SlideShare une entreprise Scribd logo

Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz

Télécharger en tant que PPTX, PDF
Stephan Schmidt
Stephan Schmidt

Präsentation anlässlich der Aktuelle Stunde zum Thema Datenschutz beim Deutschen Anwaltstag 2020. Theme aktuelle Fragen zum Beschäftigtendatenschutz

Droit
1  sur  13
DSGVO und Beschäftigtendatenschutz Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht / CIPP/E @stephanschmidt
Betriebsrat und Datenschutz (1) Betriebsrat als eigene verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO? • in Art. 4 Nr. 7 Hs. 2 DSGVO nicht geregelt - die genannten Organisationsformen werden aber grundsätzlich einheitlich als Verantwortliche aufgefasst • Wortlaut des§26 I (1) BDSG spricht dafür, dass Betriebsrat und Arbeitgeber nicht zwei Verantwortliche sind • Landesdatenschutzbeauftragte beurteilen die Frage bisher uneinheitlich (Tendenz: Betriebsrat idR Verantwortlicher, Personalrat idR nicht)
Betriebsrat und Datenschutz (2) • BAG hat bisher nicht über die Frage entschieden, ob ein Betriebsrat Verantwortlicher ist • BAG (1 ABR 53/17) weist darauf hin, dass der Betriebsrat, unabhängig von seiner formalen Einordnung, seinerseits die materiellen Datenschutzbestimmungen einzuhalten hat • BAG (1 ABR 51/17) bezeichnet Erfüllung des betriebsverfassungsrechtlichen Auskunftsanspruches (§80 II 1 BetrVG) als „betriebsinterne Datenverarbeitung“ • BAG (1 ABR 53/17) räumt dem § 26 I BDSG den Vorrang vor betriebsverfassungsrechtlichen Mitwirkungsrechten ein
Betriebsrat und Datenschutz (3) • auch wenn Betriebsrat nicht selbst Verantwortlicher iSd Art. 4 Nr. 7 DSGVO ist, müssen datenschutzrechtliche Vorgaben eingehalten werden und die Datenverarbeitung durch den Betriebsrat bedarf einer Erlaubnisnorm • Lösung (Gesamt-)Betriebsvereinbarung (BV) als datenschutzrechtlicher Erlaubnistatbestand, z.B. mit folgenden Regelungen: • Betriebsrat ist nicht Verantwortlicher • Betriebsrat unterstützt Arbeitgeber bei Erfüllung der DSGVO- Verpflichtungen bei vom Betriebsrat durchgeführten Verarbeitungen • Betriebsrat hat das Recht Daten vom Arbeitgeber zu verlangen • BV als Rechtsgrundlage für Datenverarbeitungen
Videokonferenzsysteme und Datenschutz beim BR (1) • „Arbeit-von-morgen-Gesetz“ (BT-Drs. 19/18753) erklärt mit Einführung des § 129 BetrVG Beschlussfassungen des Betriebsrats mittels Videokonferenz und virtuelle Betriebsversammlungen bis zum 31.12.2020 für zulässig • für Datenverarbeitung bei digitaler Betriebsratssitzung ist Rechtsgrundlage erforderlich (z.B. Art. 6 I (1) lit. c) oder f) DSGVO, § 26 I (1) BDSG • bei mittels Videokonferenz durchgeführter Betriebsratssitzung muss sichergestellt werden, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können (§ 129 I 1 BetrVG )
Videokonferenzsysteme und Datenschutz beim BR (2) • Verbindung muss verschlüsselt sein und die Betriebsratsmitglieder müssen für Sitzung einen nichtöffentlichen Raum nutzen (BT-Drs. 19/18753, S. 28) • Aufzeichnungen sind ausdrücklich untersagt (§ 129 I 2 BetrVG) • Schutz der Daten ist also durch geeignete technische und organisatorische Maßnahmen sicherzustellen • Art. 32 I DSGVO fordert angemessenes Schutzniveau, jedoch keinen absoluten Schutz der Daten
Videokonferenzsysteme und Datenschutz (1) • Bei der Auswahl eines Dienstes sollte der Datenschutzbeauftragte involviert werden • Nach § 87 Abs. 1 Nr. 6 BetrVG muss der Betriebs- oder Personalrat beteiligt werden, da sich Konferenzdienste zur Überwachung der Mitarbeiter objektiv eignen • Betriebsvereinbarungen zur Onlinekonferenznutzung, Home-Office, Datenschutz, IT-Nutzung (Hardware und Software)
Videokonferenzsysteme und Datenschutz (2) • Wenn möglich Lösungen mit Verschlüsselung nutzen (auch wg. Geschäftsgeheimnisgesetz) • Auftragsverarbeitungsvertrag abschließen und Datenschutzniveau bei Anbietern aus Drittländern sicherstellen • Voreinstellungen datenschutzfreundlich gestalten • Dienst in Verarbeitungsverzeichnis aufnehmen • Beschäftigte und Teilnehmer*innen informieren (Art. 12 ff DSGVO) • Problem: Teilweise Intransparenz der Anbieter hinsichtlich Trackings
Home-Office und Datenschutz (1) • spezielle gesetzliche Vorschriften zu Home-Office oder mobilem Arbeiten gibt es nicht • Unternehmen ist als verantwortliche Stelle für die Einhaltung des geltenden Datenschutzrechts verantwortlich und haftet • vertragliche Regelung über die Tätigkeit im Home-Office ist zu empfehlen • es sind geeignete technische und organisatorische Maßnahmen zu treffen (Art. 24 DSGVO)
Home-Office und Datenschutz (2) • für die Arbeit im Homeoffice muss eine Datenschutzvereinbarung getroffen oder Betriebsvereinbarung geschlossen werden (mit Kontrollrecht des Arbeitgebers bzw. des Datenschutzbeauftragten) • nachträgliche Zuweisung des Arbeitsorts „Home-Office“ stellt eine Versetzung dar – unterliegt Mitbestimmung § 99 I BetrVG • Musterrichtlinie bei RA Stephan Hansen-Oest (https://www.datenschutz-guru.de/corona-virus-richtlinie-zur-heimarbeit-home-office-zum-download/ ) • Beschäftigte sollten geschult und sensibilisiert werden (z.B. mit Awareness-Kampagnen)
Home-Office (mobiles Arbeiten) und Datenschutz • Für technische Hinweise hilfreich „OPS.1.2.4 Telearbeit“ des IT- Grundschutz-Kompendium des BSI (https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_2_4_Telearbeit.html) • Checkliste • Arbeitsplatz sollte sich in einem separaten, abschließbaren Zimmer befinden • betriebliche Unterlagen sollten abgeschlossen aufbewahrt werden. • keine private Nutzung von betrieblicher IT-Ausstattung • Festplatten, USB-Sticks und sonstige externe Datenträger (sowie E-Mails) sollten verschlüsselt werden • Zugang zu Unternehmens-Systemen nur mit Zwei-Faktor-Authentifizierung • keine Weiterleitung beruflicher E-Mails an private Mailadressen • keine Entsorgung betrieblicher Unterlagen über den Hausmüll
Entscheidungen des BAG „zur" DSGVO • Videoüberwachung (noch zu BDSG), Urteil v. 23.8.2018 – 2 AZR 133/18 • Einsichtnahme in den Dienstrechner des Arbeitnehmers (noch zu BDSG), Urteil v. 31.1.2019 – 2 AZR 426/18 • Auskunftsanspruch des Betriebsrats nach § 80 II 1 BetrVG, Urteil v. 9.4.2019 – 1 ABR 51/17 • Einsichtnahme in Bruttogehaltslisten mit Klarnamen durch den Betriebsrat, Urteil v. 7.5.2019 – 1 ABR 53/17 • Einigungsstellenspruch zum betrieblichen Eingliederungsmanagement, Beschluss vom 19.11.2019 – 1 ABR 36/18 • Datenschutzbeauftragter – Sonderkündigungsschutz, Urteil v. 5.12.2019 – 2 AZR 223/19
Vielen Dank für Ihre Aufmerksamkeit. Rechtsanwalt Stephan Schmidt Fachanwalt für Informationstechnologierecht CIPP/E TCI Rechtsanwälte Isaac-Fulda-Allee 5 D-55124 Mainz Telefon: +49 - (0) 6131 - 302 90 460 E-Mail: sschmidt@tcilaw.de Internet: www.tcilaw.de Twitter: @stephanschmidt

Recommandé

Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Bernd Fuhlert
 
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert
 
Datenschutz im Personalbüro - Digitale Personalakte
Datenschutz im Personalbüro - Digitale PersonalakteDatenschutz im Personalbüro - Digitale Personalakte
Datenschutz im Personalbüro - Digitale Personalakteid-netsolutions Digital Solutions GmbH
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slidesDigicomp Academy AG
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Fujitsu Central Europe
 
Langzeitarchivierung - Warum ist Archivierung wichtig?
Langzeitarchivierung - Warum ist Archivierung wichtig?Langzeitarchivierung - Warum ist Archivierung wichtig?
Langzeitarchivierung - Warum ist Archivierung wichtig?Granikos GmbH & Co. KG
 
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeidenDatenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeidenDaniel, Hagelskamp & Kollegen
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenDamir Mrgic
 

Recommandé

Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Bernd Fuhlert
 
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhof
Bernd Fuhlert: Datenschutz im Minenfeld Archivierung_schloss-eicherhofBernd Fuhlert
 
Datenschutz im Personalbüro - Digitale Personalakte
Datenschutz im Personalbüro - Digitale PersonalakteDatenschutz im Personalbüro - Digitale Personalakte
Datenschutz im Personalbüro - Digitale Personalakteid-netsolutions Digital Solutions GmbH
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slidesDigicomp Academy AG
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Fujitsu Central Europe
 
Langzeitarchivierung - Warum ist Archivierung wichtig?
Langzeitarchivierung - Warum ist Archivierung wichtig?Langzeitarchivierung - Warum ist Archivierung wichtig?
Langzeitarchivierung - Warum ist Archivierung wichtig?Granikos GmbH & Co. KG
 
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeidenDatenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeiden
Datenschutzgrundverordnung (DSGVO) Neues Recht beachten – Strafen vermeidenDaniel, Hagelskamp & Kollegen
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenDamir Mrgic
 
Impressum & Datenschutzerklärung
Impressum & DatenschutzerklärungImpressum & Datenschutzerklärung
Impressum & DatenschutzerklärungMichael Rohrlich
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert
 
Home Office, mobiles Arbeiten & Co - Rechtliche Rahmenbedingungen
Home Office, mobiles Arbeiten & Co - Rechtliche RahmenbedingungenHome Office, mobiles Arbeiten & Co - Rechtliche Rahmenbedingungen
Home Office, mobiles Arbeiten & Co - Rechtliche RahmenbedingungenAndré Zimmermann
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Fujitsu Central Europe
 
Datenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlertDatenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlertBernd Fuhlert
 
Datenschutz im Verein
Datenschutz im VereinDatenschutz im Verein
Datenschutz im VereinChristianGohlke1
 
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandMichael Rohrlich
 
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Stephan Schmidt
 
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenOft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenStephan Schmidt
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...Symposia 360°
 
1612011[1]
1612011[1]1612011[1]
1612011[1]gullkilla
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVOMichael Rohrlich
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...Fujitsu Central Europe
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzMichael Lanzinger
 
Unternehmenshandbuch für Ordnung und Transparenz | ImmoPro Consult GmbH 2013 ...
Unternehmenshandbuch für Ordnung und Transparenz | ImmoPro Consult GmbH 2013 ...Unternehmenshandbuch für Ordnung und Transparenz | ImmoPro Consult GmbH 2013 ...
Unternehmenshandbuch für Ordnung und Transparenz | ImmoPro Consult GmbH 2013 ...Thordis Eckhardt | otexto
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Michael Rohrlich
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Raabe Verlag
 
Rechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-MarketingRechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-MarketingStephan Schmidt
 
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...Stephan Schmidt
 
Erfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der VerbraucherrechterichtlinieErfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der VerbraucherrechterichtlinieStephan Schmidt
 
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenIT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenStephan Schmidt
 
Die rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODDie rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODStephan Schmidt
 

Contenu connexe

Similaire à Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz

Impressum & Datenschutzerklärung
Impressum & DatenschutzerklärungImpressum & Datenschutzerklärung
Impressum & DatenschutzerklärungMichael Rohrlich
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert
 
Home Office, mobiles Arbeiten & Co - Rechtliche Rahmenbedingungen
Home Office, mobiles Arbeiten & Co - Rechtliche RahmenbedingungenHome Office, mobiles Arbeiten & Co - Rechtliche Rahmenbedingungen
Home Office, mobiles Arbeiten & Co - Rechtliche RahmenbedingungenAndré Zimmermann
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Fujitsu Central Europe
 
Datenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlertDatenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlertBernd Fuhlert
 
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandMichael Rohrlich
 
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Stephan Schmidt
 
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenOft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenStephan Schmidt
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...Symposia 360°
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...Fujitsu Central Europe
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzMichael Lanzinger
 
Unternehmenshandbuch für Ordnung und Transparenz | ImmoPro Consult GmbH 2013 ...
Unternehmenshandbuch für Ordnung und Transparenz | ImmoPro Consult GmbH 2013 ...Unternehmenshandbuch für Ordnung und Transparenz | ImmoPro Consult GmbH 2013 ...
Unternehmenshandbuch für Ordnung und Transparenz | ImmoPro Consult GmbH 2013 ...Thordis Eckhardt | otexto
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Michael Rohrlich
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Raabe Verlag
 

Similaire à Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz (17)

Impressum & Datenschutzerklärung
Impressum & DatenschutzerklärungImpressum & Datenschutzerklärung
Impressum & Datenschutzerklärung
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
 
Home Office, mobiles Arbeiten & Co - Rechtliche Rahmenbedingungen
Home Office, mobiles Arbeiten & Co - Rechtliche RahmenbedingungenHome Office, mobiles Arbeiten & Co - Rechtliche Rahmenbedingungen
Home Office, mobiles Arbeiten & Co - Rechtliche Rahmenbedingungen
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung...
 
Datenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlertDatenschutz 2013 bernd_fuhlert
Datenschutz 2013 bernd_fuhlert
 
Datenschutz im Verein
Datenschutz im VereinDatenschutz im Verein
Datenschutz im Verein
 
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins Ausland
 
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
Persönliche Verantwortung und Haftungsrisiken des CISO / IT-Sicherheitsbeauft...
 
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-ProjektenOft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
Oft vergessen oder vernachlässigt - Mitbestimmung bei IT-Projekten
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
 
1612011[1]
1612011[1]1612011[1]
1612011[1]
 
Grundlagen der DSGVO
Grundlagen der DSGVOGrundlagen der DSGVO
Grundlagen der DSGVO
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung -...
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
 
Unternehmenshandbuch für Ordnung und Transparenz | ImmoPro Consult GmbH 2013 ...
Unternehmenshandbuch für Ordnung und Transparenz | ImmoPro Consult GmbH 2013 ...Unternehmenshandbuch für Ordnung und Transparenz | ImmoPro Consult GmbH 2013 ...
Unternehmenshandbuch für Ordnung und Transparenz | ImmoPro Consult GmbH 2013 ...
 
Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?Datenschutz-Management-System - warum, was wie?
Datenschutz-Management-System - warum, was wie?
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
 

Plus de Stephan Schmidt

Rechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-MarketingRechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-MarketingStephan Schmidt
 
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...Stephan Schmidt
 
Erfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der VerbraucherrechterichtlinieErfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der VerbraucherrechterichtlinieStephan Schmidt
 
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenIT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenStephan Schmidt
 
Die rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODDie rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODStephan Schmidt
 
Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenSpielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenStephan Schmidt
 
Google Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenGoogle Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenStephan Schmidt
 
Quellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestaltenQuellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestaltenStephan Schmidt
 
Neues im Computerstrafrecht
Neues im ComputerstrafrechtNeues im Computerstrafrecht
Neues im ComputerstrafrechtStephan Schmidt
 
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...Stephan Schmidt
 

Plus de Stephan Schmidt (11)

Rechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-MarketingRechtliche Herausforderungen im Online-Marketing
Rechtliche Herausforderungen im Online-Marketing
 
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
Apfelkind, Alphabet und Kraftwerk – Auf was man bei der Namenswahl achten s...
 
Erfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der VerbraucherrechterichtlinieErfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
Erfahrungen mit der vertraglichen Umsetzung der Verbraucherrechterichtlinie
 
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für UnternehmenIT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
IT-Rechtliche Anforderungen - Haftungsfallen für Unternehmen
 
Die rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYODDie rechtlichen Rahmenbedingungen von BYOD
Die rechtlichen Rahmenbedingungen von BYOD
 
Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhaltenSpielverderber Juristen? Sich in Social Media rechtssicher verhalten
Spielverderber Juristen? Sich in Social Media rechtssicher verhalten
 
Social Media & Recht
Social Media & RechtSocial Media & Recht
Social Media & Recht
 
Google Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzenGoogle Analytics und Co. datenschutzkonform umsetzen
Google Analytics und Co. datenschutzkonform umsetzen
 
Quellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestaltenQuellcodehinterlegung richtig gestalten
Quellcodehinterlegung richtig gestalten
 
Neues im Computerstrafrecht
Neues im ComputerstrafrechtNeues im Computerstrafrecht
Neues im Computerstrafrecht
 
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
Richtlinie über Rechte der Verbraucher - kommt das einheitliche europäische F...
 

Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz

  • 1. DSGVO und Beschäftigtendatenschutz Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht / CIPP/E @stephanschmidt
  • 2. Betriebsrat und Datenschutz (1) Betriebsrat als eigene verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO? • in Art. 4 Nr. 7 Hs. 2 DSGVO nicht geregelt - die genannten Organisationsformen werden aber grundsätzlich einheitlich als Verantwortliche aufgefasst • Wortlaut des§26 I (1) BDSG spricht dafür, dass Betriebsrat und Arbeitgeber nicht zwei Verantwortliche sind • Landesdatenschutzbeauftragte beurteilen die Frage bisher uneinheitlich (Tendenz: Betriebsrat idR Verantwortlicher, Personalrat idR nicht)
  • 3. Betriebsrat und Datenschutz (2) • BAG hat bisher nicht über die Frage entschieden, ob ein Betriebsrat Verantwortlicher ist • BAG (1 ABR 53/17) weist darauf hin, dass der Betriebsrat, unabhängig von seiner formalen Einordnung, seinerseits die materiellen Datenschutzbestimmungen einzuhalten hat • BAG (1 ABR 51/17) bezeichnet Erfüllung des betriebsverfassungsrechtlichen Auskunftsanspruches (§80 II 1 BetrVG) als „betriebsinterne Datenverarbeitung“ • BAG (1 ABR 53/17) räumt dem § 26 I BDSG den Vorrang vor betriebsverfassungsrechtlichen Mitwirkungsrechten ein
  • 4. Betriebsrat und Datenschutz (3) • auch wenn Betriebsrat nicht selbst Verantwortlicher iSd Art. 4 Nr. 7 DSGVO ist, müssen datenschutzrechtliche Vorgaben eingehalten werden und die Datenverarbeitung durch den Betriebsrat bedarf einer Erlaubnisnorm • Lösung (Gesamt-)Betriebsvereinbarung (BV) als datenschutzrechtlicher Erlaubnistatbestand, z.B. mit folgenden Regelungen: • Betriebsrat ist nicht Verantwortlicher • Betriebsrat unterstützt Arbeitgeber bei Erfüllung der DSGVO- Verpflichtungen bei vom Betriebsrat durchgeführten Verarbeitungen • Betriebsrat hat das Recht Daten vom Arbeitgeber zu verlangen • BV als Rechtsgrundlage für Datenverarbeitungen
  • 5. Videokonferenzsysteme und Datenschutz beim BR (1) • „Arbeit-von-morgen-Gesetz“ (BT-Drs. 19/18753) erklärt mit Einführung des § 129 BetrVG Beschlussfassungen des Betriebsrats mittels Videokonferenz und virtuelle Betriebsversammlungen bis zum 31.12.2020 für zulässig • für Datenverarbeitung bei digitaler Betriebsratssitzung ist Rechtsgrundlage erforderlich (z.B. Art. 6 I (1) lit. c) oder f) DSGVO, § 26 I (1) BDSG • bei mittels Videokonferenz durchgeführter Betriebsratssitzung muss sichergestellt werden, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können (§ 129 I 1 BetrVG )
  • 6. Videokonferenzsysteme und Datenschutz beim BR (2) • Verbindung muss verschlüsselt sein und die Betriebsratsmitglieder müssen für Sitzung einen nichtöffentlichen Raum nutzen (BT-Drs. 19/18753, S. 28) • Aufzeichnungen sind ausdrücklich untersagt (§ 129 I 2 BetrVG) • Schutz der Daten ist also durch geeignete technische und organisatorische Maßnahmen sicherzustellen • Art. 32 I DSGVO fordert angemessenes Schutzniveau, jedoch keinen absoluten Schutz der Daten
  • 7. Videokonferenzsysteme und Datenschutz (1) • Bei der Auswahl eines Dienstes sollte der Datenschutzbeauftragte involviert werden • Nach § 87 Abs. 1 Nr. 6 BetrVG muss der Betriebs- oder Personalrat beteiligt werden, da sich Konferenzdienste zur Überwachung der Mitarbeiter objektiv eignen • Betriebsvereinbarungen zur Onlinekonferenznutzung, Home-Office, Datenschutz, IT-Nutzung (Hardware und Software)
  • 8. Videokonferenzsysteme und Datenschutz (2) • Wenn möglich Lösungen mit Verschlüsselung nutzen (auch wg. Geschäftsgeheimnisgesetz) • Auftragsverarbeitungsvertrag abschließen und Datenschutzniveau bei Anbietern aus Drittländern sicherstellen • Voreinstellungen datenschutzfreundlich gestalten • Dienst in Verarbeitungsverzeichnis aufnehmen • Beschäftigte und Teilnehmer*innen informieren (Art. 12 ff DSGVO) • Problem: Teilweise Intransparenz der Anbieter hinsichtlich Trackings
  • 9. Home-Office und Datenschutz (1) • spezielle gesetzliche Vorschriften zu Home-Office oder mobilem Arbeiten gibt es nicht • Unternehmen ist als verantwortliche Stelle für die Einhaltung des geltenden Datenschutzrechts verantwortlich und haftet • vertragliche Regelung über die Tätigkeit im Home-Office ist zu empfehlen • es sind geeignete technische und organisatorische Maßnahmen zu treffen (Art. 24 DSGVO)
  • 10. Home-Office und Datenschutz (2) • für die Arbeit im Homeoffice muss eine Datenschutzvereinbarung getroffen oder Betriebsvereinbarung geschlossen werden (mit Kontrollrecht des Arbeitgebers bzw. des Datenschutzbeauftragten) • nachträgliche Zuweisung des Arbeitsorts „Home-Office“ stellt eine Versetzung dar – unterliegt Mitbestimmung § 99 I BetrVG • Musterrichtlinie bei RA Stephan Hansen-Oest (https://www.datenschutz-guru.de/corona-virus-richtlinie-zur-heimarbeit-home-office-zum-download/ ) • Beschäftigte sollten geschult und sensibilisiert werden (z.B. mit Awareness-Kampagnen)
  • 11. Home-Office (mobiles Arbeiten) und Datenschutz • Für technische Hinweise hilfreich „OPS.1.2.4 Telearbeit“ des IT- Grundschutz-Kompendium des BSI (https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_2_4_Telearbeit.html) • Checkliste • Arbeitsplatz sollte sich in einem separaten, abschließbaren Zimmer befinden • betriebliche Unterlagen sollten abgeschlossen aufbewahrt werden. • keine private Nutzung von betrieblicher IT-Ausstattung • Festplatten, USB-Sticks und sonstige externe Datenträger (sowie E-Mails) sollten verschlüsselt werden • Zugang zu Unternehmens-Systemen nur mit Zwei-Faktor-Authentifizierung • keine Weiterleitung beruflicher E-Mails an private Mailadressen • keine Entsorgung betrieblicher Unterlagen über den Hausmüll
  • 12. Entscheidungen des BAG „zur" DSGVO • Videoüberwachung (noch zu BDSG), Urteil v. 23.8.2018 – 2 AZR 133/18 • Einsichtnahme in den Dienstrechner des Arbeitnehmers (noch zu BDSG), Urteil v. 31.1.2019 – 2 AZR 426/18 • Auskunftsanspruch des Betriebsrats nach § 80 II 1 BetrVG, Urteil v. 9.4.2019 – 1 ABR 51/17 • Einsichtnahme in Bruttogehaltslisten mit Klarnamen durch den Betriebsrat, Urteil v. 7.5.2019 – 1 ABR 53/17 • Einigungsstellenspruch zum betrieblichen Eingliederungsmanagement, Beschluss vom 19.11.2019 – 1 ABR 36/18 • Datenschutzbeauftragter – Sonderkündigungsschutz, Urteil v. 5.12.2019 – 2 AZR 223/19
  • 13. Vielen Dank für Ihre Aufmerksamkeit. Rechtsanwalt Stephan Schmidt Fachanwalt für Informationstechnologierecht CIPP/E TCI Rechtsanwälte Isaac-Fulda-Allee 5 D-55124 Mainz Telefon: +49 - (0) 6131 - 302 90 460 E-Mail: sschmidt@tcilaw.de Internet: www.tcilaw.de Twitter: @stephanschmidt

Notes de l'éditeur

  1. BR ist Interessenvertretung mit Oppositionsfunktion, PR ist Mitverwaltung in Kooperation