Datenschutz und Datensicherheit

Ähnliche Dokumente
Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Ansätze für datenschutzkonformes Retina-Scanning

Datenschutz der große Bruder der IT-Sicherheit

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Was sagt der Anwalt: Rechtliche Aspekte im BEM

Guter Datenschutz schafft Vertrauen

Drei Fragen zum Datenschutz im. Nico Reiners

EU-DS-GVO: Folgen für die Wirtschaft. Die Europäische Datenschutz-Grundverordnung und ihre Folgen für die Wirtschaft

IT-Compliance und Datenschutz. 16. März 2007

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Cloud Computing - und Datenschutz

Einführung in die Datenerfassung und in den Datenschutz

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

Datenschutz und Schule

Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung (DS-GVO)

Grundlagen des Datenschutzes und der IT-Sicherheit

Der/die Datenschutzbeauftragte in der EU- Datenschutzgrundverordnung

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Aufbewahrung von erweiterten Führungszeugnissen. Von Antje Steinbüchel, LVR-Landesjugendamt Rheinland

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Videoüberwachung öffentlicher Plätze

Open Data - Aspekt Datenschutz

1. bvh-datenschutztag 2013

Datenschutz im Arbeitsverhältnis

Der Schutz von Patientendaten

Gesetzliche Grundlagen des Datenschutzes

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

mit freundlicher Genehmigung der Kanzlei Kemper & Kollegen und ihres Mandanten Kurzgutachten

Anlage zum Zertifikat TUVIT-TSP Seite 1 von 7

Einführung in die Datenerfassung und in den Datenschutz

Befragung zum Migrationshintergrund

CRM und Datenschutz. Thomas Spaeing ds² - Unternehmensberatung für Datenschutz und Datensicherheit

Datenschutz für den Betriebsrat PRAXISLÖSUNGEN

Welche Vorteile bietet die Anmeldung eines Kindes mit dem kita finder+?

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

POCKET POWER. Qualitätsmanagement. in der Pflege. 2. Auflage

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

DATENSCHUTZRECHTLICHE ANFORDERUNGEN

Smart Home Wer ist Herr im eigenen Haus?

BYOD Bring Your Own Device

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Datenschutz beim Smart Metering Eine Herausforderung für die Wohnungsunternehmen?

Datenverarbeitung im Auftrag

Weil der Informationsbedarf in Staat und Gesellschaft enorm gewachsen ist, hat sich die automatisierte Datenverarbeitung längst zu einer Art

Quelle: Kirchliches Amtsblatt 2005 / Stück 10

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Meine Daten. Mein Recht

Internet/ Was darf der Arbeitnehmer, was darf der Arbeitgeber?

Datenschutz und IT-Sicherheit

Webseiten mit fragwürdigen Aufrufen von "spy & track" - Unternehmen

Bestandskauf und Datenschutz?

Datenschutzrechtliche Anforderungen an Big- Data Konzepte

Datenschutz im Arbeitsverhältnis

Telearbeit - Geltungsbereich des BetrVG

Datenschutz im E-Commerce

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

vom 15. Januar 1991 (ABl S. 36), geändert durch Verordnung vom 17. Januar 1995 (ABl. S. 41) Inhaltsverzeichnis

Datenschutzaspekte bei Nutzung mobiler Endgeräte

Arbeitshilfen zur Auftragsdatenverarbeitung

Dipl.-Ing. Herbert Schmolke, VdS Schadenverhütung

Übersicht über die Übermittlungstatbestände des SGB X

Vernichtung von Datenträgern mit personenbezogenen Daten

Die beiden Seiten der Medaille beim -Marketing

DATENSCHUTZ IN DER FORSCHUNG

Stellen Gesundheits- und Medizin Apps ein Sicherheitsrisiko dar?

Konzepte der Selbstkontrolle der Industrie

Arbeitszeit, Arbeitsschutz, Datensicherheit: Braucht unser Arbeitsrecht ein Update? Tagung KAS/Bertelsmann-Stiftung

Vernetzung und Datenschutz im Rahmen von Case Management in der Sozialen Arbeit (z.b. Kinderschutz)

D i e n s t e D r i t t e r a u f We b s i t e s

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Datenschutz und Kinderschutz - Einheit oder Gegensatz?

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Aktuelle Herausforderungen im Datenschutz

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH

Datenschutz - Ein Grundrecht

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Jörg Datenschutz in der BRD. Jörg. Einführung. Datenschutz. heute. Zusammenfassung. Praxis. Denitionen Verarbeitungsphasen

Secorvo. Partner und Unterstützer

Öffnung dienstlicher E Mailfächer Wann darf der Arbeitsgeber tätig werden?

Verordnung zum Schutz von Patientendaten in kirchlichen Krankenhäusern, Vorsorge- und Rehabilitationseinrichtungen (DSVO-KH)

Aktueller Stand der EU- Datenschutz-Grundverordnung Umsetzungsplanungen

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Datenschutz Gleichstellung, Arbeitsbewältigung und Eingliederung

Brauchen wir ein Arbeitnehmerdatenschutzgesetz. von Christoph Hupe

Workshop 4: Europäische Datenschutzgrundverordnung - Konsequenzen für die Informationsverarbeitung im deutschen Gesundheitswesen

Arbeitsrecht in Sanierung und Insolvenz. Priv.-Doz. Dr. Georg Annuß Universität Regensburg 3. Vorlesung, 2. Juni 2006

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG)

Transkript:

Datenschutz und Datensicherheit Bedeutung für die Arbeitswelt im Zeichen von Big Data Dr. Philipp Richter

Übersicht 1. Arbeitnehmerdatenschutz: Einführung 2. Klassische, aktuelle und kommende Themen 3. Datenschutz-Grundverordnung und Arbeitnehmerdatenschutz 4. Fazit 2

1 Arbeitnehmerdatenschutz: Einführung 3

Das Datenschutzgrundrecht Informationelle Selbstbestimmung aus Art. 2 Abs. 1 i.v.m. Art. 1 Abs. 1 GG (Volkszählungsurteil 1983) Umgang mit personenbezogenen Daten Eingriff in dieses Grundrecht Abwehrrecht gegenüber Staat Schutzpflicht des Staates gegenüber Privaten Umgang gem. 4 Abs. 1 BDSG nur zulässig, wenn Einwilligung oder Gesetzliche Erlaubnis 4

Rechtsquellen EG-Datenschutzrichtlinie BDSG, LDSG Spezialvorschriften 5

Subsidiarität des BDSG 1 Abs. 3 BDSG Speziellere Rechtsvorschriften des Bundes gehen vor Z.B. TMG, TKG, SGB Teilweise dort genau festgelegt, welche BDSG- Normen ergänzend gelten

Systematik des Datenschutzrechts 7

Prinzipien des Datenschutzrechts 8

Grundbegriffe des Datenschutzrechts Personenbezogenes Datum 3 Abs. 1 BDSG Verantwortliche Stelle 3 Abs. 7 BDSG Erheben 3 Abs. 3 BDSG Verarbeiten 3 Abs. 4 Satz1 BDSG Speichern 3 Abs. 4 Satz 2 Nr. 1 BDSG Verändern 3 Abs. 4 Satz 2 Nr. 2 BDSG Übermitteln 3 Abs. 4 Satz 2 Nr. 3 BDSG Sperren 3 Abs. 4 Satz 2 Nr. 4 BDSG Löschen 3 Abs. 4 Satz 2 Nr. 5 BDSG Nutzen 3 Abs. 5 BDSG Automatisierte Verarbeitung 3 Abs. 2 BDSG Anonymisieren 3 Abs. 6 BDSG Pseudonymisieren 3 Abs. 6a BDSG Besondere Kategorien 3 Abs. 9 BDSG

Einwilligung 4a BDSG Freiwillig Ohne Zwang Betroffener informiert Schriftform/ Elektr. Form Einwilligung nicht konkludent möglich, nur ausdrücklich Abs. 3: Einwilligung für besondere Arten personenbezogener Daten

Erlaubnistatbestände für private Stellen 28 Abs. 1 Satz 1 Nr. 1-3 BDSG Erheben, Speichern verändern und Übermitteln für Erfüllung eigener Geschäftszwecke, wenn: 1. für Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit Betroffenem erforderlich oder 2. Zur Wahrung berechtigter Interessen der verantw. Stelle erforderlich oder 3. Wenn Daten allg. zugänglich 28 Abs. 3-4 BDSG: Verarbeitung oder Nutzung für Adresshandel und Werbung 28a BDSG: Übermittlung an Auskunfteien 28b BDSG: Zulässigkeit von Scoring-Werten 29 BDSG: Geschäftsmäßige Datenerhebung 32 BDSG: Arbeitnehmerdaten

Technische und organisatorische Maßnahmen 9 BDSG und Anlage Technische und organisatorische Maßnahmen, die erforderlich sind, um Ausführung des BDSG zu gewährleisten Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle Eingabekontrolle Auftragskontrolle, Verfügbarkeitskontrolle, getrennte Verarbeitung

Technischer Datenschutz Systemdatenschutz/Privacy by Design/by Default Art. 3a BDSG Datensparsamkeit Anonymisierung/Pseudonymisierung 13

Auftragsdatenverarbeitung (ADV) 11 BDSG Auftragnehmer übernimmt reine Hilfsfunktion, Auftraggeber bleibt verantw. Stelle Auswahl- und Überwachungspflichten des Auftraggebers Übertragung an Auftragnehmer ist keine Übermittlung, bedarf keiner Erlaubnis Nur innerhalb EU möglich ( 3 Abs. 8 BDSG) Außerhalb EU = Übermittlung, diese gemäß 4 b BDSG nur eingeschränkt möglich

Besonderheiten im Beschäftigungsverhältnis Verantwortliche Stelle = Arbeitgeber Betroffener = Arbeitnehmer Arbeitnehmerdatenschutz geprägt vom Ungleichgewicht zwischen diesen beiden Einschränkung der Einwilligung (Freiwilligkeit) Mitbestimmungsrecht, insb. 87 Abs. 1 Nr. 6 BetrVG Betriebsvereinbarung nach 77 BetrVG als zusätzliche Rechtsquelle Zentraler Erlaubnistatbestand 32 BDSG 15

Stand der Gesetzgebung Vor 2009: Umgang mit Arbeitnehmerdaten im Rahmen von 28 Abs. 1 Satz 1 Nr. 1 BDSG 2009: Einführung von 32 BDSG Gesetzesentwurf aus 2010 16

32 BDSG 32 Abs. 1 Satz 1 BDSG: Umgang mit Arbeitnehmerdaten zulässig, wenn für Entscheidung über Begründung eines Beschäftigungsverhältnisses oder für Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich Keine ausdrückliche Interessenabwägung 17

32 BDSG 32 Abs. 1 Satz 2 BDSG Sonderregelung zur Aufdeckung von Straftaten Nur bei tatsächlichen Anhaltspunkten Soweit erforderlich Interessenabwägung 18

Mitbestimmung 87 Abs. 1 Nr. 6 BetrVG: Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen BAG lässt aber schon objektive Geeignetheit ausreichen 19

Betriebsvereinbarung 75 II BetrVG: eigene Rechtsgrundlage für Umgang mit Arbeitnehmerdaten Persönlichkeitsrechte der Arbeitnehmer sind zu beachten daher keine grundsätzliche Abweichung von den Erlaubnistatbeständen zuungunsten der Arbeitnehmer möglich, aber punktuell 20

Regierungsentwurf 2010 32 BDSG würde ersetzt durch 32 bis 32 l BDSG Beispiele: Datenerhebung aus öffentlich zugänglichen Quellen im Bewerbungsverfahren Videoüberwachung Datenabgleich zur Strafverfolgung 21

2. Klassische, aktuelle und kommende Themen 22

Fragerecht In der Bewerbungsphase berechtigtes Interesse des AG an Informationen über AN Datenerhebung nach 32 I, II BDSG Information muss für Tätigkeit von Bedeutung sein Bzgl. bestimmter Informationen besteht generell kein berechtigtes Interesse, Z.B. Familienstand Z.B. Schwangerschaft Seit 2006 durch AGG konkretisiert 23

Soziale Netzwerke Auswertung von persönlichen Profilen im Bewerbungsverfahren? Rechtsgrundlage 32 Abs. 1 BDSG Frage: Was ist erforderlich? Unterscheidung zwischen privaten und berufsbezogenen Netzwerken (auch Gesetzentwurf 2010) 24

Videoüberwachung Anwendungsbereich BDSG: für Private grds. automatisierte Verarbeitung Einwilligung: Problem Freiwilligkeit 6b BDSG: öffentlich zugängliche Räume 32 BDSG: nicht öffentlich zugängliche Räume; hier gemäß Abs. 2 auch ohne automatisierte Verarbeitung Mitbestimmungspflichtig 87 Abs. 1 Nr. 6 BetrVG Betriebsvereinbarung. Grenzen des 75 II BetrVG Meldepflichtig nach 4d BDSG, es sei denn betrieblicher Datenschutzbeauftragter 25

E-Mail-Überwachung Unterscheidung, ob private E-Mail-nutzung gestattet oder nicht Wenn nicht gestattet, Stichproben zur Verhaltenskontrolle gemäß 32 I BDSG Wenn gestattet, strengere Anforderungen, aufgrund des Fernmeldegeheimnisses Art. 10 GG, 88 TKG 26

Cloud Computing Schutz von Betriebs- und Geschäfts- und Berufsgeheimnissen Cloud Computing = Auftragsdatenverarbeitung? Wenn nicht: Übermittlung, die nach 32 BDSG erforderlich sein muss Übermittlung ins nicht-eu-ausland 4b BDSG 27

Bring Your Own Device Wer ist verantwortliche Stelle? Berufsgeheimnisträger 203 StGB Betriebs- und Geschäftsgeheimnisse 28

Wearables Head-Up-Displays Vitaldatenmessung (Schutzanzüge) Armbänder zur Leistungskontrolle Durchgehende Überwachung nicht zulässig nach 32 BDSG Empfehlung: Pseudonymer Einsatz soweit möglich 29

Mobile Roboter Roboter werden zu Kollegen Benötigen hierzu (aus Sicherheitsgründen) große Mengen an Informationen über die individuellen Menschen, mit denen sie arbeiten Datenschutzfreundlicher Ansatz: Pseudonyme 30

Industrie 4.0 Sensorische Betriebsstätten, Auswertung von Betriebsdaten, Vernetzung mit Kunden und Zulieferern Sensorische Umgebungen i.d.r. mitbestimmungspflichtig Einführung im eigenen Betrieb Weisung in smarter Fabrik eines Kunden zu arbeiten Daher werden wohl Betriebsvereinbarungen für Industrie 4.0 zentral sein Cloud-basierte Lösungen (z.b. Fernwartung) Schutz von Betriebs- und Geschäftsgeheimnissen 31

Big Data I: Allgemeines Volume, Velocity, Variety, (Value) Steht Datenschutzprinzipien diametral gegenüber Zweckbindung und Erforderlichkeit Deanonymisierung Anonyme Vergemeinschaftung Daten als Verkaufsobjekt insbesondere in der Industrie 4.0; Data Ownership Empfehlung: Pseudonyme Profilbildung 32

Big Data II: Beschäftigungsverhältnis Steigerung der Effizienz von Betriebsabläufen Verhaltensprognosen als Entscheidungsgrundlage Z.B. Bewerbungsphase Z.B. Beförderung Z.B. Wann hat ein Mitarbeiter innerlich gekündigt? Mit Big Data wird es unklarer, was bestimmte Fragen indizieren Allerdings Beschränkung durch Notwendigkeit der abgefragten Information für Tätigkeit 33

Vorschläge Vorsorgeregelungen bezüglich anonymer Daten Verbindliches Privacy by Design in Richtung Hersteller Einschränkung von Einwilligungen? 34

3. Datenschutz-Grundverordnung und Arbeitnehmerdatenschutz 35

Stand des Verfahrens DSGVO Kommissionsentwurf Januar 2012 Inzwischen Parlamentsentwurf und Ratsentwurf Trilog: wahrscheinlich endgültige Fassung seit Dezember Verabschiedung im Frühjahr 2016 erwartet, dann 2 Jahre bis Inkrafttreten 36

Allgemeines I Anwendungsvorrang Allerdings inzwischen deutliche Rücknahme der Zentralisierung gegenüber Kommissionsentwurf Anwendbarkeit von DSGVO vs. Deutschem Recht in Zukunft hoch komplexes Thema Harmonisierung gelingt im Ergebnis nicht 37

Allgemeines II Verordnung technologieneutral Keine ausdrücklichen Regelungen für konkrete Technik 38

Einwilligung Art. 7 Abs. 4 DSGVO-K enthielt Einschränkung der Einwilligung bei deutlichem Ungleichgewicht Relevant für das Arbeitsverhältnis (EG 34 DSGVO-K) Gestrichen in der endgültigen Fassung Ungleichgewicht in EG 34 zwar weiter als Grund für Unzulässigkeit der Einwilligung genannt, aber als Beispiel hierfür nun öffentliche Stellen und nicht Arbeitgeber Daher wahrscheinlich, dass Einwilligung im Arbeitsverhältnis weiter möglich, Frage aber ungeklärt 39

Zulässigkeit der Datenverarbeitung Abschließender Katalog von abstrakten Erlaubnistatbeständen Art. 6 DSGVO Zweckbindungsprinzip bleibt grundsätzlich erhalten, vor dem Hintergrund fehlender Zweckfestlegungen in Art. 6 aber unklar, wie wirksam sie wird Aufgabe für Rechtsprechung Konkretisierung der Anforderungen für öffentlichen Bereich durch Mitgliedstaaten möglich 40

Big Data Art. 20 DSGVO Profilbildung bei automatisierten Entscheidungen Ansonsten kaum Regelungen, die die Risiken von Big Data aufgreifen Insbesondere keine Vorsorgeregelungen oder spezifische Einschränkungen von Einwilligungen Privacy by Design nicht an Hersteller gerichtet 41

Öffnungsklausel Art. 82 DSGVO Mitgliedstaaten können spezifischere Regelungen für Arbeitnehmerdatenschutz erlassen Mitteilungspflicht innerhalb von zwei Jahren nach Erlass der DSGVO 42

4. Fazit Nahe Zukunft hält deutliche Herausforderungen für Arbeitnehmerdatenschutz bereit Datenschutz-Grundverordnung hält selbst keine spezifischen Regelungen vor, ist aber offen für mitgliedstaatliche Regelung Reformpläne von 2010 daher wieder relevant, sollten aber um neue Themen erweitert werden 43

Fragen/Anmerkungen/Diskussion Dr. Philipp Richter Pfannkuchstraße 1 34109 Kassel Universität Kassel, Projektgruppe verfassungsverträgliche Technikgestaltung (provet) Tel: +49 (0)561/804 6092 Fax: +49 (0)561/804 6081 prichter@uni-kassel.de

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback