Inhaltsverzeichnis. 1 Einleitung... 15

Transkript

1 1 Einleitung Neue Aufgaben für HR-Fach- und Führungskräfte Besonders betroffen von den neuen Regelungen: das Personalwesen Sensibilität im Umgang mit Bewerberdaten Aufgaben im laufenden Beschäftigungsverhältnis Aufgaben nach Beendigung des Beschäftigungs verhältnisses Zur Rolle des Betriebsrats Instruktion von Mitarbeitern Der Datenschutzbeauftragte Die Pflicht zur Benennung eines Daten schutz beauftragten Benennung und Abberufung eines Daten schutz beauftragten Die Formalien der Benennung Benennung für mehrere Organisationen Abberufung Anforderungen an den Datenschutzbeauftragten Die Stellung des Datenschutzbeauftragten im Unternehmen Aufgaben und Pflichten des Daten schutz beauftragten Alternative Rollen im Unternehmen neben oder statt dem Datenschutzbeauftragten Musterschreiben: Benennung eines Daten schutz beauftragten Dokumentationspflichten und das Verarbeitungsverzeichnis Die Nachweis- und Dokumentationspflichten in der DS-GVO Das Verarbeitungsverzeichnis Form des Verzeichnisses Inhalt des Verzeichnisses Erstellung und Pflege des Verarbeitungs verzeichnisses Die Rechte der betroffenen Personen Informationspflichten Informationspflichten bei Direkterhebung Informationspflichten bei Dritterhebung

2 5.1.3 Überblick über die mitzuteilenden und bereitzustellenden Informationen Informationspflichten bei Zweckänderung und Übermittlung Form der Informationspflicht Ausnahmen Individualrechte des Betroffenen zur Sicherung der informationellen Selbstbestimmung Auskunftsersuchen, Art. 15 DS-GVO Das Recht auf Berichtigung, Art. 16 DS-GVO Das Recht auf Löschung, Art. 17 DS-GVO Das Recht auf Einschränkung der Verarbeitung, Art. 18 DS- GVO Anfragen auf Datenübertragung (Art. 20 DS-GVO) Das Widerspruchsrecht, Art. 21 DS-GVO Das Vorgehen bei Betroffenen-Anfragen Vorüberlegungen Eingang der Anfrage des Betroffenen Prüfung der Anfrage Information an die Betroffenen und Speicherung der Anfrage Musterschreiben und Formulare Formular für die interne Vorbereitung der Auskunfts erteilung Muster für Antwortschreiben Beschäftigtendatenschutz Begriff und Zweck des Beschäftigten daten schutzes Rechtliche Grundlagen des Beschäftigten daten schutzes Beschäftigtenbegriff Begriff der personenbezogenen Daten Begriff der Verarbeitung Erlaubnistatbestände zur Verarbeitung von Beschäftigtendaten Beschäftigtendatenschutz im Bewerbungs verfahren Welche Daten darf der Arbeitgeber erheben? Was muss der Arbeitgeber wann löschen? Beschäftigtendatenschutz im Arbeitsverhältnis Welche Daten darf der Arbeitnehmer verarbeiten? Besonderheiten der Videoüberwachung

3 6.8.3 Compliance-Maßnahmen Was muss der Arbeitgeber wann löschen? Einhaltung der Grundsätze der DS-GVO Rechtsfolgen bei Verstößen gegen den Beschäftigtendatenschutz Einwilligung im Beschäftigungs verhältnis Rechtliche Grundlagen der Einwilligung im Beschäftigtenverhältnis Freiwilligkeit der Einwilligung im Beschäftigten verhältnis Schriftform der Einwilligung Pflicht zur Aufklärung über den Zweck der Datenverarbeitung Widerrufsrecht Alternativen zur Einwilligung im Beschäftigungs verhältnis Die Betriebsvereinbarung und andere Kollektivvereinbarungen Betriebsvereinbarungen und Tarifverträge als datenschutzrechtliche Erlaubnisgrundlage nach der DS-GVO Datenschutzrechtliche Erlaubnisgrundlage nach BDSG a. F Auch datenschutzrechtliche Erlaubnisgrundlage nach der DS-GVO Kann durch eine Kollektivvereinbarung das Schutz niveau der DS-GVO abgesenkt werden? Abweichung vom datenschutzrechtlichen Schutzniveau nach BDSG a. F Keine wesentliche Unterschreitung des Schutzniveaus der DS-GVO Handlungsspielräume der DS-GVO durch Kollektivverein - barungen gestalten Doppelfunktion von Betriebsvereinbarungen in der Praxis Mitbestimmungstatbestand des 87 Abs. 1 Nr. 6 BetrVG Gleichzeitig datenschutzrechtliche Erlaubnisgrundlage nach der DS-GVO Inhaltliche Anforderungen der DS-GVO an Betriebsvereinbarungen Transparenz und Prinzipien des Art. 5 DS-GVO Rechenschaftspflicht Übermittlung personenbezogener Daten innerhalb der Unternehmensgruppe Überwachungssysteme am Arbeitsplatz

4 8.5 Handlungsempfehlungen für die Formulierung einer Betriebs - vereinbarung nach der DS-GVO Allgemein zwingend notwendige Regeln Im besonderen Fall notwendige bzw. mögliche Regelungstatbestände Verhandlungstaktik bei der Anpassung von Betriebsvereinbarungen Arbeitnehmerüberlassung Digitale Personalakte Personalakte eine Begriffsdefinition Grundsätze bei der Führung von Personalakten Grundsatz der Vollständigkeit vs. Grundsatz der Daten - minimierung und Speicherbegrenzung Grundsatz der Richtigkeit Grundsatz der Transparenz Grundsatz der Integrität und Vertraulichkeit Schritt für Schritt zur digitalen Personalakte Schritt 1: Bestandsaufnahme Schritt 2: Auswahl des Dienstleisters bzw. Systems Schritt 3: Frühzeitige Beteiligung des Daten schutz - beauftragten Schritt 4: Beteiligung des Betriebsrats Schritt 5: Privacy by Design und Privacy by Default Schritt 6: Einführung eines Löschkonzepts Schritt 7: Prüfen, ob Erfordernis einer Datenschutz-Folgenabschätzung besteht, und ggf. Durchführung der Datenschutz- Folgenabschätzung Schritt 8: Entscheidung über das Führen einer Rumpfakte Schritt 9: Organisation der digitalen Personalakte konzernweite Datenverarbeitung Schritt 10: Sicheres Vernichten aller (irrelevanten) Dokumente Datenschutz und elektronische Kommunikation Die Verwendung von und Internet am Arbeitsplatz Regelungsmöglichkeiten für den Arbeitnehmer

5 Keine Regelung zur Privatnutzung Sonderfall betriebliche Übung Ausdrückliche Regelung zur Privatnutzung Kontrollmöglichkeiten Kontrollen bei Verbot der privaten Nutzung Kontrollen bei Erlaubnis der privaten Nutzung Handlungsempfehlungen und Checkliste Die einfachste Lösung: Verbot der privaten Nutzung Klare Regelung notwendig: Erlaubnis der privaten Nutzung Interne Untersuchungen und Aufdeckung von Pflichtverletzungen Einleitung Insbesondere: Videoüberwachung Aktuelle Entscheidungen Unzulässigkeit von Keylogger-Software Überwachungsmaßnahmen durch Detektive Mitbestimmung des Betriebsrats bei Einrichtung einer Facebook-Seite Auftragsverarbeitung Einführung Der Auftragsverarbeiter Stellung des Auftragsverarbeiters Neue Pflichten des Auftragsverarbeiters Auswahl des Auftragsverarbeiters Vertrag zwischen Verantwortlichem und Auftragsverarbeiter Erforderlichkeit eines Vertrags Notwendige Vertragsinhalte Umsetzung dieser Vertragsinhalte Unterauftragnehmer Genehmigung Anforderungen an den Unterauftrag Haftung für den Unterauftragsverarbeiter Form Internationale Auftragsverarbeitung Einstandspflichten, Haftung und Sanktionen

6 Einstandspflichten des Auftragsverarbeiters Haftung Sanktionsmöglichkeiten der Aufsichtsbehörde Fortgeltung bestehender Verträge Checkliste: ADV-Vertrag Konzerndatenschutz Grundlagen Begriff des Konzerns Fehlendes»Konzernprivileg«im Datenschutzrecht Rechtsgrundlage für die konzerninterne Übermittlung und weitere Verarbeitung von personenbezogenen Daten Auftragsverarbeitung Konzerninterne Übermittlung Gemeinsame Verantwortlichkeit gem. Art. 26 DS- GVO Fallgruppen Konzernweites Kontakt-Verzeichnis Zentralisierung der Personalverwaltung Matrix-Strukturen Skill-Datenbanken Konzernweites Recruiting Datenübermittlung an Konzernunternehmen in Drittländern Checkliste Outsourcing Generelle Voraussetzungen Auftragsdatenverarbeitung Funktionsübertragung Berufsgeheimnisträger Einbeziehung des Datenschutzbeauftragten und des Betriebsrates Übermittlung an Outsourcing-Unternehmen in Drittländer Auswahl des Outsourcing-Anbieters Fragenkatalog für Outsourcing-Projekte

7 16 Internationaler Datenverkehr Die»Zwei Stufen«-Prüfung bei internationalen Datentransfers Datentransfer in Drittländer auf Grundlage eines Angemessenheitsbeschlusses EU-US Privacy Shield Datenübermittlung auf Grundlage von Standard datenschutzklauseln gem. Art. 46 Abs. 2c und d DS-GVO Verbindliche interne Datenschutzvorschriften gem. Art. 47 DS-GVO Genehmigte Verhaltensregeln und Zertifizierungs mechanismen Genehmigungsbedürftige vertragliche Regelungen Gesetzliche Erlaubnistatbestände Löschkonzept Im Fokus: Löschverpflichtung Das Prinzip der Speicherbegrenzung und die Löschverpflichtung Technische und organisatorische Maßnahmen zur Speicher - begrenzung Das Löschkonzept Beispiel: Löschregeln im Personalbereich Direktmarketing Bestehende Kundenbeziehung Überblick Details Einwilligung Gültigkeit von Alt-Einwilligungen Übergangsregelungen Anforderungen nach der DS-GVO Rechtfertigung durch gesetzlichen Erlaubnis tatbestand Keine Sonderregelungen bei Geschäftskontakten Industrie 4.0 im Kontext des Datenschutzes Beschäftigtendatenschutz Datentransfers in Drittstaaten Datensicherheit Exkurs: Data Ownership

8 20 Verarbeitung personenbezogener Daten Minderjähriger im Internet Strengere Schutzanforderungen bei Kindern Allgemeine Anforderungen an die Einwilligung Wirksamkeit von alten Einwilligungserklärungen Besondere Anforderungen an die Einwilligung bei Kindern Entbehrlichkeit der Einwilligung bei notwendiger Datenverarbeitung Berechtigte Interessen Erfüllung eines Vertrags IT-Sicherheit im Unternehmen Ausgangslage Typisches Angriffsszenario Datenverarbeitung als wesentlicher Teil der IT-Sicherheit Rechtlicher Rahmen Anwendbarkeit des Datenschutzrechts Gesetzliche Anforderungen an die IT-Sicherheit Zulässige Verarbeitung und Speicherdauer von Daten Praktische Umsetzung/Checkliste Datenschutz-Folgenabschätzung Zielsetzung Erforderlichkeit der Datenschutz-Folgen abschätzung Grundsatz Konkretisierung durch Regelbeispiele Kriterien für ein»hohes Risiko«nach der Artikel-29-Datenschutzgruppe Orientierung an Listen der Aufsichtsbehörden Zwischenergebnis Durchführung der Datenschutz-Folgen abschätzung Die Vorbereitungsphase Die Bewertungsphase Die Maßnahmenphase Einbeziehung des Datenschutzbeauftragten Einbeziehung der Betroffenen Konsultation der Aufsichtsbehörde Altfälle: Bewertung von vorhandenen Verarbeitungs prozessen

9 22.8 Überprüfung und Wiederholung der Datenschutz-Folgenabschätzung Sanktionen Datenschutzrisikomanagement Einführung Rahmenbedingungen eines Compliance- und Datenschutz- Management-Systems Bestandsaufnahme als Vorbereitungsmaßnahme Umsetzung Beschreibung der Datenverarbeitungsprozesse Im Fokus: Beschäftigtendatenschutz Stärkung der Rolle des Datenschutzbeauftragten Anpassung der IT-Struktur Implementierung eines Löschmanagements Kollektivrechtliche Aspekte Kommunikation und Training Datenschutzaudit und Zertifizierung Das Datenschutz-Management-System Audit, Übung, Wartung Strategie definieren, Maßnahmen planen Strategien und Maßnahmen implementieren Umsetzung kontrollieren Etablierung von Datenschutzorganisation und Datenschutz-Kultur Projektmanagement Datenschutzsiegel Datenschutzschulung und Sensibilisierung Relevante Schulungsinhalte Besondere Arten personenbezogener Daten Einwilligung des Betroffenen Neue Rechte des Betroffenen Verzeichnis für Verarbeitungstätigkeiten Benachrichtigungspflicht bei Sicherheitspannen Durchführung der Schulungsmaßnamen und Sensibilisierung der Mitarbeiter

10 Die Autoren Abkürzungsverzeichnis Literaturverzeichnis Stichwortverzeichnis