistatbestände der Umgang mit personenbezogenen Daten im Rahmen interner Untersuchungen gerechtfertigt werden kann. Hierbei ist darauf hinzuweisen, dass stets der mit einer konkreten Ermittlungshandlung verfolgte Zweck und der jeweilige Eingriff in das Recht der von der Untersuchung betroffenen Personen über die Zulässigkeit des Erhebens und Verwendens von personenbezogenen Daten entscheiden. Daher gibt es keinen in pauschal-abstrakter Form gehaltenen Katalog von erlaubten oder von verbotenen Maßnahmen zur Sachverhaltsaufklärung. In Anbetracht der bereits dargestellten Nachteile, die Fehler beim Datenschutz nach sich ziehen können, kann man Unternehmen und den von diesen beauftragten Ermittlern nur raten, die Zulässigkeit einzelner Maßnahmen stets anhand der Umstände des jeweiligen Einzelfalles zu prüfen. Einwilligungen können den Umgang mit personenbezogenen Daten rechtfertigen. Grundsätzlich soll der Betroffene über sein Recht auf informationelle Selbstbestimmung frei verfügen können. Erlaubt er einer verantwortlichen Stelle dem Umgang mit seinen Daten, kann dies eine Erlaubnis im Sinne von 4 Abs. 1 BDSG darstellen. Als Erlaubnistatbestand für flächendeckende Maßnahmen sind Einwilligungen allerdings in aller Regel ungeeignet. Dies liegt an mehreren Gründen. Zunächst stellt 4a BDSG hohe inhaltliche und formelle Anforderungen an eine wirksame Einwilligungserklärung. Zudem kann ein Betroffener eine einmal abgegebene Einwilligung weitgehend jederzeit ohne Angabe von Gründen widerrufen. Hinzu kommt, dass die Aufsichtsbehörden für den Datenschutz Einwilligungen im Arbeitsverhältnis ausgesprochen kritisch gegenüber stehen. 38 Erlaubnisnormen außerhalb des BDSG, die interne Ermittlungshandlungen rechtfertigen können (etwa nach 25c KWG) werden im Rahmen des vorliegenden, knappen Überblicks nicht dargestellt. Insofern wird auf die einschlägige Fachliteratur verwiesen, z.b. Zentes/Wybitul, CCZ 2011, 90 ff. Hogan Lovells 16

17 I. Einwilligung als Erlaubnis für einzelne Ermittlungshandlungen Der nachstehende Überblick zeigt, welche Anforderungen 4a BDSG an den Umgang mit personenbezogenen Daten auf der Grundlage von Einwilligungen stellt. 4a Abs. 1 BDSG: Die Einwilligung ist nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Er ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung sowie, soweit nach den Umständen des Einzelfalles erforderlich oder auf Verlangen, auf die Folgen der Verweigerung der Einwilligung hinzuweisen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Soll die Einwilligung zusammen mit anderen Erklärungen schriftlich erteilt werden, ist sie besonders hervorzuheben. 1. Anforderungen an wirksame Einwilligungen 4a BDSG stellt hohe Anforderungen an die Abgabe wirksamer Einwilligungserklärungen. Eine Einwilligung ist stets vor dem zu rechtfertigenden Erheben oder Verwenden personenbezogener Daten einzuholen. Eine nachträgliche Erklärung des Betroffenen hat keine rechtfertigende Wirkung. 39 a) Freiwilligkeit der Einwilligung Nach 4a Abs. 1 Satz 1 BDSG ist die Einwilligung nur wirksam, wenn sie auf der freien Entscheidung des Betroffenen beruht. Eine Einwilligung wird etwa dann nicht freiwillig getroffen, wenn sie dem Betroffenen unter Ausnutzung einer wirtschaftlichen Machtposition abgepresst wird. 40 +Insbesondere im Rahmen von Arbeitsverhältnissen werden Einwilligungen oftmals als nicht hinreichend freiwillig kritisiert. 41 Richtigerweise wird man eher davon ausgehen können, dass der Arbeitnehmer nach der erfolgten Einstellung in seiner Willensbildung grundsätzlich autonom ist. Dies gilt nicht, soweit aus dem Arbeitsverhältnis eine Verhaltenspflicht folgt, und er im Arbeitsverhältnis automatisch stets aufgrund einer wirtschaftlichen Machtposition des Arbeitgebers einem solchen Druck unterliegt, dass kein Spielraum für selbstbestimmte Einwilligungen im Arbeitsverhältnis bleibt. 42 Damit sind Einwilligungen grundsätzlich durchaus eine geeignete Erlaubnis, um etwa Informationen über Arbeitnehmer ins Intranet beziehungsweise sogar auf dem Unternehmensauftritt im Internet einzustellen oder um eine weltweite Personaldatenbank einzurichten. Bei internen Untersuchungsmaßnahmen auf der Grundlage von Einwilligungen nach 4a BDSG sehen Aufsichtsbehörden die Frage der notwendigen Freiwilligkeit erfahrungsgemäß ausgesprochen kritisch vor allem bei Einwilligungen durch Arbeitnehmer. Sollte ein Unternehmen dennoch Ermittlungsmaßnahmen auf Einwilligungen stützen, kann man nur dringend empfehlen, diejenigen Umstände, die für ein selbstbestimmtes Handeln des Arbeitnehmers sprechen, umfassend zu dokumentieren. 39 OLG Köln, MDR 1992, Vgl. Gola/Schomerus, BDSG, 10. Aufl. 2010, 4a BDSG, Rn Vgl. zu diesem Streit in der Fachliteratur und zum Meinungsstand Taeger, in: Taeger/Gabel (Hrsg.), BDSG, 1. Aufl. 2010, 4a, Rn. 59 ff. sowie Fn Taeger/Gabel (Hrsg.), BDSG, 1. Aufl. 2010, 4a, Rn. 62. Hogan Lovells 17

18 Die Folgen von Fehlern beim Umgang mit personenbezogenen Daten auf der Grundlage von Einwilligungen sind erheblich, nach 43 Abs. 2 Nr. 1 BDSG drohen unter anderem Bußgelber von bis zu Euro. Will ein Unternehmen das Risiko der fehlenden Freiwilligkeit (und damit der Unwirksamkeit) von Ermittlungshandlungen auf der Grundlage von Einwilligungen ausschließen, kommt auch eine Abstimmung mit der zuständigen Aufsichtsbehörde für den Datenschutz in Betracht. b) Informierte Einwilligung In der Praxis interner Ermittlungen ist auch die vom Gesetz geforderte Unterrichtung des Betroffenen darüber, was mit seinen Daten geschehen soll, oft problematisch. Nach 4a Abs. 1 Satz 2 BDSG müssen Unternehmen beim Einholen von Einwilligungen den Betroffenen auf den Zweck der Erhebung, Verarbeitung oder Nutzung hinweisen. "Pauschaleinwilligungen wären daher grundsätzlich unwirksam. Der Betroffene muss wissen, was mit seinen Daten geschehen soll hierzu muss er zunächst erfahren, auf welche personenbezogenen Daten sich seine Einwilligung beziehen soll. 43 Sofern das Unternehmen besondere Arten personenbezogener Daten im Sinne von 3 Abs. 9 BDSG erhebt oder verwendet, muss es den Betroffenen hierauf noch gesondert hinweisen. 44 Die vom Gesetz geforderte umfangreiche vorherige Unterrichtung aller Betroffenen ist bei internen Untersuchungen oft kaum durchführbar. Vor allem ist sie aber aus ermittlungstechnischer Sicht in aller Regel kaum praktikabel. Beispielsweise ist es einer internen Sachverhaltsaufklärung oftmals kaum förderlich, alle möglichen Beteiligten umfassend zu informieren und sie dann um Einwilligungen zu bitten. 2. Möglichkeit zum Widerruf Der für interne Untersuchungen notwendige Umgang personenbezogener Daten auf der Grundlage von Einwilligungen wird zudem dadurch deutlich erschwert, dass der Betroffene auch eine wirksam abgegebene Einwilligung jederzeit widerrufen kann. Damit liegt es in der Hand des von einer Untersuchungsmaßnahme Betroffenen, dem weiteren Verarbeiten oder Nutzen seiner personenbezogenen Daten durch den Widerruf seiner Einwilligung die Rechtsgrundlage zu entziehen. Dies kann durchaus dazu führen, dass bereits erhobene Daten wieder gelöscht werden müssen. II. 32 Abs. 1 Satz 1 BDSG als Erlaubnis für einzelne Ermittlungshandlungen Seit dem ist 32 Abs. 1 Satz 1 BDSG die wichtigste Vorschrift des BDSG für den Umgang mit Beschäftigtendaten. Danach dürfen Unternehmen und andere verantwortliche Stellen personenbezogene Daten von Beschäftigten nur dann erheben oder verwenden, wenn dies für Zwecke des Beschäftigungsverhältnisses erforderlich ist. 32 Abs. 1 Satz 1 BDSG: Personenbezogene Daten eines Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. 43 Gola/Schomerus, BDSG, 10. Aufl. 2010, 4a, Rn Abs. 3 BDSG. Hogan Lovells 18

19 1. Abgrenzung von anderen Erlaubnistatbeständen 32 Abs. 1 Satz 2BDSG ist nicht leicht von den anderen Erlaubnistatbeständen abzugrenzen, die im Rahmen interner Untersuchungen in Betracht kommen. Vereinfacht dargestellt, gilt 32 Abs. 1 Satz 1 BDSG beim Erheben und Verwenden von personenbezogenen Daten von Beschäftigten im Rahmen allgemeiner Verhaltens- und Leistungskontrollen, also auch im Rahmen präventiver Compliance oder bei Stichproben. Liegen dagegen bereits tatsächliche Anhaltspunkte vor, die darauf hindeuten, dass ein oder mehrere Beschäftigte Straftaten begangen haben, die im konkreten Zusammenhang mit dem Beschäftigungsverhältnis stehen, ist bei weiteren Aufklärungsmaßnahmen 32 Abs. 1 Satz 2 BDSG anwendbar. Dagegen ist im Rahmen interner Untersuchungsmaßnahmen 28 Abs. 1 Satz 1 Nr. 2 BDSG maßgeblich, wenn das Unternehmen oder dessen beauftragte Ermittler personenbezogene Daten von Unternehmensfremden erheben oder verarbeiten. Letztlich ist für die Abgrenzung zwischen den genannten Vorschriften der vom Unternehmen jeweils verfolgte Zweck maßgeblich. Für Kontrollen im Beschäftigungsverhältnis gilt 32 Abs. 1 Satz 1 BDSG. Bei der Aufklärung von Straftaten im Zusammenhang mit dem Beschäftigungsverhältnis ist 32 Abs. 1 Satz 2 BDSG maßgeblich und bei der Wahrung sonstiger berechtigter Interessen des Unternehmens ohne Bezug zum Beschäftigungsverhältnis muss das Unternehmen 28 Abs. 1 Satz 1 Nr. 2 BDSG anwenden. Daneben kommen in Einzelfällen noch Ermittlungshandlungen auf der Grundlage von Spezialnormen in Betracht, die im Rahmen dieses Überblicks nicht näher erläutert werden. 45 In der Praxis betreffen Untersuchungsmaßnahmen oftmals sowohl Beschäftigte als auch externe Personen, etwa Lieferanten, Kunden oder andere Geschäftspartner. In diesem Fall muss das Unternehmen bezüglich der eigenen Beschäftigten die Voraussetzungen von 32 Abs. 1 Satz 1 BDSG berücksichtigen und bezüglich der unternehmensfremden Personen 28 Abs. 1 Satz 1 Nr. 2 BDSG. Die oftmals schwierige Abgrenzung zwischen 32 Abs. 1 Satz 1 oder Satz 2 BDSG und 28 Abs. 1 Satz 1 Nr. 2 BDSG stellt teilweise sogar Fachleute vor einige Herausforderungen. 46 In der Praxis sind die Folgen dieser Unterscheidung allerdings weniger maßgeblich, als man gegebenenfalls annehmen möchte. Denn die genannten Erlaubnisnormen beruhen auf denselben Grundsätzen und setzen eine umfassende Interessenabwägung im Einzelfall voraus. 2. Anwendung von 32 Abs. 1 Satz 1 BDSG 32 Abs. 1 Satz 1 BDSG erlaubt Ermittlungsmaßnahmen gegenüber Beschäftigten, soweit diese zur Durchführung des Beschäftigungsverhältnisses erforderlich sind. Im Rahmen interner Untersuchungen ist zu beachten, dass auch Kontrollen der Leistung oder des Verhaltens grundsätzlich unter 32 Abs. 1 Satz 1 BDSG fallen sollen. 45 Dies betrifft etwa Aufklärungsmaßnahmen nach 25c Abs. 1 bis Abs. 3 KWG. 46 Insofern kann man die Systematik der derzeit für interne Ermittlungen maßgeblichen Erlaubnistatbestände nur als misslungen bezeichnen. 47 BT-Drs. 16/13657, S. 21. Hogan Lovells 19

20 Erst wenn tatsächliche Anhaltspunkte den Verdacht nahelegen, dass der Beschäftigte eine Straftat im Beschäftigungsverhältnis begangen hat, gilt für Aufklärungsmaßnahmen 32 Abs. 1 Satz 2 BDSG. Allgemeine Maßnahmen zur Sachverhaltsaufklärung, die sich nicht gegen einen bereits bestimmten Kreis möglicher Beschäftigter richten, fallen hingegen unter 32 Abs. 1 Satz 1 BDSG. Dies gilt auch für Untersuchungsmaßnahmen, die sich auf Ordnungswidrigkeiten, Verstöße gegen den Arbeitsvertrag, Verwaltungsvorschriften oder gegen interne Richtlinien beziehen. Auch präventive Compliance- Maßnahmen sind nach dieser Vorschrift zu beurteilen. 32 Abs. 1 Satz 2 BDSG betrifft dagegen ausschließlich die Aufklärung möglicher Straftaten, für deren Vorliegen zudem konkrete Anhaltspunkte vorliegen müssen. 32 Abs. 1 Satz 1 BDSG enthält zwar keine Formulierung, wonach der Umgang mit den personenbezogenen Daten von Beschäftigten nur dann zulässig ist, wenn keine überwiegenden schutzwürdigen Interessen des Beschäftigten entgegenstehen. Damit legt der Wortlaut der Regelung eine Interessenabwägung nicht ausdrücklich nahe. Dennoch setzt auch diese Vorschrift eine umfassende Abwägung der Interessen des Unternehmens mit denen des betroffenen Beschäftigten voraus. 48 Das ergibt sich zum einen aus Systematik des BDSG, die eine durchgehende Anwendung des Verhältnismäßigkeitsgrundsatzes voraussetzt. 49 Zum anderen legt dies auch die Gesetzesbegründung nahe, nach der die Regelung des 32 BDSG die bisherige Rechtsprechung der Arbeitsgerichte zu Kontrollmaßnahmen im Arbeitsverhältnis zusammenfassen sollte. 50 Und diese Rechtsprechung setzt grundsätzlich eine umfassende Interessenabwägung auf der Grundlage sämtlicher Umstände des Einzelfalles voraus. 51 Im Rahmen interner Ermittlungsmaßnahmen, die den Umgang mit Beschäftigtendaten voraussetzen, müssen diese also zur Verwirklichung des Untersuchungserfolges geeignet sein, das mildeste Mittel zur Sachverhaltsaufklärung darstellen und die Persönlichkeitsrechte der betroffenen Beschäftigten in angemessener Weise berücksichtigen. Die Bewertung muss sich stets am jeweiligen Einzelfall orientieren, eine pauschale Einteilung nach Fallgruppen zulässiger oder unzulässiger Maßnahmen ist daher grundsätzlich nicht möglich. 52 Vielmehr muss das Unternehmen die einzelnen Ermittlungsmaßnahmen stets an den möglichen Folgen und Auswirkungen des vermuteten Regelverstoßes und an den durch die jeweiligen Ermittlungsmaßnahmen beeinträchtigten Persönlichkeitsrechten ausrichten. a) Geeignet zur Sachverhaltsaufklärung Im Rahmen interner Untersuchungen müssen sich die beteiligten Ermittler zunächst fragen, ob die jeweilige Ermittlungsmaßnahme überhaupt zur Durchführung des Beschäftigungsverhältnisses also im Rahmen einer internen Untersuchung zur Aufklärung des in Frage stehenden Sachverhalts geeignet ist. Ist dies nicht der Fall, ist diese Ermittlungsmaßnahme auch nicht von 32 Abs. 1 Satz 1 BDSG gedeckt. 48 Vgl. etwa Zöll, in: Taeger/Gabel (Hrsg.), BDSG, 1. Aufl. 2010, 32, Rn. 16 ff. 49 Vgl. auch 3a BDSG. 50 BT-Drs. 16/13657, S. 21, vgl. auch LAG Köln, ZD 2011, Vgl. etwa BAG, NZA 2008, 1187, Rn Vgl. etwa Zöll, in Taeger/Gabel (Hrsg.), BDSG, 1. Aufl. 2010, 32, Rn. 18. Hogan Lovells 20

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht 2 Datenschutz im Unternehmen Umgang mit Mitarbeiterdaten Neuregelung, Folgen, Praxisrelevante Fälle 1 3 Personenbezogene Daten Einzelangaben über persönliche

Mehr

Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Verpflichtung auf das Datengeheimnis Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax:

Mehr

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g)

Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Einführung in den Datenschutz Mitarbeiterschulung nach 4g BDSG (MA4g) Dieter Braun IT-Sicherheit & Datenschutz Gliederung Einführung 3 Personenbezogene Daten 7 Die Pflichtenverteilung 10 Daten aktiv schützen

Mehr

Datenschutz ist Persönlichkeitsschutz

Datenschutz ist Persönlichkeitsschutz Was ist Datenschutz? Personen sollen vor unbefugter Verwendung oder Weitergabe ihrer persönlichen Daten geschützt werden. Datenschutz ist Persönlichkeitsschutz Verpflichtung auf das Datengeheimnis Was

Mehr

9 Mitarbeiterscreenings

9 Mitarbeiterscreenings 9 Mitarbeiterscreenings Mitarbeiterscreenings werden in Unternehmen immer häufiger eingesetzt. Screenings sind Rasterfahndungen, bei denen verschiedene personenbezogene Daten der Mitarbeiter nach bestimmten

Mehr

Datenschutz im Arbeitsverhältnis

Datenschutz im Arbeitsverhältnis Datenschutz im Arbeitsverhältnis Cloud Computing versus Datenschutz, RAin Karoline Brunnhübner Folie 0 / Präsentationstitel / Max Mustermann TT. Monat 2010 Allgemeine Grundlagen des Datenschutzes Rechtsquellen

Mehr

Hinweis für Arbeitgeber zur Verwendung dieser Musterverpflichtung:

Hinweis für Arbeitgeber zur Verwendung dieser Musterverpflichtung: Briefbogen des verwenden Unternehmens Hinweis für Arbeitgeber zur Verwendung dieser Musterverpflichtung: Die Verpflichtung hat in der Regel vor oder bei erstmaliger Aufnahme der Arbeit bei der verantwortlichen

Mehr

Big Data - Herausforderung Datenschutz meistern. Philip Liegmann Frankfurt am Main, 19. Mai 2015

Big Data - Herausforderung Datenschutz meistern. Philip Liegmann Frankfurt am Main, 19. Mai 2015 Big Data - Herausforderung Datenschutz meistern Philip Liegmann Frankfurt am Main, 19. Mai 2015 Inhalt/Agenda 01 Warum Datenschutz? 02 Überblick über das Bundesdatenschutzgesetz (BDSG) 03 Begriffe und

Mehr

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze Datenschutz IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg Petra Schulze Fachverband Motivation Daten werden zunehmend elektronisch gespeichert und übermittelt Daten können

Mehr

Einführung in die Datenerfassung und in den Datenschutz

Einführung in die Datenerfassung und in den Datenschutz Dr. Thomas Petri Einführung in die Datenerfassung und in den Datenschutz Hochschule für Politik, Sommersemester 2011, Foliensatz 2-2 bis 2-4 (1.6.2011) 1 Grobübersicht 1. Einführung, europa- und verfassungsrechtliche

Mehr

M i t t e i l u n g s b l a t t. Der Rektor der Kunsthochschule Berlin (Weißensee) 8. März 2011 Bühringstraße 20, 13086 Berlin

M i t t e i l u n g s b l a t t. Der Rektor der Kunsthochschule Berlin (Weißensee) 8. März 2011 Bühringstraße 20, 13086 Berlin K u n s t h o c h s c h u l e B e r l i n ( W e i ß e n s e e ) K H B Hochschule für Gestaltung M i t t e i l u n g s b l a t t Herausgeber: Nr. 170 Der Rektor der Kunsthochschule Berlin (Weißensee) 8.

Mehr

5. Ortstagung Kiel am 12. März 2014

5. Ortstagung Kiel am 12. März 2014 5. Ortstagung Kiel am 12. März 2014 I. Begrüßung Der Einladung zur 5. Ortstagung des Deutschen Arbeitsgerichtsverbands e. V. in Kiel im Saal des Hauses des Sports folgten 55 Teilnehmerinnen und Teilnehmer.

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit

Grundlagen des Datenschutzes und der IT-Sicherheit und der IT-Sicherheit Musterlösung zur 1. Übung im SoSe 2007: BDSG (1) 1.1 Voraussetzungen zur automatisierten DV (1) Anmerkung: Automatisierte Datenverarbeitung = Erhebung, Verarbeitung oder Nutzung unter

Mehr

Datenschutz und Datensicherheit. Warum Datenschutz

Datenschutz und Datensicherheit. Warum Datenschutz Datenschutz und Datensicherheit 14.10.2003 1 Warum Datenschutz Imageverlust Steigende Sensibilität der Nutzer und Kunden für Datenschutzbelange Vorschrift durch Gesetze mithin Geldstrafen Höchststrafe

Mehr

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Datenschutz im Projekt- und Qualitätsmanagement Umfeld Datenschutz im Projekt- und Qualitätsmanagement Umfeld Personenbezogene Daten im Qualitäts- und Projektmanagement 17.02.2014 migosens GmbH 2014 Folie 2 Definitionen Was sind personenbezogene Daten? sind

Mehr

Datenschutz-Unterweisung

Datenschutz-Unterweisung Datenschutz-Unterweisung Prof. Dr. Rolf Lauser Datenschutzbeauftragter (GDDcert) öbuv Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie

Mehr

Winfried Rau Tankstellen Consulting

Winfried Rau Tankstellen Consulting Winfried Rau Tankstellen Consulting Teil 1 Wer muss einen Datenschutzbeauftragten bestellen?... 4f BDSG, nicht öffentliche Stellen die personenbezogene Daten automatisiert verarbeiten innerhalb eines Monats

Mehr

Arbeitnehmerdatenschutz - Datenschutz am Arbeitsplatz

Arbeitnehmerdatenschutz - Datenschutz am Arbeitsplatz Arbeitnehmerdatenschutz - Datenschutz am Arbeitsplatz Das Bundesdatenschutzgesetz (BDSG) regelt in seinem 32, zu welchen Zwecken und unter welchen Voraussetzungen der Arbeitgeber Mitarbeiterdaten vor der

Mehr

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de Position Arbeitnehmerdatenschutz rechtssicher gestalten Stand: März 2014 www.vbw-bayern.de Vorwort X Vorwort Zehn Forderungen für einen praxisgerechten Beschäftigtendatenschutz Die vbw Vereinigung der

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

Arbeitnehmerdatenschutz Arbeitsrechtliche Aspekte

Arbeitnehmerdatenschutz Arbeitsrechtliche Aspekte Arbeitnehmerdatenschutz Arbeitsrechtliche Aspekte Rechtsanwalt Dr. Oliver Grimm Fachanwalt für Arbeitsrecht München 26. November 2009 Überblick Was gilt aktuell für den Umgang mit Mitarbeiterdaten? Wann

Mehr

IT-Compliance und Datenschutz. 16. März 2007

IT-Compliance und Datenschutz. 16. März 2007 IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot

Mehr

Vorlesungsreihe Datenschutzrecht am ITM der WWU Münster. Beschäftigtendatenschutz/Aufsichtsbehörden

Vorlesungsreihe Datenschutzrecht am ITM der WWU Münster. Beschäftigtendatenschutz/Aufsichtsbehörden Vorlesungsreihe Datenschutzrecht am ITM der WWU Münster Axel Trösken Leiter Recht & Compliance der The Phone House Telecom GmbH Münster, 21. Januar 2011 Seite 1 I. Einleitung Datenschutz profitierte in

Mehr

Regina Steiner Silvia Mittländer Erika Fischer Fachanwältinnen für Arbeitsrecht

Regina Steiner Silvia Mittländer Erika Fischer Fachanwältinnen für Arbeitsrecht steiner mittländer fischer rechtsanwältinnen Regina Steiner Silvia Mittländer Erika Fischer Fachanwältinnen für Arbeitsrecht Berliner Straße 44 60311 Frankfurt am Main Telefon 0 69 / 21 93 99 0 Telefax

Mehr

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet

Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Datenschutzrechtliche Leitlinien mit Mindestanforderungen für die Ausgestaltung und den Betrieb von Arztbewertungsportalen im Internet Arbeitskreis Gesundheit und Soziales der Konferenz der Datenschutzbeauftragten

Mehr

Zum aktuellen Stand von Social-Media-Guidelines

Zum aktuellen Stand von Social-Media-Guidelines Hans Böckler-Stiftung: Fachtagung Social Media in der internen Zusammenarbeit Was ist bisher geregelt? Zum aktuellen Stand von Social-Media-Guidelines 29.06.2015 - Frankfurt AfA Arbeitsrecht für Arbeitnehmer

Mehr

Datenschutz beim Einsatz von Internet, Intranet und E-Mail am Arbeitsplatz

Datenschutz beim Einsatz von Internet, Intranet und E-Mail am Arbeitsplatz Cristina Baier Datenschutz beim Einsatz von Internet, Intranet und E-Mail am Arbeitsplatz Verlag Dr. Kovac Hamburg 2010 -IX- Inhaltsverzeichnis Literaturverzeichnis XVII Einleitung.. > «>..»..». 1 1. Teil:

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

Big Data in der Medizin

Big Data in der Medizin Big Data in der Medizin Gesundheitsdaten und Datenschutz Dr. Carola Drechsler Sommerakademie 2013 Inhalt Was bedeutet Big Data? Welche datenschutzrechtlichen Fragestellungen sind zu berücksichtigen? Welche

Mehr

Inhaltsverzeichnis. 1 Gang und Ziel der Untersuchung 17. 2 Grundbegriffe des Unternehmenskaufrechts 21

Inhaltsverzeichnis. 1 Gang und Ziel der Untersuchung 17. 2 Grundbegriffe des Unternehmenskaufrechts 21 Inhaltsverzeichnis Einführung 17 1 Gang und Ziel der Untersuchung 17 2 Grundbegriffe des Unternehmenskaufrechts 21 I. Kaufobjekt Unternehmen 21 II. Arten des Unternehmenskaufs 23 1. Asset Deal 24 2. Share

Mehr

Aktuelle Probleme des Datenschutzes im Call Center

Aktuelle Probleme des Datenschutzes im Call Center Aktuelle Probleme des Datenschutzes im Call Center Vortrag von Prof. Dr. Peter Wedde am 18. März 2013 Call Center & Datenschutz Berlin 18.3.2013 Wedde 2013 / Seite 1 Hinweis Diese Kopie der Vortragsfolien

Mehr

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung Verband Bildung und Erziehung Landesbezirk Südbanden Datenschutz, Sorgerecht und Schulanmeldung Neue VwV Datenschutz I. Allgemeines Zulässigkeit der Datenverarbeitung Datenerhebung... Datenlöschung und

Mehr

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz 1. Was versteht man unter der "Verpflichtung auf das Datengeheimnis"? Die Verpflichtung auf das Datengeheimnis

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Social Media Recruiting & Recht

Social Media Recruiting & Recht Social Media Recruiting & Recht Rechtliche Grenzen bei der Mitarbeitersuche und ansprache bei Facebook & Co 29. November 2013 Berlin - 1 DIEM PARTNER 2013 Der Referent: RA Dr. Carsten Ulbricht IT-Recht

Mehr

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern Verordnung zum Schutz von Patientendaten Krankenh-DSV-O 715 Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern vom 29. Oktober 1991 KABl. S. 234 Aufgrund von 11 Absatz 2 des Kirchengesetzes

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Dienstvereinbarung. über den Betrieb und die Nutzung eines auf Voice over IP basierenden Telekommunikationssystems. an der Freien Universität Berlin

Dienstvereinbarung. über den Betrieb und die Nutzung eines auf Voice over IP basierenden Telekommunikationssystems. an der Freien Universität Berlin Dienstvereinbarung über den Betrieb und die Nutzung eines auf Voice over IP basierenden Telekommunikationssystems an der Freien Universität Berlin 31. Juli 2009 Gliederung der Dienstvereinbarung über den

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Datenschutz bei Rechtsanwälten

Datenschutz bei Rechtsanwälten Datenschutz bei Rechtsanwälten Vortrag von: Rechtsanwalt Dr. Holger Zuck Anwaltskanzlei Zuck & Quaas, Stuttgart 1 Datenschutz bei Rechtsanwälten Normen: Bereichsspezifische Normen: BRAO (insb. 43, 43a,

Mehr

DATENSCHUTZRECHT COMPLIANCE DER COMPLIANCE? Dr. Axel von Walter, BEITEN BURKHARDT Rechtsanwaltsgesellschaft mbh Salvatore Saporito, LexisNexis GmbH

DATENSCHUTZRECHT COMPLIANCE DER COMPLIANCE? Dr. Axel von Walter, BEITEN BURKHARDT Rechtsanwaltsgesellschaft mbh Salvatore Saporito, LexisNexis GmbH DATENSCHUTZRECHT COMPLIANCE DER COMPLIANCE? Dr. Axel von Walter, BEITEN BURKHARDT Rechtsanwaltsgesellschaft mbh Salvatore Saporito, LexisNexis GmbH Seite 2 Agenda I. Einführung II. Datenschutz-Grundlagen

Mehr

Beispiele aus der anwaltlichen Praxis

Beispiele aus der anwaltlichen Praxis Die Nutzung von personenbezogenen Daten in Deutschland, der Schweiz und cross-border Beispiele aus der anwaltlichen Praxis Auftragsdatenverarbeitung zwischen Anbieter von IT- Lösungen und TK-Provider schweizerisches

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin 4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin Vortrag zum Thema Qualitätssicherung und Datenschutz, Anforderungen an den Datenschutz aus der Sicht des

Mehr

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Goethestraße 27 18209 Bad Doberan Telefon: 038203/77690 Telefax: 038203/776928 Datenschutzbeauftragter Schütte, Goethestraße 27, 18209 Bad Doberan

Mehr

Datenschutz und Privacy in der Cloud

Datenschutz und Privacy in der Cloud Datenschutz und Privacy in der Cloud Seminar: Datenbankanwendungen im Cloud Computing Michael Markus 29. Juni 2010 LEHRSTUHL FÜR SYSTEME DER INFORMATIONSVERWALTUNG KIT Universität des Landes Baden-Württemberg

Mehr

Bayerisches Landesamt für Datenschutzaufsicht

Bayerisches Landesamt für Datenschutzaufsicht Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken _ Datenschutz im nicht-öffentlichen Bereich Informationen für die verantwortliche Stelle Stand: November 2009 Impressum:

Mehr

Webinar Juristische Aspekte

Webinar Juristische Aspekte Webinar Juristische Aspekte In Zusammenarbeit mit der Wirtschaftsförderung Kreis Coesfeld Marion Liegl 16. Oktober 2013 10:00 Uhr Herzlich Willkommen zum Webinar aus der Reihe "IT-Sicherheit in Unternehmen"

Mehr

Datenschutz in der betrieblichen Praxis

Datenschutz in der betrieblichen Praxis Datenschutz in der betrieblichen Praxis Datenschutz und Datensicherheit unter besonderer Berücksichtigung der beruflichen Aus- und Weiterbildung von Alfred W. Jäger, Datenschutzbeauftragter Überblick zur

Mehr

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz

Identity Management und Gesetz: Spannungsfeld Compliance <-> Datenschutz Mittelstandsdialog Informationssicherheit 6. Mai 2010 Identity Management und Gesetz: Spannungsfeld Compliance Datenschutz RA Dr. Michael Karger Wendler Tremml Rechtsanwälte, München NIFIS e.v. Nationale

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Teil 1: Grundzüge des BDSG

Teil 1: Grundzüge des BDSG Vorwort... V Teil 1: Grundzüge des BDSG Kapitel 1: Einführung.... 1 I. Einleitung... 1 II. Entwicklung des BDSG von 1977 2010... 2 1. Verkündung 1977... 3 2. Volkszählungsurteil von 1983... 3 3. Erste

Mehr

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem!

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! David Herzog Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! 1. Rechtliche Rahmenbedingungen Auftrag: Gegen welche Personen bestehen ausgehend von den Erkenntnissen aus

Mehr

Code of conduct zum Datenschutz: Der Branchenstandard des GDV und seine Auswirkung auf das Kundenmanagement

Code of conduct zum Datenschutz: Der Branchenstandard des GDV und seine Auswirkung auf das Kundenmanagement Code of conduct zum Datenschutz: Der Branchenstandard des GDV und seine Auswirkung auf das Kundenmanagement Präsentation für AMC Arbeitskreis Mittwoch, 13. Juni 2012 Düsseldorf 13. Juni 2012 l 1 24.04.2012

Mehr

Der betriebliche Datenschutzbeauftragte

Der betriebliche Datenschutzbeauftragte Der betriebliche Datenschutzbeauftragte Durch die fortschreitende Verbreitung der automatischen Datenverarbeitung sind die Gefahren des Datenmissbrauchs stetig gestiegen. Bei der Begrenzung dieser Gefahr

Mehr

Monitoring und Datenschutz

Monitoring und Datenschutz Zentrum für Informationsdienste und Hochleistungsrechnen Monitoring und Datenschutz Dresden, 27.Mai 2008 Bundesrepublik Deutschland Grundrecht auf informationelle Selbstbestimmung: Der Betroffene kann

Mehr

NEUES ZUM DATENSCHUTZ IM ARBEITSRECHT. Fachanwalt für Arbeitsrecht Christian Willert Berlin, 30.5.2012

NEUES ZUM DATENSCHUTZ IM ARBEITSRECHT. Fachanwalt für Arbeitsrecht Christian Willert Berlin, 30.5.2012 1 NEUES ZUM DATENSCHUTZ IM ARBEITSRECHT Fachanwalt für Arbeitsrecht Christian Willert Berlin, 30.5.2012 2 I. BESCHÄFTIGTENDATENSCHUTZ (HEUTE) 1. Grundgesetz (GG) Allgemeines Persönlichkeitsrecht des Arbeitnehmers

Mehr

Alles sicher? Backup und Archivierung aus rechtlicher Sicht. Gelsenkirchen, 25. März 2014. Rechtsberatung. Steuerberatung. Luther.

Alles sicher? Backup und Archivierung aus rechtlicher Sicht. Gelsenkirchen, 25. März 2014. Rechtsberatung. Steuerberatung. Luther. Alles sicher? Backup und Archivierung aus rechtlicher Sicht Dr. Maximilian Dorndorf Johanna Langer, LL.M. Gelsenkirchen, 25. März 2014 Rechtsberatung. Steuerberatung. Luther. Agenda I. Begriffsbestimmungen

Mehr

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen

Zählen, speichern, spionieren. Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen Zählen, speichern, spionieren Datenschutz und seine Bedeutung im Rahmen technischer Entwicklungen 1 Themen Teil 1 Einführung in das Das Volkszählungsurteil Bundes-, Landes- und Sondergesetze Grundstrukturen

Mehr

Datenschutz. Anwaltskanzlei Baron v. Hohenhau

Datenschutz. Anwaltskanzlei Baron v. Hohenhau Datenschutz Anwaltskanzlei Baron v. Hohenhau Beim Datenschutz stehen, anders als der Begriff zunächst vermuten lässt, nicht die Daten im Vordergrund, sondern die Personen, über die Informationen (Daten)

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Was ein Administrator über Datenschutz wissen muss

Was ein Administrator über Datenschutz wissen muss Was ein Administrator über Datenschutz wissen muss Berlin, 14.05.2014 Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV 1 "Jeder Mensch soll grundsätzlich selbst

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1 Datenschutz für das Liegenschaftskataster Dipl.-Ing. Michael Rösler-Goy Landesamt für Vermessung und Geoinformation Bayern Rösler-Goy: Datenschutz für das Liegenschaftskataster 1 1. Wozu dient Datenschutz?

Mehr

49 Schmerzensgeld bei Videokontrolle Von Marc-Oliver Schulze und Corinna Schreck

49 Schmerzensgeld bei Videokontrolle Von Marc-Oliver Schulze und Corinna Schreck Arbeitsrecht im Betrieb 2014, Ausgabe 4, S. 49 51 Schulze/Schreck, Schmerzensgeld bei Videokontrolle 49 Schmerzensgeld bei Videokontrolle Von Marc-Oliver Schulze und Corinna Schreck BETRIEBSVEREINBARUNG

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

BDSG-Novelle I und II BDSG-Novelle I und II Eine Zusammenfassung der wichtigsten Neuerrungen Okt-12 Rechtsanwalt Matthias Marzluf 1 BDSG-Novelle I und II BDSG-Novelle II Okt-12 Rechtsanwalt Matthias Marzluf

Mehr

Datenschutz im Unternehmen. Autor: Tobias Lieven Dokumentenversion: 1.4 1.4

Datenschutz im Unternehmen. Autor: Tobias Lieven Dokumentenversion: 1.4 1.4 Datenschutz im Unternehmen Inhalt 1. Gesetzliche Grundlagen (Begriffsbestimmung) 2. Technisch-Organisatorische Maßnahmen 3. Pressespiegel 4. Praktische Umsetzung der Vorgaben im Betrieb 5. Datenschutz

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht

Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht Die Agentur und der Datenschutz in der täglichen Arbeit RA Werner Fröschen Justiziar, Bereichsleiter Recht 16.3.2015 IHK Karlsruhe, Vermittlerrecht Praxiswissen auf Bundesverband Deutscher Versicherungskaufleute

Mehr

Grundlagen Datenschutz

Grundlagen Datenschutz Grundlagen Datenschutz Michael Bätzler TÜV Datenschutz Auditor Externer Datenschutzbeauftragter IHK xdsb Datenschutz Greschbachstraße 6a 76229 Karlsruhe Telefon: 0721/82803-50 Telefax: 0721/82803-99 www.xdsb.de

Mehr

Aktuelles zum Arbeitnehmerdatenschutz politische Glasperlenspiele?

Aktuelles zum Arbeitnehmerdatenschutz politische Glasperlenspiele? Aktuelles zum Arbeitnehmerdatenschutz politische Glasperlenspiele? Dr. Anja Mengel, LL.M. Rechtsanwältin und Fachanwältin für Arbeitsrecht Universität Karlsruhe (TH), ZAR 20. Oktober 2009 Übersicht Fakten

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

IT-LawCamp 2010 BIRD & BIRD, Frankfurt 20. März 2010. IT-Sicherheit und Datenschutz eine Beziehung mit Spannungen

IT-LawCamp 2010 BIRD & BIRD, Frankfurt 20. März 2010. IT-Sicherheit und Datenschutz eine Beziehung mit Spannungen AK WLAN IT-LawCamp 2010 BIRD & BIRD, Frankfurt 20. März 2010 IT-Sicherheit und Datenschutz eine Beziehung mit Spannungen RA Ivo Ivanov Justiziar des eco e.v. 1 Übersicht Ausgangssituation Datenschutzrechtlicher

Mehr

INFORMATIONS- UND DATENSCHUTZRECHT

INFORMATIONS- UND DATENSCHUTZRECHT INFORMATIONS- UND DATENSCHUTZRECHT Frühjahrssemester 2008 Medien- und Telekommunikationsrecht WIEDERHOLUNG 6b BDSG ist primär für private Videoüberwachung relevant Videoüberwachung durch öffentliche Stellen

Mehr

Von Stefan Lang und Ralf Wondratschek

Von Stefan Lang und Ralf Wondratschek - Umgang von Betrieben mit - Mitarbeiterdaten - Kundendaten - Technisierung der Betriebe - Grenzen der Datensammlung / -speicherung bei Betrieben - Strafen - aktuelles Beispiel - Quellen Es gibt 2 Arten

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit Gliederung 1. Datenschutz 2. Datensicherheit 3. Datenschutz und sicherheit in der Verbandsarbeit 12.01.14 Raphael Boezio 2 Datenschutz Was ist Datenschutz? Datenschutz ist

Mehr

Vorabkontrolle gemäß 4d Abs. 5 BDSG

Vorabkontrolle gemäß 4d Abs. 5 BDSG - Checkliste + Formular - Vorabkontrolle gemäß 4d Abs. 5 BDSG Version Stand: 1.0 07.08.2014 Ansprechpartner: RA Sebastian Schulz sebastian.schulz@bevh.org 030-2061385-14 A. Wenn ein Unternehmen personenbezogene

Mehr

Richtlinie zur Informationssicherheit

Richtlinie zur Informationssicherheit Richtlinie zur Informationssicherheit Agenda Einführung Gefahrenumfeld Warum benötige ich eine Richtlinie zur IT-Sicherheit? Grundlagen Datenschutz Best-Practice-Beispiel Vorgehensweise Richtlinie zur

Mehr

INFO-Post 6/2013 RABER & COLL. Die anlasslose Kontrolle des Landesbeauftragen für Datenschutz gem. 38 BDSG. Rechtsanwälte

INFO-Post 6/2013 RABER & COLL. Die anlasslose Kontrolle des Landesbeauftragen für Datenschutz gem. 38 BDSG. Rechtsanwälte RABER & COLL. Rechtsanwälte INFO-Post Gerhart-Hauptmann-Straße 6 99096 Erfurt Telefon: (0361) 43 05 63 7 E-Mail: recht@raberundcoll.de Telefax: (0361) 43 05 63 99 www.raberundcoll.de 6/2013 Die anlasslose

Mehr

Datenschutzrecht. Vorlesung im Sommersemester 2015

Datenschutzrecht. Vorlesung im Sommersemester 2015 Priv.-Doz. Dr. Claudio Franzius claudio.franzius@rz.hu-berlin.de Datenschutzrecht Vorlesung im Sommersemester 2015 Literatur Marion Albers, Datenschutzrecht, in: Ehlers/Fehling/Pünder (Hrsg.), Besonderes

Mehr

Corporate Privacy Management Group

Corporate Privacy Management Group CRM datenschutzkonform einsetzen Goldene Regeln für die Praxis Flughafen Münster/Osnabrück, 18. Juni 2009 1 Ihre Pilotin Judith Halama Datenschutzberaterin Externe Datenschutzbeauftragte Rechtsanwältin

Mehr

Firmeninformation zum Datenschutz

Firmeninformation zum Datenschutz BAYERISCHES LANDESAMT FÜR DATENSCHUTZAUFSICHT Firmeninformation zum Datenschutz Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht Promenade 27 91522 Ansbach Telefon: (0981) 53-1300 Telefax: (0981)

Mehr

E-Mail-Marketing, Spam, E-Mail-Filterung und Datenschutz was ist erlaubt, was nicht?

E-Mail-Marketing, Spam, E-Mail-Filterung und Datenschutz was ist erlaubt, was nicht? E-Mail-Marketing, Spam, E-Mail-Filterung und Datenschutz was ist erlaubt, was nicht? Dr. Hendrik Schöttle Rechtsanwalt Fachanwalt für IT-Recht OSDC Nürnberg 7. April 2011 Übersicht E-Mail-Marketing Spam

Mehr

Was Sie über Datenschutz wissen sollten!

Was Sie über Datenschutz wissen sollten! Was Sie über Datenschutz wissen sollten! Präsentation: 10.10.2014 1 Zu meiner Person: Lars Querbach Geschäftsführer Das LohnTEAM GmbH externer Datenschutzbeauftragter TÜV Datenschutz-Auditor TÜV Personalfachkaufmann

Mehr

Datenschutz. Vortrag am 27.11.2012. GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße 285 49080 Osnabrück

Datenschutz. Vortrag am 27.11.2012. GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße 285 49080 Osnabrück Datenschutz bei mobilen Endgeräten Vortrag am 27.11.2012 Sutthauser Straße 285 49080 Osnabrück GmbH Datenschutz und IT - Sicherheit Telefon: 0541 600 79 296 Fax: 0541 600 79 297 E-Mail: Internet: datenschutz@saphirit.de

Mehr

Grundlagen zu Datenschutz und Datensicherheit im Unternehmen

Grundlagen zu Datenschutz und Datensicherheit im Unternehmen Grundlagen zu Datenschutz und Datensicherheit im Unternehmen Einführung In Deutschland hat sich das Datenschutzrecht aus dem in Artikel 2 des Grundgesetzes formulierten Persönlichkeitsrecht entwickelt.

Mehr

Vorlesung Datenschutzrecht. Hajo Köppen - Vorlesung Datenschutzrecht - Stand 10/2005 1

Vorlesung Datenschutzrecht. Hajo Köppen - Vorlesung Datenschutzrecht - Stand 10/2005 1 Vorlesung Datenschutzrecht Hajo Köppen - Vorlesung Datenschutzrecht - Stand 10/2005 1 Vorlesung Datenschutzrecht Datenschutz und Arbeitsrecht Arbeitsrechtliche Konsequenzen bei Verstößen gegen den Datenschutzund

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG und der IT-Sicherheit Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG 1.1 Legaldefinitionen Aufgabe: Stellen Sie gegenüber, in welchen Fällen von einer "Übermittlung"

Mehr

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Security Zone 2010 Themen Müssen Daten und Dokumente vernichtet werden? Informationssicherheit Geheimhaltungspflichten Datenschutzrecht

Mehr

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)...

Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7. 2. Die Datenverarbeitung nach dem Bundesdatenschutzgesetz (BDSG)... 2 Inhalt: 1. Gründe für die Einhaltung datenschutzrechtlicher Bestimmungen... 7 1. Gesetzliche Verpflichtung... 7 2. Vertragliche Verpflichtungen... 7 3. Staatliche Sanktionsmöglichkeiten... 7 4. Schadensersatzansprüche...

Mehr

Teil 1: Grundzüge des BDSG

Teil 1: Grundzüge des BDSG Vorwort zur zweiten Auflage.... Vorwort zur ersten Auflage... V VI Teil 1: Grundzüge des BDSG Kapitel 1: Einführung...................................... 1 I. Einleitung.... 1 II. Was sollte man zur Entwicklung

Mehr

Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis?

Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis? Übermittlungsbefugnisse im Sozialdatenschutz (k)ein Problem für die Praxis? AnleiterInnentag 13.11.2014 Prof. Patjens www.dhbw-stuttgart.de Datenschutz Darf ich Sozialdaten weitergeben? Schweigepflicht

Mehr

S. Die Unverletzlichkeit der Wohnung gemäß Art. 13 GG

S. Die Unverletzlichkeit der Wohnung gemäß Art. 13 GG S. Die Unverletzlichkeit der Wohnung gemäß Art. 13 GG I. Schutzbereich Geschützt ist die Wohnung zur freien Entfaltung der Persönlichkeit in räumlicher Hinsicht. Der Begriff Wohnung wird weit ausgelegt,

Mehr