Konzerninterne Datentransfers

Ähnliche Dokumente
Sommerakademie Arbeitnehmer Freiwild der Überwachung? Personalvertretung und Datenschutz im internationalen Kontext.

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Bayerisches Landesamt für Datenschutzaufsicht

Cloud Computing und Datenschutz

1. bvh-datenschutztag 2013

Was sagt der Anwalt: Rechtliche Aspekte im BEM

Gesetzliche Grundlagen des Datenschutzes

UNSAFE HARBOR: DATENVERARBEITUNG VON ONLINE-SHOPS NACH DEM EUGH-URTEIL

Einführung in die Datenerfassung und in den Datenschutz

IMI datenschutzgerecht nutzen!

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

EuGH Urteil: Safe-Harbour gewährt kein angemessenes Datenschutz Niveau.

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

Grundlagen des Datenschutzes und der IT-Sicherheit

2. Leiharbeit/ Werkverträge

Big Data, Amtliche Statistik und der Datenschutz

Auftragsdatenverarbeitung und Funktionsübertragung - Stand: 31. Dezember

Datenschutz und Arbeitnehmer

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Befristete Arbeitsverhältnisse

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten

Jörg Datenschutz in der BRD. Jörg. Einführung. Datenschutz. heute. Zusammenfassung. Praxis. Denitionen Verarbeitungsphasen

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

Datenschutz für den Betriebsrat PRAXISLÖSUNGEN

Was meinen die Leute eigentlich mit: Grexit?

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Datenverwendung und Datenweitergabe - was ist noch legal?

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Bestandskauf und Datenschutz?

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Öffnung dienstlicher E Mailfächer Wann darf der Arbeitsgeber tätig werden?

Sind wir auf dem Weg zu einem Weltrecht? Sind die Cyberrechtler Pioniere. für ein Weltrecht?

IT-Compliance und Datenschutz. 16. März 2007

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Rechtsanwältin Prof. Dr. Marlene Schmidt. Freiwillige Betriebsvereinbarungen an der Schnittstelle von BetrVG und BDSG

Der ohne sachlichen Grund befristete Arbeitsvertrag

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Checkliste «Datenbekanntgabe»

Der Betriebsrat, die Jugend- und Auszubildendenvertretung

Der Schutz von Patientendaten

Herzlich willkommen. zur Information Arbeitssicherheit / Gesundheitsschutz / für Kirchgemeinden

emetrics Summit, München 2011 Special: Datenschutz im Online-Marketing HÄRTING Rechtsanwälte Chausseestraße Berlin

Aktuelle rechtliche Herausforderungen beim Einsatz von Apps

Die Zukunft des Melderegisters in Sozialen Medien oder als Open Data?

Datenschutz und IT-Sicherheit

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

Öffentliches Verfahrensverzeichnis

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Kurz & Gut DATENSCHUTZ IM WISSENSCHAFTLICHEN BEREICH

Datenschutz im Schatten der Cloud

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Nicht über uns ohne uns

Die Betriebssicherheitsverordnung (BetrSichV) TRBS 1111 TRBS 2121 TRBS 1203

Der Nebenjob. Bürgerliches Recht für Studierende der Wirtschaftswissenschaften

Datenschutz und E-Commerce - Gegensätze in der digitalen Wirtscheft?

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

Stammtisch Recklinghausen. Datenschutz gestern heute - morgen. Mark Spangenberg mark.spangenberg@googl .com

Sozialversicherungen: 2015

Währungssituation Überblick über die Möglichkeiten für KMU im Personalbereich. Martina Wüthrich, Rechtsanwältin Muri Rechtsanwälte AG, Weinfelden

Was bin ich wert? Veranstaltung Rechtsanwalt Michael PietschRechtsanwalt Michael Pietsch

Meine Daten. Mein Recht

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Datenschutzbeauftragte

Im Folgenden werden einige typische Fallkonstellationen beschrieben, in denen das Gesetz den Betroffenen in der GKV hilft:

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli

Datenschutz im Spendenwesen

Tag des Datenschutzes

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Mit Sicherheit gut behandelt.

1 Abs. 1 a Satz 2 Nr. 1 a KWG definiert die Anlageberatung als die

1. Weniger Steuern zahlen

Datenschutzvereinbarung

Offenlegung von Abschlussunterlagen. I. Größenklassen und Offenlegungspflichten

Beispiele aus der anwaltlichen Praxis

Drei Fragen zum Datenschutz im. Nico Reiners

- Making HCM a Business Priority

Datenschutz bei kleinräumigen Auswertungen Anforderungen und Grenzwerte 6. Dresdner Flächennutzungssymposium. Sven Hermerschmidt, BfDI

INFORMATIONS- UND DATENSCHUTZRECHT

Big Data wohin geht das Recht. Claudia Keller, Rechtsanwältin

Befragung zur Wahrnehmung von Datenschutzrechten durch Verbraucher

Telearbeit - Geltungsbereich des BetrVG

Dr. Heiko Lorson. Talent Management und Risiko Eine Befragung von PwC. *connectedthinking

EuGH erklärt Datentransfer in die USA für illegal 6. Oktober. Rechtsanwalt Arnd Böken

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Facebook und Datenschutz Geht das überhaupt?

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Transkript:

Datenschutz Ergonomie Mitbestimmung Konzerninterers Datenschutz und Mitbestimmung BvD AK Externe DSB, 23. September 2011 Lothar Bräutigam Datenschutz Ergonomie Mitbestimmung Überblick 1. Praxisbeispiele 2. Konzerne: Organisationformen 3. Die Datenschutz Probleme im Detail 4. Lösungsansätze 5. Ausweg Betriebsvereinbarung 6. Die geplante BDSG Novellierung

Die Konzern Personalabteilung 3 Skill DB Tel.+Mail Verz. Darmstädter Versicherungen Holding Abt. P utz und Mitbe fers. Datenschu Konzernintern Vortrag Darmstädter Darmstädter Darmstädter Allg. Vers. AG Lebensvers. ers AG Krankenvers. ers ag Abteilung P (Personal): Lohn und Gehaltsabrechnung Einstellungen, Kündigungen, personelle Maßnahmen Leistungsorientierte Bezahlung Personalentwicklung Systemadministration SAP HCM Datenschutz 4 Konzernintern Vortrag Wo sind ddie Probleme aus Sicht des Datenschutzes

Beispiele 5 Konzern Personalabteilung Konzernweiter Einsatz von SAP HCM mit Konzern IT Abteilung (als Ein Mandanten System?) Konzern Telefonbuch bzw. Konzern Mailverzeichnis Konzernweite Skill Datenbank Konzernweites Talent Management Konzern Bewerberportal Konzernweite Leistungszulagen g bzw. Konzern Aktienoptionsprogramm p Abgrenzung des Themas 6 Ausgeblendet bleiben (weitgehend): Konzernintern Vortrag Öffentliche Stellen Empfänger in unsicheren Drittstaaten ohne angemessenes Datenschutzniveau (vgl. 4b BDSG)

Datenschutz Ergonomie Mitbestimmung Überblick 1. Praxisbeispiele 2. Konzerne: Organisationformen 3. Die Datenschutz Probleme im Detail 4. Lösungsansätze 5. Ausweg Betriebsvereinbarung 6. Die geplante BDSG Novellierung Begriff des Konzerns 8 Als Konzern bezeichnet man den Zusammenschluss mehrerer rechtlich selbstständiger Unternehmen zu einer wirtschaftlichen Einheit unter einer einheitlichen Leitung, wobei jede Unternehmung eine eigene Bilanz und Erfolgsrechnung hat. Dafür geben die einzelnen Unternehmen ihre wirtschaftliche und finanzielle Unabhängigkeit auf. Rechtlich bleiben die Unternehmen selbstständig. Die dabei verbundenen Unternehmen nennt man Konzernunternehmen. Der Konzern wird idvon der Kooperation abgegrenzt, der es regelmäßig an einer einheitlichen Leitung fehlt. (Quelle: Wikipedia)

Konzern Organisation 9 Vor und nachgelagerte Stufen der eigentlichen Wertschöpfung bzw. Leistungserstellung, d.h. ein breites Spektrum der Leistungserstellung, wird vom Konzern selbst abgedeckt und nichtvon externen Unternehmen bezogen. Matrixorganisation 10 Zuweisung von Aufgaben an ArbN nur nach fachlicher Eignung, nicht nach der Konzernges., bei der ArbN angestellt ist ArbN haben viele verschiedene Vorgesetzte Alle Konzerngesellschaften bilden eine große funktionale Einheit, über Unternehmens und Ländergrenzen hinweg. Personenbez. Daten der ArbN werden zu div. Zwecken konzernweit einheitlich verarbeitet: Ermöglichung weltweiter Kommunikation und Teamarbeit Skill bzw. Talentmanagement Trainingsmaßnahmen, (...)

Datenschutz Ergonomie Mitbestimmung Überblick 1. Praxisbeispiele 2. Konzerne: Organisationsformen 3. Die Datenschutz Probleme im Detail 4. Lösungsansätze 5. Ausweg Betriebsvereinbarung 6. Die geplante BDSG Novellierung Datenschutzprobleme 12 Die Konzernunternehmen sind i.d.r. rechtlich selbständige Unternehmen, also jeweils selbst verantwortliche Stelle der Datenverarbeitung Dritte in Bezug auf andere Konzernunternehmen Wer für eine Datenverarbeitung jeweils verantwortliche Stelle ist, ist tlw. schwer festzustellen (bei Matrixorganisationen) Verarbeitung oder Nutzung personenbezogener Daten eines Konzernunternehmens durch ein anderes (Mutter, Tochter, Schwester) ist Übermittlung und bedarf einer Erlaubnis Einwilligung gder Betroffenen kritisch im Arbeitsverhältnis Erlaubnis durch Rechtsvorschrift ( 32 BDSG? 28.1.2 BDSG?) Erlaubnis durch Betriebsvereinbarung?

Datenschutzprobleme 13 Das BDSG enthält kein Konzernprivileg (ebenso die EU Datenschutzrichtlinie) Unterschied zwischen der Übermittlung wirtschaftlicher und personenbezogener Daten an die Konzernmutter Teilweise, aber nicht immer möglich: DV im Auftrag Besondere Probleme bei Konzernunternehmen, die außerhalb von EWR bzw. EU liegen: Zwei Stufen Lösung Erlaubnistatbestand b erforderlich angemessenes Datenschutzniveau herstellen Datenschutz Ergonomie Mitbestimmung Überblick 1. Praxisbeispiele 2. Konzerne: Organisationsformen 3. Die Datenschutz Probleme im Detail 4. Lösungsansätze 5. Ausweg Betriebsvereinbarung 6. Die geplante BDSG Novellierung

Lösungsansatz 15 Konzern DV der Königsweg, falls machbar DV im Auftrag fll falls Empfänger in einem unsicheren Drittstaat angemessenes Datenschutzniveau Übermittlung Problem: Zulässigkeitstatbestand a. EU Standardvertragsklauseln b. SafeHarbor (?) c. Corporate Binding Rules Lösung 1: Datenverarbeitung im Auftrag 16 ein Konzernunternehmen (X) wird von allen anderen Konzernunternehmen (K 1 bis K n ) beauftragt Auftrag schriftlich gemäß Vorgaben in 11 BDSG K 1 bis K n sind verantwortliche Stellen X kann auch seinen Sitz in EU / EWR haben Falls X seinen Sitz nicht in EU / EWR hat: angemessenem Datenschutzniveau herstellen Erlaubnis für Übermittlung an X erforderlich (X ist Dritter, vgl. 3 Abs. 8 Satz 3 BDSG)

Lösung 1: Datenverarbeitung im Auftrag 17 Problem: Teilweise müssen K 1 bis K n als Tochterunternehmen der Konzernmutter oder Holding Weisungen erteilen Nicht jede Konzern DV ist eine Auftrags DV! Aufsichtsbehörden: Auftragnehmer (X) darf keinen Entscheidungsspielraum haben X ist nur für Durchführung der DV zuständig Auftraggeber (K 1 bis K n ) muss auf alle Teilbereiche der DV einwirken können Keine rechtliche Beziehung zwischen X und Betroffenem Wirtschaft: Auftraggeber (verantwortliche Stelle) muss nur über Zweck und Mittel der DV gebieten, I.S. einer Gesamtverantwortung Entscheidungsvorbereitung durchx istzulässig, wenn endgültige Entscheidung beim Auftraggeber (K 1 bis K n ) Lösung 2: Übermittlung 18 Es liegt eine Übermittlung / Funktionsübertragung vor Kriterien der Auftrags DV werden überschritten Erlaubnistatbestand erforderlich. Möglichkeiten nach BDSG: a. Einwilligung illi der Betroffenen Bt b. Zulässig nach 32 BDSG c. Zulässig nach 28 Abs. 1 Nr. 2 BDSG

Lösung 2a: Übermittlung aufgrund Einwilligung 19 im Arbeitsverhältnis problematisch wg. des Machtgefälles zwischen Arbeitgeber und Arbeitnehmer Beschäftigte t müssen die freie Wahl Whlhb haben, ohne jd jeden Zweifel (vgl. auch EU DSRL) Art. 29 Datenschutzgruppe: Einwilligung kommt nicht in Betracht, wenn der Arbeitgeber Daten aufgrund des Beschäftigungsverhältnisses verarbeiten muss Lösung 2b: Übermittlung aufgrund 32 BDSG 20 Übermittlung an bzw. Verarbeitung durch andere Konzernunternehmen als der Arbeitgeber ist zulässig, soweit dies zur Durchführung des Arbeitsverhältnisses erforderlich ist bei einem Konzernbezug im Arbeitsvertrag (maßgeblich ist der individuelle Arbeitsvertrag), z.b. wenn Mitarbeiter regelmäßig mit anderen Konzernunternehmen zusammenarbeitet bittoder in anderen Konzernunternehmen arbeitet bitt beim Durchlaufen eines konzerneinheitlichen Personal entwicklungsprogramms Grundsätzlich keine Rechtfertigung einer Funktionsübertragung an ein anderes Konzernunternehmen bzgl. derdatenaller aller Beschäftigter

Lösung 2c: Übermittlung aufgrund 28 (1) 2 BDSG 21 Interessensabwägung zwischen berechtigten Interessen des Arbeitgebers und schutzwürdigen Belangen der Beschäftigten keine beliebige Erweiterung des Verarbeitungsrahmens von 32 (1) BDSG schutzwürdigebelange derbeschäftigten sindgrundsätzlichhöher höher zu werten als arbeitsteilige Zusammenarbeit im Konzern Empfänger darf Daten nur zum gleichen Zweck verarbeiten wie der Arbeitgeber selbst Weitere Maßnahmen zugunsten der Beschäftigten, z.b. konzernweites Datenschutzkonzept transparenter Verfahrensablauf Arbeitgeber bleibt Ansprechpartner für Rechte der Betroffenen, auch bzgl. Schadensersatz Frage: Noch anwendbar nach BDSG Novelle 2009? Datenschutz Ergonomie Mitbestimmung Überblick 1. Praxisbeispiele 2. Konzerne: Organisationsformen 3. Die Datenschutz Probleme im Detail 4. Lösungsansätze 5. Ausweg Betriebsvereinbarung 6. Die geplante BDSG Novellierung

Lösung 3: Erlaubnis durch BV 23 Auch eine BV ist eine Erlaubnisvorschrift i.s.v. 4(1) BDSG Konzernintern Vortrag Eine BV kann eine Übermittlung von Beschäftigtendaten an ein anderes Konzernunternehmen erlauben Lösung 3: Erlaubnis durch BV 24 Kann eine BV die Erlaubnis einer Datenverarbeitung liefern, die nach BDSG ( 32) nicht zulässig ist? BV zulässig bei Mitbestimmungstatbeständen ( 87.1.6 BetrVG) oder als freiwillige BV ( 88 BetrVG) also auch in Fällen der Konzern DV Anforderung: Recht auf Inf. Selbstbestimmung bzw. Grundsätze des BDSG dürfen nicht unterlaufen werden nicht im Einzelnen, sondern in der Summe BAG Urteil vom 27.5.86 86(BV ( BV kann zu Lasten Betroffener vom BDSG abweichen ) wird mehrheitlich abgelehnt

Lösung 3: Erlaubnis durch BV 25 Kann eine BV die Erlaubnis einer Datenverarbeitung liefern, die nach BDSG ( 32) nicht zulässig ist? Neuere BAG Entscheidungen: BV kann in RiS eingreifen, wenn berechtigtes Interesse des Arbeitgebers vorliegt, die Schutzinteressen der Betroffenen nicht überwiegen und der Eingriff in das RiS nach Art und Ausmaß verhältnismäßig ist Datenschutz Ergonomie Mitbestimmung Überblick 1. Praxisbeispiele 2. Konzerne: Organisationsformen 3. Die Datenschutz Probleme im Detail 4. Lösungsansätze 5. Ausweg Betriebsvereinbarung 6. Die geplante BDSG Novellierung

BDSG Novellierung 27 32 bis 32 l BDSG E enthalten keine Neuregelungen bzw. Privilegierung der Datenverarbeitung im Konzernverbund Bundesrat fordert Bundesregierung g auf, Fragen des Konzerndatenschutzes zu regeln im BDSG in der EU Datenschutzrichtlinie Antwort Bundesregierung: Ja... aber... später Literatur 28 2. Datenschutzrechtliche Anforderungen an innereuropäische Personal datenübermittlungen in Matrixorganisationen M. Schmidl, in: DuD 6/2009, S. 364 ff. 1. Arbeitsbericht der ad hoc Arbeitsgruppe Konzerninterner Datentransfer, Regierungspräsidium idi Darmstadt, Dezernat tdt Datenschutz, ht 2007 3. Datenverarbeitung in internationalen Konzernen H.H. Schild, M.T. Tinnefeld, in: DuD 9/2011, S. 629 ff. 4. Firmenintranet: Einführung eines unternehmensübergreifenden Konzern Telefonbuchs Unabhängiges Landeszentrum für Datenschutz Schleswig Holstein, 2002 5. Übermittlung personenbezogener Daten. Inland, EU Länder, Drittstaaten BITKOM e.v., 2008

Datenschutz Ergonomie Mitbestimmung Vielen Dank! Diskussion

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback