Beschäftigtendatenschutz nach der DS GVO und dem BDSG neu

Transkript

1 Beschäftigtendatenschutz nach der DS GVO und dem BDSG neu RAin Patricia Will Übersicht 1. Einordnung in das Rechtssystem 2. Art der Datenverarbeitung 3. Erlaubnistatbestände zur Verarbeitung personenbezogener Daten von Beschäftigten Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses ( 26 Abs. 1 BDSG neu) Datenverarbeitung zur Aufdeckung von Straftaten Datenverarbeitung auf der Grundlage von Kollektivvereinbarungen Datenverarbeitung auf der Grundlage einer Einwilligung (Art. 7 DS GVO, 26 Abs. 2 BDSG neu) Umgang mit besonderen Kategorien personenbezogener Daten 4. Weitere Pflichten des Arbeitgebers 5. Wichtige Betroffenenrechte 6. Weitere Aspekte des Beschäftigtendatenschutzes 2 1

2 EU Datenschutz Grundverordnung (DS GVO) 99 Artikel und 173 Erwägungsgründe Vereinheitlichung des europäischen Datenschutzrechts DS GVO ersetzt nationales Datenschutzrecht DS GVO gilt unmittelbar in allen Mitgliedsstaaten Öffnungsklauseln für nationale Regelungen z.b. Art. 88 Abs. 1 DS GVO für den Beschäftigtendatenschutz Bei Konflikten Anwendungsvorrang des EU Rechts DS GVO ist ab dem 25. Mai 2018 anzuwenden 3 Gesetz zur Anpassung des Datenschutzrechts (DSAnpUG EU) Verabschiedung des Gesetzes zur Anpassung des Datenschutzrechts an die Europäische Datenschutzgrundverordnung (DSAnpUG EU) BDSG neu Ziel: u.a. Anpassung des BDSG an die Vorgaben der DS GVO Ausfüllen von Öffnungsklauseln und Regelungsaufträgen an die Mitgliedsstaaten Für Beschäftigungsverhältnisse 26 Abs. 1 BDSG neu entspricht weitestgehend 32 Abs. 1 BDSG DS GVO und BDSG neu müssen künftig parallel beachtet werden Aber: bei Konflikten Anwendungsvorrang der DS GVO 25. Mai 2018: BDSG neu tritt mit einer Ausnahme in Kraft, heutiges BDSG tritt außer Kraft 4 2

3 Einordnung in das Rechtssystem (3) Verbot mit Erlaubnisvorbehalt Die Verwendung personenbezogener Daten ist grundsätzlich verboten! Es sei denn, sie ist explizit erlaubt! Erlaubnistatbestände (Art. 6 DS GVO): Spezialgesetze Einwilligung im Rahmen der Öffnungsklauseln Erfüllung eines Vertrags (z.b. BDSG neu, TKG, Erfüllung rechtlicher Verpflichtungen TMG, AO, SGB) Schutz lebenswichtiger Interessen Aufgaben im öffentlichen Interesse berechtigte Interessen des Verantwortlichen oder eines Dritten 5 Art. 2 Abs. 1 DS GVO Für private Unternehmen findet die DS GVO Anwendung soweit personenbezogene Daten ganz oder teilweise automatisierte verarbeitet werden (z.b. durch Personalinformationssysteme wie SAP oder Paisy, Zeiterfassungssysteme oder innerhalb elektronsicher Personalakten) und für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. 6 3

4 26 Abs. 7 BDSG neu Text Die Absätze 1 bis 6 sind auch anzuwenden, wenn personenbezogene Daten, einschließlich besonderer Kategorien personenbezogener Daten, von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Erweiterung des Anwendungsbereichs Verarbeitung personenbezogener Daten von Beschäftigten, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen Beispiel: Beobachtung eines Arbeitnehmers durch einen Detektiv zur Feststellung, ob dieser erhebliche Pflichtverletzungen begeht (vgl. BAG vom , Az. 2 AZR 597/16). 7 Erlaubnistatbestände nach 26 BDSG neu Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses ( 26 Abs. 1 S. 1 BDSG neu) Datenverarbeitung zur Aufdeckung von Straftaten ( 26 Abs. 1 S. 2 BDSG neu) Datenverarbeitung auf der Grundlage einer Einwilligung ( 26 Abs. 2 BDSG neu) Datenverarbeitung auf der Grundlage einer Betriebsvereinbarung ( 26 Abs. 4 BDSG neu) 8 4

5 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses (1) 26 Abs. 1 S. 1 BDSG neu Text Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. 9 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses (2) 26 Abs. 1 S. 1 BSG neu entspricht (weitestgehend) bisherigem 32 Abs. 1 BDSG Datenverarbeitung zulässig, wenn für Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich Andere Zwecke andere Rechtsgrundlage gemäß Art. 6 DS GVO erforderlich Prüfung: 1. Frage: Kann der Verwendungszweck einer der genannte Zweckbestimmungen zugeordnet werden? 2. Frage: Ist der Tatbestand der Erforderlichkeit erfüllt? 10 5

6 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses (3) Erforderlichkeit der Datenverarbeitung 26 Abs. 1 S. 1 BDSG beschreibt Begriff der Erforderlichkeit nicht. Rückgriff auf Gesetzesbegründung und DS GVO Abwägung zwischen Interesse des Arbeitgebers an der Datenverarbeitung und Persönlichkeitsrecht des Arbeitnehmers Verhältnismäßigkeitsprüfung (EWG 47, 48) Aber: Arbeitgeber steht auch weiterhin im Rahmen seiner unternehmerischen Freiheit ein Entscheidungsspielraum über die Organisation betrieblicher Abläufe zu 11 Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses (4) Weitergabe von Beschäftigtendaten an den Betriebsrat Neu! Interessenabwägung zwischen Informationsinteresse des Betriebsrats und Interessen von Arbeitnehmern/ Arbeitgebern Prüfung: 1. Bezug zu Aufgaben des Betriebsrats? 2. Muss Betriebsrat personenbezogene Daten erhalten oder genügen anonymisierte Daten? 3. Interessenabwägung In allen anderen Fällen nur mit Einwilligung des Arbeitnehmers ( 26 Abs. 2 BDSG neu) Erforderlichkeitsprinzip bindet sowohl Arbeitgeber bei der Zusammenstellung und Weitergabe von Beschäftigtendaten an den Betriebsrat als auch den Betriebsrat selbst bei der weiteren Verarbeitung der überlassenen personenbezogenen Daten 12 6

7 Datenverarbeitung zur Aufdeckung von Straftaten (1) 26Abs.1S.2BDSG neu Text Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind. 13 Datenverarbeitung zur Aufdeckung von Straftaten (2) Zulässigkeitsvoraussetzungen nach 26 Abs. 1 S. 2 BDSG neu Datenverarbeitung (Zweckbestimmung) zur Aufdeckung von Straftaten erforderlich wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat Kein Überwiegen des schutzwürdigen Interesses des Beschäftigten an dem Ausschluss der Verarbeitung Abwägung zwischen Aufklärungsinteresse des Arbeitgebers und Recht des Beschäftigten auf Schutz seiner personenbezogenen Daten ungeregelt bleibt Datenverarbeitung zur Aufklärung eines Verdachts von Ordnungswidrigkeiten und Vertragspflichtverletzung; Rechtsprechung beachten! 14 7

8 26Abs.4BDSG neu Text Die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses ist auf der Grundlage von Kollektivvereinbarungen zulässig. Dabei haben die Verhandlungspartner Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 zu beachten Abs. 4 BDSG neu: Klarstellung, dass Kollektivvereinbarungen Rechtsgrundlage für Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses sein können. Kollektivvereinbarung = Tarifvertrag, Betriebsvereinbarung (EWG 155) Beispiel: Videoüberwachung und Taschenkontrollen zulässig, wenn dies in einer Betriebsvereinbarung geregelt ist (BAG vom , Az. 2 AZR 730/15; vgl. BAG vom , Az. 1 ABR 2/13 (B)) 16 8

9 Rechte des Betriebsrats 26Abs.6BDSG neu Text Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt. Das betrifft insb. die Mitbestimmungsrechte des Betriebsrats, u.a. 87 Abs. 1 Nr. 6 BetrVG. 17 Anforderungen an Betriebsvereinbarungen Betriebspartner haben Art. 88 Abs. 2 DS GVO zu beachten. Danach sind angemessene und besondere Maßnahmen zu treffen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der Betroffenen insb. im Hinblick auf die Transparenz der Verarbeitung (EWG 39), die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz. Daneben sind die in Art. 5 DS GVO dargelegten Datenverarbeitungsgrundsätze zu beachten ( 26 Abs. 5 BDSG neu; s.u.). Keine Ausnahmeregelung für Altfälle bestehende Vereinbarungen überprüfen und ggf. anpassen!!! 18 9

10 26 Abs. 2 BDSG neu Text Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigen auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Peron sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftige Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besondere Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung(EU) 2016/679 in Textform aufzuklären. 19 Definition: Einwilligung des Betroffenen ist jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder eines sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. (Art. 4 Nr. 11 DS GVO) Einwilligung zu jedem einzelnen Verarbeitungsvorgang (EWG 43) anlassbezogene Einwilligung Koppelungsverbot (Art. 7 Abs. 4 DS GVO) 20 10

11 Freiwilligkeit Kriterien Abhängigkeit des Beschäftigten Umstände, untern denen die Einwilligung erteilt wurde Zeitpunkt der Einwilligungserklärung Art der verarbeiteten Daten, Eingriffstiefe Keine Freiwilligkeit bei klarem Ungleichgewicht zwischen Arbeitgeber und Beschäftigtem (EWG 43) vgl. auch vom BAG entwickelten Grundsatz der strukturellen Unterlegenheit des Arbeitnehmers im Arbeitsverhältnis (BAG vom , Az. 4 AZR 996/13; BAG vom , Az. 4 AZR 50/13 21 Freiwilligkeit Freiwilligkeit wird insb. angenommen bei Erreichung eines rechtlichen oder wirtschaftlichen Vorteils für den Beschäftigen (z.b. Einführung eines betrieblichen Gesundheitsmanagements, Privatnutzung betrieblicher IT Systeme) Verfolgung gleichgelagerter Interessen (z.b. Geburtstagsliste, Nutzung von Fotos für das Intranet) Achtung! Im Arbeitsvertrag kann weder eine generelle noch eine punktuellen Einwilligung zur Erhebung personenbezogener Daten wirksam erteilt werden! 22 11

12 in informierter Weise Umfangreiche Transparenz und Informationspflichten (Art. 13 DS GVO) Aufklärung in Textform über Verarbeitungszweck und Widerrufsrecht (Art. 7 Abs. 3 DS GVO) Klare und einfache Sprache Gesonderter Hinweis auf die Verarbeitung besonderer personenbezogener Daten Schriftform Grundsätzlich schriftlich, wie bisher in 4a Abs. 1 S. 3 BDSG Elektronische Form oder Textform möglich, wenn dies wegen der besonderen Umstände angemessen ist (z.b. Online Bewerbung) 23 Widerrufsrecht (Art. 7 Abs. 3 DS GVO) Widerruf wirkt ex nunc, d.h. durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung nicht berührt. Widerruf muss so einfach wie Erteilung der Einwilligung sein, es darf nicht mehr als Schriftform gefordert werden Beachte! Widerruf bei der Veröffentlichung von Bildnissen von Arbeitnehmern nach 23 KUG Arbeitgeber muss Bilder und Videos von der Internethomepage entfernen; bisherige einschränkende Rechtsprechung (BAG vom , Az. 8 AZR 1010/13; BAG vom , Az. 8 AZR 1011/13) dürfte nach Inkrafttreten des BDSG neu obsolet sein Nachweispflicht (Art. 7 Abs. 1 DS GVO) Beruht die Verarbeitung auf einer Einwilligung, muss der Arbeitgeber nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat

13 Bereits erteilte Einwilligungen bleiben wirksam, sofern sie die Anforderungen der DS GVO erfüllen (EWG 171) Düsseldorfer Kreis: bisher nach BDSG rechtswirksame Einwilligungen erfüllen grds. diese Bedingung BayLDA: Es ist davon auszugehen, das eine wirksam erteilte Einwilligung grds. auf unbestimmte Zeit fort gilt jedenfalls solange, bis nicht aus anderen Gründen von einer unwirksam gewordenen Einwilligung auszugehen ist, z.b. wenn jahrelang von einer erteilten Einwilligung keine Gebrauch gemacht worden ist. Zweifelhaft im Hinblick auf allgemein im Arbeitsvertrag erteilte Einwilligungen Abs. 3 BDSG neu Text Abweichend von Artikel 9 Absatz 1 der Verordnung (EU) 2016/679 ist die Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Artikel9 Absatz 1 der Verordnung (EU) 2016/679 für Zwecke des Beschäftigungs verhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und keine Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffene Person an dem Ausschluss der Verarbeitung überwiegt. Absatz 2 gilt auch für die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten; die Einwilligung muss sich dabei ausdrücklich auf diese Daten beziehen. 22 Abs. 2 gilt entsprechend

14 Sensitive Daten (Art. 9 DS GVO) Rasse oder ethnische Herkunft Politische Meinung Religiöse oder weltanschauliche Überzeugung Gewerkschaftszugehörigkeit Gesundheitsdaten Daten zum Sexualleben Daten zur sexuellen Orientierung Genetische Daten Biometrische Daten 27 Verarbeitung sensitiver Daten nur in bestimmten geregelten Ausnahmefällen für Arbeitgeber oder den Beschäftigten zur Ausübung von Rechten erforderlich zur Erfüllung rechtlicher Pflichten aus dem Arbeits oder Sozialrecht erforderlich Beispiele zur Ausübung von Arbeitgeberrechten Nutzung von Krankheitsdaten zur Entgeltfortzahlung, zur Kontrolle der Arbeitsfähigkeit, zwecks Ausspruch einer krankheitsbedingten Kündigung Erhebung von Daten zur Schwerbehinderung zwecks Nachweis der Beschäftigungsquote Fingerabdruck, Gesichtserkennung für Sicherheitskonzepte auf dem Betriebsgelände Beispiele zur Ausübung von Arbeitnehmerrechten Erlangung besonderen Kündigungsschutzes und Zusatzurlaub durch Anzeige einer Schwerbehinderung Erlangung des Anspruchs auf Entgeltfortzahlung durch Anzeige einer krankheitsbedingten Arbeitsunfähigkeit Anspruch auf bezahlte Freistellung zur Mitwirkung in der Jugendarbeit einer z.b. politischen oder religiösen Vereinigung Freistellung zur Ausübung politischer Ämter 28 14

15 Weitere Pflichten des Arbeitgebers (1) 26Abs.5BDSG neu Text Der Verantwortliche muss geeignete Maßnahmen ergreifen, um sicherzustellen, dass insbesondere die in Artikel 5 der Verordnung (EU) 2016/679 dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden. 29 Weitere Pflichten des Arbeitgebers (2) Zweckbindung (Art 5 Abs. 1 b) DS GVO) Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden Zwecke müssen bereits zum Zeitpunkt der Datenerhebung festgelegt sein (EWG 39) Änderung des Verarbeitungszwecks nur, soweit mit dem ursprünglichen Erhebungszweck vereinbar (Kriterien in Art. 6 Abs. 4 DS GVO) Datensparsamkeit (Art. 5 Abs. 1 c) DS GVO) Verarbeitung personenbezogener Daten muss angemessen, sachlich relevant und auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt sein Konkretisierung z.b. in Art. 25 DS GVO Hohe Anforderungen an die Technik, z.b. datenschutzfreundliche Voreinstellungen 30 15

16 Weitere Pflichten des Arbeitgebers (3) Datensicherheit (Art. 5 Abs. 1 f) und Art. 32 DS GVO). Angemessenes Verhältnis zwischen Sicherheitsniveau und Risiken der Datenerhebung Vorrangig durch Pseudonymisierung und Verschlüsselung von Daten Meldung von Verletzungen an zuständige Aufsichtsbehörde Ausnahme von Meldepflicht, wenn Verletzung voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten des Betroffenen führt (z.b. bei geeigneter Verschlüsselung der Daten) Weitere Grundsätze Fairness Rechtmäßigkeit Transparenz Integrität Vertraulichkeit sachliche Richtigkeit begrenzte Speicherung 31 Unterrichtungspflichten bzgl. aller Datenerhebungen nach Art. 13 DS GVO Information, welche personenbezogenen Daten in welcher Form verarbeitet werden Verantwortlicher hat dem Betroffenen zum Zweipunkt der Erhebung der personenbezogenen Daten u.a. mitzuteilen Namen und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters Ggf. die Kontaktdaten des Datenschutzbeauftragten Zwecke der Datenverarbeitung, Rechtsgrundalge für die Verarbeitung Ggf. die berechtigten Interessen, die von dem Verantwortlichen oder einem Vertreter verfolgt werden Ggf. die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten Ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland zu vermitteln Ggf. weitere Informationen nach 13 Abs. 2 DS GVO Achtung! Unterrichtung z.b. vor Beginn eines Vorstellungsgesprächs Ergänzende Regelungen in 33, 55 f. BDSG neu 32 16

17 Prozessdokumentation (Art. 24 DS GVO) Arbeitgeber hat durch geeignete technische und organisatorische Maßnahmen sicherzustellen und den Nachweis dafür zu erbringen, dass die Verarbeitung der Daten gemäß DS GVO erfolgt D.h. Unternehmen muss die notwendigen Prozesse einführen und dokumentieren, um nachweisen zu können, dass die Grundsätze des Datenschutzrechts beachtet werden So auch schon nach BDSG alt 33 Prozessdokumentation Umsetzung in der Praxis Feststellung, welche personenbezogenen Daten verarbeitet werden Dokumentation der Datenverarbeitung Implementierung von Löschprozessen für den Fall der Zweckerreichung 34 17

18 Auskunftsrecht der Betroffenen nach Art. 15 DS GVO, 34, 57 BDSG neu Bestätigung, ob personenbezogene Daten des Betroffenen verarbeitet werden Wenn ja, Information über die Daten, Verarbeitungszweck, Herkunft, Empfängern usw. Beispiel: Auskunft, ob Daten bei einem Vorarbeitgeber oder über Facebook Profil erhoben wurden und was Inhalt dieser Daten ist Berichtigung nicht ordnungsgemäß verarbeiteter Daten, Einzelheiten regelt 58 BDSG neu (z.b. Auswirkung bei der Führung von Personalakten) Löschen personenbezogener Daten nach Maßgabe von Art. 17 DS GVO, 35, 58 BDSG neu wenn keine zweckgemäße Nutzung mehr erfolgt oder nicht mehr erforderlich ist wenn erteilte Einwilligung widerrufen wurde (z.b. Entfernung von Mitarbeiterfoto nach Widerruf der Einwilligung) Recht auf Vergessen nach Art. 17 Abs. 2 DS GVO, kann z.b. bei der Veröffentlichung von Mitarbeiterdaten auf der Internet Homepage des Unternehmens von Bedeutung sein. 35 Einschränkung der Datenverarbeitung (Art. 18 DS GVO, 35 BDSG neu) Auf Antrag des Betroffenen, wenn Einschränkung der Datenverarbeitung im Vergleich zur Löschung sinnvoller ist, z.b. wenn einer endgültigen Löschung u.a. Aufbewahrungsfristen entgegenstehen wenn eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit einem unverhältnismäßig hohem Aufwand möglich ist (Abwägungsentscheidung) Mögliche Methoden zur Beschränkung der Datenverarbeitung Übertragung ausgewählter Daten auf ein anderes Verarbeitungssystem Sperrung bestimmter personenbezogener Daten für einzelne Nutzer Vorübergehende Entfernung veröffentlichter Daten (z.b. auf einer Website, EWG 67) Datenübertragbarkeit (Art. 20 DS GVO) Achtung! Arbeitnehmer kann unter bestimmten Voraussetzungen eine Kopie der ihn betreffenden personenbezogenen Daten in einem üblichen maschinenlesbaren Dateiformat verlangen und diese Daten mitnehmen 36 18

19 Beschäftigtenbegriff 26 Abs. 8 BDSG neu Text Beschäftigte im Sinne dieses Gesetzes sind: 1. Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher, 2. Zu ihrer Berufsbildung Beschäftigte,.. Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, gelten als Beschäftigte. Regelung lehnt sich an 3 BDSG alt an Ausdrückliche Aufnahme von Leiharbeitnehmern im Verhältnis zum Entleiher Entleiher muss Vorgaben des Beschäftigtendatenschutzes auch gegenüber Leiharbeitnehmern einhalten 37 Auftragsdatenverarbeitung Art 28 DS GVO, 62 BDSG neu Text Voraussetzung für eine wirksame Auftragsdatenverarbeitung ist eine entsprechende Auftragsdatenverarbeitungsvereinbarung Beispiele im Personalbereich: Lohn und Gehaltsabrechnung durch einen externen Dienstleister Beauftragung von Rechtsanwälten mit arbeitsrechtlichen Streitigkeiten Muster für eine Auftragsdatenverarbeitungsvereinbarung finden Sie auf der Homepage der Gesellschaft für Datenschutz und Datensicherheit e.v. (

20 Benachrichtigung bei Verstößen Art 33, 34 DS GVO Unverzügliche Meldung bei Aufsichtsbehörde, möglichst innerhalb von 72 Stunden Unverzügliche Benachrichtigung des Betroffenen bei hohem Risiko für die persönlichen Rechte und Freiheiten Verantwortlichkeiten und Prozesse definieren 39 Vielen Dank für Ihre Aufmerksamkeit! Patricia Will Rechtsanwältin Arbeitgeberverband der Deutschen Tel.: (0211) Immobilienwirtschaft e.v. Fax: (0211) Peter Müller Straße 16 Mail: will@agv online.de Düsseldorf 40 20