DSGVO für Personalverantwortliche

DSGVO
Lesezeit: 10 Minuten

Wann ist die Verarbeitung von Mitarbeiterdaten rechtmäßig?

Datenschutz nach der Datenschutz-Grundverordnung (DSGVO) dient dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Mit “Verarbeitung” legt der Artikel 6 der DSGVO fest, dass die Verarbeitung rechtmäßig ist, wenn mindestens eine der folgenden Bedingungen (vorzugsweise für Mitarbeiter) erfüllt ist:

 

1. Die betroffene Person hat ihre Einwilligung für bestimmte Zwecke erteilt. Zum Beispiel willigt ein Mitarbeiter in die Verwendung von Fotografien auf der Internetseite des Arbeitgebers ein. Eine Einwilligung ist nur dann rechtmäßig, wenn Ihr Mitarbeiter dies freiwillig tut. Jede Form von Druck, Zwang oder Verpflichtung führt deshalb zur Unwirksamkeit der Einwilligung. Damit eine Einwilligung wirksam ist, müssen die gesetzlichen Anforderungen an eine Einwilligungserklärung erfüllt sein, wie zum Beispiel in einer Vertraulichkeitserklärung als Anlage zum Arbeitsvertrag.

yes

 

2. Die Daten werden für die Abwicklung eines Auftrages benötigt. Zum Beispiel beim Werksverkauf von Waren (Automobile) und von Dienstleistungen (Reisen, Handyverträge) werden Kontakt- und Zahlungsdaten im Rahmen eines Kunden-Auftrages verarbeitet.

Auftrag

 

3. Gesetzliche Verpflichtungen erfordern die Aufbewahrung. Zum Beispiel bei dem Abschluss eines Arbeitsvertrages. Dementsprechend werden Personendaten (Name, Geburtsdatum, Anschrift), Kontodaten für die Gehaltszahlung,  Krankenversicherungsnummer für die Abführung des Arbeitgeberanteils, Steueridentifikationsnummer und Sozialversicherungsnummer verarbeitet.

Vertrag

 

Mittlerweile schon ein „alter Hut“: Die neuen Regeln der DSGVO gelten für alle Unternehmen, die Daten von ihren Mitarbeitern verarbeiten. Besonders Personalverantwortliche, die tagtäglich mit sensiblen Daten arbeiten, mussten einige Änderungen vornehmen. Denn Verstöße gegen die Bestimmungen können Sanktionen bis zu 20 Mio. EURO (vgl. Artikel 83 DSGVO) nach sich ziehen. In diesem Beitrag geht es darum, worauf Personalverantwortliche im Zuge der europäischen Datenschutz Grundverordnung achten sollten. Unter dem Strich werden die die Pflichten des Arbeitgebers erhöht und die Rechte der Arbeitnehmer gestärkt. Informationspflicht, Auskunftsrecht, Recht auf Berichtigung und Löschung sehen vor, dass Mitarbeiter Hoheit über ihre Daten erhalten.

 

Ist die Einwilligung Ihrer Mitarbeiter wirklich erforderlich?

Ihre Mitarbeiter müssen wissen, ob und zu welchem Zweck Sie als Arbeitgeber personenbezogene Daten nutzen. Beispiele für personenbezogene Daten sind: Name, Geburtsdatum, Anschrift, Kontodaten, u.v.m. Allerdings dürfen Sie als Personalverantwortlicher nur personenbezogene Daten verarbeiten, wenn der betroffene Mitarbeiter seine Einwilligung erteilt hat (z.B. als Anlage zum Arbeitsvertrag oder einer Vertraulichkeitserklärung) oder eine andere gesetzliche Grundlage hierfür greift.

Diese andere gesetzliche Grundlage ist im Art. 6 DSGVO (Rechtmäßigkeit der Verarbeitung), Art. 88 DSGVO (Datenverarbeitung im Beschäftigungskontext) und im § 26 BDSG-neu (Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses) festgelegt. Hiernach dürfen grundsätzlich nur solche personenbezogenen Daten vom Arbeitgeber erhoben, verarbeitet und genutzt werden, die für die Aufnahme, Durchführung und Beendigung eines Beschäftigungsverhältnisses unerlässlich sind. Hierzu zählen vor allem:

Name, Vorname:
Geburtsdatum:
Anschrift:
Telefonnummer:
Kontodaten: 
Sozialversicherungsnummer:
Steueridentifikationsnummer:

 

Welche Gründe gibt es für die spezifische Einwilligung von Personaldaten?

Obwohl die Einwilligung zur Speicherung von Personaldaten seit vielen Jahren erforderlich ist, muss nach der DSGVO eine spezifischere Einwilligung erfolgen. Welche Gründe kann es zum Beispiel für solche eine Einwilligung geben?

1. Beispiel: Ihr Unternehmen erlaubt jedem Mitarbeiter die private Nutzung des Internets. Das bedeutet, Ihre Mitarbeiter erklären sich damit einverstanden, dass in diesem Zusammenhang bestimmte personenbezogene Daten verarbeitet werden.

2. Beispiel: Für Bewerber, für die aktuell keine geeignete Stelle vorhanden ist, bieten Sie an, die jeweiligen Daten zu speichern, damit diese für eine zukünftig freie Stelle berücksichtigt werden können.

3. Beispiel: Ihr Mitarbeiter erklärt sich einverstanden, dass seine Qualifikationen und Erfahrungen in eine interne Datenbank (digitale Personalakte oder Employee Self Service) aufgenommen werden, um an Qualifizierungs- und Fördermaßnahmen teilzunehmen.

 

Welche Inhalte muss eine Einwilligungserklärung für Ihre Mitarbeiter haben?

Damit eine Einwilligung wirksam ist, müssen die gesetzlichen Anforderungen an eine Einwilligungserklärung erfüllt sein. Für Unternehmen gelten die Vorschriften nach Artikel 7 DSGVO (Bedingungen für die Einwilligung), die durch § 51 BDSG-neu (Einwilligung) ergänzt werden. Eine Einwilligung ist nur dann rechtmäßig, wenn Ihr Mitarbeiter dies freiwillig tut. Jede Form von Druck, Zwang oder Verpflichtung führt deshalb zur Unwirksamkeit der Einwilligung. Welchen Inhalt müssen Einwilligungserklärungen haben?

inhalt

1. Sie als Unternehmen müssen Ihre Identität offenlegen (Angabe des Namens bzw. der Firma).

2. Sie müssen darlegen, welche Daten vom Mitarbeiter erhoben werden (z.B. Adressdaten, Kontodaten).

3. Es muss der Zweck genannt werden, warum die Daten für Ihre Mitarbeiter verarbeitet werden (z.B. Personalentwicklung).

4. Weisen Sie auf das Widerrufsrecht hin! Ihr Mitarbeiter hat die Einwilligung freiwillig erklärt und kann sie jederzeit mit Wirkung für die Zukunft widerrufen. Sie müssen also angeben, in welcher Form (Textform) und an welche Adresse (Postanschrift, E-Mail-Adresse) der Widerruf zu richten ist.

5. Die Angaben müssen verständlich und in klarer, einfacher Sprache formuliert werden. Sie müssen so konkret und so umfassend sein, dass sich Ihr Mitarbeiter darüber ein Bild machen kann, was mit seinen Daten passiert.

 

Welche Rechte haben Ihre Mitarbeiter nach der DSGVO?

 

1. Das Recht auf Auskunft nach Artikel 15 DSGVO

Dabei handelt es sich um ein allgemeines Auskunftsrecht für Ihre Mitarbeiter. Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht jederzeit von dem für die Verarbeitung Verantwortlichen unentgeltliche Auskunft über die zu seiner Person gespeicherten personenbezogenen Daten und eine Kopie dieser Auskunft zu erhalten. Machen Ihre Mitarbeiter von diesem Auskunftsrecht Gebrauch, müssen Sie als Ar­beit­ge­ber folgende Informationen of­fen­le­gen:

  • zu wel­chen Zwe­cken Sie die Da­ten Ihres Mitarbeiters ver­ar­bei­ten,
  • wel­che Art von Da­ten ver­ar­bei­tet wer­den,
  • wer Ein­sicht in die Da­ten erhält,
  • wie lan­ge die Da­ten vor­aus­sicht­lich ge­spei­chert wer­den,
  • wel­che Rech­te Ihre Mitarbeiter in Be­zug auf die Da­ten haben,
  • wie Sie als Ar­beit­ge­ber an die Da­ten ge­langt ist, falls sich nicht di­rekt von Mitarbeiter mit­ge­teilt wur­den, und
  • ob ei­ne au­to­ma­ti­sier­te Ent­schei­dungs­fin­dung (ein­sch­ließlich Pro­filing) statt­fin­det.

 

Auskunft

Jeder Mitarbeiter darf also, die zu seiner Person gespeicherten Daten – und damit auch Ihre Personalakte – jederzeit einsehen. Die Inhalte muss der Arbeitgeber streng vertrauliche behandeln. Bitte geben Sie Ihren Mitarbeitern auch die Gelegenheit Postalisch oder per E-Mail ihr Auskunftsersuchen an Sie zu richten. Demzufolge sind Sie als Arbeitgeber auf der sicheren Seite, weil Sie es schriftlich nachweisen können.  Ein mögliches Antwortschreiben könnte wie folgt aussehen:

“Wir haben Ihren Antrag auf Auskunft, welche Ihre Person betreffende personenbezogene Daten in unserem Unternehmen verarbeitet werden, am (Datum) erhalten. Innerhalb der gesetzlichen Frist von einem Monat (Artikel 12 DSGVO) kommen wir hiermit Ihrem Antrag nach. Wir verarbeiten folgende Daten zu Ihrer Person: (Es folgt eine Auslistung mit den konkret verarbeiteten Daten). Diese werden zu folgenden Zwecken verarbeitet: (Es folgt eine Aufzählung der Zwecke einschließlich Rechtsgrundlagen). Die Daten werden an folgende Empfänger übermittelt: (Es folgt eine Auflistung aller Empfänger). Wir speichern Ihre Daten: Es folgt die Dauer der gespeicherten Daten. Rechtsbelehrung: Ihnen stehen gegen die Verarbeitung der o.g. Daten grundsätzlich die Rechte auf Berichtigung, Löschung, Einschränkung und Widerspruch zu. Falls Sie diese in Anspruch nehmen möchten, wenden Sie sich bitte schriftlich an mich/uns.”

Un­abhängig vom Be­ste­hens ei­nes Aus­kunfts­an­spruchs be­inhal­tet Art.13 DS-GVO ei­ne um­fang­rei­che Lis­te von Pflicht­in­for­ma­tio­nen, die der Ar­beit­neh­mer schon zum Zeit­punkt der Da­ten­er­he­bung er­hal­ten muss.

 

2. Das Recht auf Berichtigung nach Artikel 16 DSGVO

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, jederzeit die unverzügliche Berichtigung seiner personenbezogenen Daten zu verlangen. Übrigens gilt das auch, wenn das Arbeitsverhältnis gelöst wird. Sinnvoll ist es als Arbeitgeber zum Beispiel Ihren Mitarbeitern ein Online-Formular im Rahmen eines Employee Self Service anzubieten, damit diese ihre Daten automatisiert berichtigen können. Per E-Mail oder postalisch ist das selbstverständlich auch möglich.

 

3. Das Recht auf Löschung nach Artikel 17 DSGVO

löschJede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern die Verarbeitung nicht erforderlich ist. Danach sind die personenbezogenen Daten zu löschen, soweit nicht gesetzliche Aufbewahrungsfristen (z.B. aus dem Steuerrecht) die Speicherung erlauben. Nach Beendigung des Arbeitsverhältnisses ist die Aufbewahrung von Unterlagen nur beschränkt zulässig. So zum Beispiel, wenn die Unterlagen einer gesetzliche Frist zur Aufbewahrung unterliegen. Hier einige Praxisbeispiele:

  • Nach Austritt hat der Arbeitnehmer drei Jahre Zeit(§195 des BGB), um einen Schadensersatzanspruch geltend zu machen. Zum Beispiel ein zustehender Urlaubsanspruch, der durch den Betrieb nicht stattgegeben werden konnte.
  • Wenn die Unterlagen aus den Personalakten steuerlich relevant sind, müssen die Arbeitgeber eine Aufbewahrungsfrist von 6  und 10 Jahren  (§ 147 AO) einhalten. Alle Unterlagen aus den Personalakten, die zum Beispiel für die Gewinnermittlung gebraucht werden, müssen daher in dem Betrieb aufgehoben werden.
  • Bei einem Versorgungsanspruch aus dem Arbeitsverhältnis in Verbindung mit einem Rentenversicherungsträger verjähren diese Ansprüche 30 Jahren (§ 197 BGB). Von daher ist es gut, wenn die Unterlagen aus der Personalakte de Arbeitnehmers über diesen Zeitraum aufgehoben werden.

In diesen Fällen erhält die betroffene Person, welche ihre Daten löschen lassen möchte folgenden Hinweis: “Wir dürfen folgende Daten (…) nicht löschen, denn das wäre für unser Unternehmen nicht zumutbar, weil wir in diesem Fall unsere steuerrechtlichen Pflichten nicht erfüllen können.“

 

4. Das Recht auf Widerspruch gegen die Verarbeitung nach Art. 21 DSGVO

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender personenbezogener Daten Widerspruch einzulegen. Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet. Unter dem Strich darf der Arbeitgeber die personenbezogenen Daten seines Mitarbeiters nicht für werbliche Zwecke verwenden.

 

5. Das Recht auf Widerruf der Einwilligung nach Artikel 6 DSGVO

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, eine Einwilligung zur Verarbeitung personenbezogener Daten jederzeit zu widerrufen. Möchte die betroffene Person ihr Recht auf Widerruf einer Einwilligung geltend machen, kann sie sich hierzu jederzeit an dem Datenschutzbeauftragten des Arbeitgebers wenden. Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat die betroffene Person das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widerspricht die betroffene Person der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet. Unter dem Strich darf der Arbeitgeber die personenbezogenen Daten seines Mitarbeiters nicht für werbliche Zwecke verwenden.

 

6. Das Recht auf Einschränkung der Verarbeitung nach Artikel 18 DSGVO

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, von dem Verantwortlichen die Einschränkung der Verarbeitung zu verlangen. Die ist der Fall, wenn die betroffene Person den Widerspruch oder den Widerruf prüfen möchte. Zum Beispiel wenn die betroffene Person eine Rückmeldung erhält: „Wir brauchen mehr als einen Monat Zeit für die Prüfung.“  Während dieser Übergangszeit hat die betroffene Person den Anspruch, dass die Verarbeitung seiner Daten eingeschränkt wird. Als Übergangslösung sozusagen.

 

7. Das Recht auf Datenübertragbarkeit nach Artikel 20 DSGVO

Jede von der Verarbeitung personenbezogener Daten betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, welche durch die betroffene Person einem Verantwortlichen bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Zur Geltendmachung des Rechts auf Datenübertragbarkeit kann sich die betroffene Person jederzeit an den Datenschutzbeauftragten des Arbeitgebers wenden, um zum Beispiel seine Daten im CSV-Format zu verlangen.

 

Was sagt die DSGVO bei bei Krankmeldung des Mitarbeiters?

Für Ihre Mitarbeiter besteht ein Recht auf Zurückhaltung von sensiblen Daten. Wenn diese zum Beispiel arbeitsunfähig krankgeschrieben werden, dürfen Sie als Arbeitgeber in aller Regel nicht den genauen Grund der Krankschreibung verlangen.

Gesundheits- bzw. Krankheitsdaten fallen unter der Bezeichnung “besondere Kategorien personenbezogener Daten” nach § 46 Nr. 13 BDSG, sowie in Artikel 9 DSGVO und sind besonders schützenswerte Daten, welche deshalb auch besonders sensibel behandelt werden müssen.

krank

 

Wann haben Ihre Mitarbeiter das Recht zur Lüge im Sinne der DSGVO?

Als Arbeitgeber möchten Sie zum Beispiel die Eignung eines Stellenbewerbers auf einen Arbeitsplatz möglichst genau und umfassend feststellen oder personenbezogene Daten im Personalfragebogen bzw. bei Mitarbeiterbefragungen verarbeiten. Bewerber und Mitarbeiter möchten auf der anderen Seite vielleicht nicht alle Einzelheiten ihres Charakters und ihrer Privatsphäre preisgeben. Davor schützt das so genannte allgemeine Persönlichkeitsrecht und die Menschenwürde nach Art. 1 Abs. 1 Grundgesetz: „freie Entfaltung der Persönlichkeit“. Zusätzlich ist in § 1 AGG ist geregelt, weswegen eine Benachteiligung der Bewerber / Mitarbeiter nicht erfolgen darf, nämlich:

… wegen des Geschlechts (z.B. Schwangerschaft), … wegen einer Behinderung im Sinne des § 2 Abs. 1 SGB IX (z.B. Gesundheitszustand), … wegen des Alters (z.B. Geburtsdatum), … wegen der Rasse oder ethnischen Herkunft (z.B. Geburtsort), … wegen der Religion oder Weltanschauung, … wegen der sexuellen Identität (z.B. Vereinbarkeit von Familie und Beruf).

 

Im Zusammenhang mit dem Grundgesetz orientiert sich das Fragerecht und die damit verbundene Abwägung auch an Art. 6 Abs. 1 f) der DSGVO. So dürfen zum Beispiel Fragen nach beruflichen und fachlichen Fähigkeiten, Kenntnissen und Erfahrungen sowie nach bisherigem beruflichem Werdegang, nach Prüfungs- und Zeugnisnoten uneingeschränkt gestellt werden. Zulässige Fragen sind zum Beispiel:

  • Frage nach dem schulischen und beruflichen Werdegang
  • Frage nach den Noten der Abschlussprüfung
  • Frage nach besonderen Kenntnissen und Qualifizierungen
  • Frage nach bestehenden Nebentätigkeiten
  • Frage nach bestehenden Wettbewerbsverbot
  • Frage nach der gesundheitlichen Eignung für die Stelle
  • Frage nach einer drohenden Haftstrafe nach Verurteilung
  • Frage nach Einzelheiten der früheren Tätigkeiten
  • Frage nach zeitlicher Flexibilität und Versetzungsbereitschaft

Bei zulässigen Fragen, die vom Bewerber falsch beantwortet wurden, haben Sie als Arbeitgeber das Recht den Arbeitsvertrag wegen arglistiger Täuschung nach § 123 BGB anzufechten. Dadurch wir der Arbeitsvertrag nachträglich von Anfang an unwirksam. Alternativ können Sie auch den Arbeitsvertrag fristlos nach § 626 BGB kündigen.

 

lügen

  • Sind Sie Single?
  • Was macht Ihr Partner von Beruf?
  • Sind Sie schwanger?
  • Haben Sie eine Behinderung?
  • Sind Sie religiös?
  • Wofür geben Sie Ihr Geld aus?
  • Gehören Sie einer Partei an?
  • Haben Sie eine bestimmte Krankheit?
  • Waren Sie mal im Gefängnis?
  • Wie steht es um Ihr Sexualleben?
  • Wie steht es mit Ihrem Kinderwunsch?
  • Sind Sie schon einmal verschuldet gewesen?

Bei unzulässigen Fragen hat der Bewerber das Recht die Aussage zu Verweigern oder das Recht auf Lüge. Sie als Arbeitgeber können dann weder anfechten, noch kündigen.

 

Wie müssen die Daten Ihrer Mitarbeiter dokumentiert werden?

Nach Art. 30 DSGVO  muss je­der, der per­so­nen­be­zo­ge­ne Da­ten ver­ar­bei­tet, ein sog. Ver­zeich­nis von Ver­ar­bei­tungstätig­kei­ten an­le­gen. In diesem Verzeichnis müssen Sie als Arbeitgeber dokumentieren, wer in Ihrem Unternehmen mit der Verarbeitung personenbezogener Daten betraut ist. Außerdem enthält dieses Verzeichnis Hinweise auf zum Beispiel die Art der Daten und auf Externe, die diese Daten weiterverarbeiten. Das Verzeichnis beantworten Fragen wie zum Beispiel:

  • Wer hat Zugang zu unseren Geschäftsräumen?
  • Wer hat Zugriff auf unsere EDV?
  • Wie sind unsere PC`s und einzelne Programme gesichert?
  • Welche externen Speichermedien gibt es?

Dieses Verarbeitungsverzeichnis sollten Sie in digitaler und in Papierform führen. Es soll soll alle Ver­ar­bei­tungs­ver­fah­ren mit den Pflicht­an­ga­ben aus Art. 30 Abs. 1 DSGVO enthalten. Die­se Pflicht trifft auch kleine Ar­beit­ge­ber, auf­grund der re­gelmäßigen Ver­ar­bei­tung von Lohn- und Ge­halts­da­ten, da die Aus­nah­me­re­ge­lung des Art. 30 Abs. 5 DSGVO im Ar­beits­recht kei­nen An­wen­dungs­be­reich hat. Dieser Artikel besagt nämlich, dass die Dokumentationspflicht nicht für Unternehmen gilt, die weniger als 250 Mitarbeiter beschäftigen. Allerdings heißt es weiter, „Pflicht gilt nicht (…) es sei denn, (…) die Verarbeitung erfolgt nicht nur gelegentlich“.

 

Was genau müssen Sie im Verarbeitungsverzeichnis dokumentieren?

dokumentieren

1. Name und Kontaktdaten des verantwortlichen Ansprechpartners (GF, Personalleitung)

2. Zweck der Verarbeitung (Personalführung, Personalbeschaffung, Arbeitszeitverwaltung)

3. Kategorie betroffener Personen (Beschäftigte, Auszubildende, Bewerber)

4. Kategorien von personenbezogenen Daten (Name, Anschrift, Telefonnummern, Lebenslauf)

5. Kategorien von Empfängern der Daten (bei der Lohnbuchhaltung der Steuerberater)

6. Rechtsgrundlage für die Datenerhebung (z.B. zur Durchführung des Arbeitsvertrags)

7. Übermittlung in Drittland? (Beachte: privacy shield und Auftragsverarbeitungsvertrag)

8. Löschfristen (z.B. Beschäftigendaten in der Regel drei Jahre nach Ausscheiden)

9. Liste getroffener technischer u. organisatorischer Maßnahmen zum Datenschutz

10. Datenschutzbeauftragter (Name, Vorname und Kontaktdaten des DSB)

11. Zuständige Aufsichtsbehörde (Meldung des DSB erfolgt?)

 

Welche technischen und organisatorischen Maßnahmen müssen Sie treffen?

Als Arbeitgeber sind Sie verpflichtet, Maßnahmen auf dem Stand der Technik zu ergreifen, um den Risiken zu begegnen, die mit der Datenverarbeitung einhergehen. § 64 Bundesdatenschutzgesetz zählt zahlreiche Maßnahmen auf, die zu berücksichtigen sind. Gerade bei der automatisierten Verarbeitungen lassen sich folgende Maßnahmen zusammenfassen:

Zugangskontrolle (zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können) 
Datenträgerkontrolle (Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern) 
Speicherkontrolle (Verhinderung der unbefugten Eingabe Veränderung, Löschung von personenbezogenen Daten) 
Benutzerkontrolle (Verhinderung der Nutzung automatisierter Verarbeitungssysteme durch Unbefugte) 
Zugriffskontrolle (Gewährleistung, dass nur die Berechtigten den Zugang zu den personenbezogenen Daten haben) 
Übertragungskontrolle (An welche Stellen werden personenbezogene Daten übermittel?) 
Eingabekontrolle (Welche personenbezogenen Daten wurden zu welcher Zeit von wem eingegeben?) 
Transportkontrolle (Schutz der Vertraulichkeit bei der Übermittlung und Transport personenbezogener Daten) 
Wiederherstellbarkeit (Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können) 
Zuverlässigkeit (Alle Funktionen des Systems müssen zur Verfügung stehen und Fehlfunktionen gemeldet werden) 
Datenintegrität (Fehlfunktionen des Systems sollen die gespeicherte personenbezogene Daten nicht beschädigen)
Auftragskontrolle (personenbezogene Daten nur im Auftrag des Auftraggebers verarbeiten)
Verfügbarkeitskontrolle (Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind)
Trennbarkeit (zu unterschiedlichen Zwecken erhobene personenbezogene Daten sollen getrennt verarbeitet werden)

 

In welchen Fällen brauchen Sie ein Auftragsdatenverarbeitungsvertrag?

Eine Auftragsverarbeitung liegt vor, wenn Sie als Arbeitgeber zwar personenbezogene Daten für Ihre Zwecke nutzen, die tatsächliche Verarbeitung und Aufbereitung dieser Daten aber nicht
selbst durchführen, sondern von einem Dienstleister vornehmen lassen. Ihr Dienstleister verarbeitet dann die Daten für und in Ihrem Auftrag. Dies ist z.B. bei Anbietern von CloudLösungen der Fall, die auf ihren Servern Daten speichern. Dasselbe gilt für Lohnbuchhaltungsanbieter, die für den Betrieb die Lohnbuchhaltung erstellen und dabei z.B. Mitarbeiterdaten verarbeiten. Wenn Sie also personenbezogene Daten an externe Dienstleister (Lohnbuchhaltung, Online-Tools für Urlaubsplanung, Reiskostenabrechung, digitale Personalakte online, etc.) weitergegeben, dann müssen Sie mit diesen Dienstleistern nach Art. 28 DSGVO ein Auftragsdatenverarbeitungsvertrag abschließen. Diese Auftragsdatenverarbeitungsverträge stellen sicher, dass mit den weitergegebenen Daten sorgsam umgegangen wird. Wichtig! Bei Datenschutzverstößen haften Auftragsverarbeiter und Verantwortlicher gemeinsam.

Art. 28 DSGVO beschreibt zahlreiche Mindestanforderung an den Inhalt einer Auftragsverarbeitung. Dies betrifft insbesondere folgende Aspekte:

  • Gegenstand des Auftrags
  • Dauer des Auftrags
  • Zweck der Datenverarbeitung
  • Art der zu verarbeitenden Daten
  • Kategorien der betroffenen Personen
  • Ergreifung der erforderlichen technischen und organisatorischen Maßnahmen
  • Umfang der Weisungsbefugnisse
  • Rückgabe von Datenträgern nach Beendigung des Auftrags

 

Ab wann brauchen Sie als Arbeitgeber einen Datenschutzbeauftragten?

Gemäß Art. 37 DS-GVO in Ver­bin­dung mit § 38 Abs.1 Satz 1 BDSG-Neu muss ein Datenschutzbeauftrager im Unternehmen bestellt wer­den, …

… wenn mehr als mindestens 10 Mitarbeiter regelmäßig mit automatisierter Datenverarbeitung (Erhebung und Nutzung) zu tun haben (§ 38 Abs.1 Satz 1 BDSG-Neu).
… wenn unabhängig von der Anzahl der Mitarbeiter sensible personenbezogene Daten (Art. 9 DSGVO) verarbeitet werden, die über Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person informieren (Art. 35 DS-GVO).
… wenn personenbezogene Daten geschäftsmäßig als Kerntätigkeit des Unternehmens übermittelt, erhoben, verarbeitet oder genutzt werden (Art. 37 DS-GVO).

 

In den beiden letztgenannten Fällen müssen unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen Datenschutzbeauftragte benannt werden (§ 38 Abs.1 Satz 1 BDSG-Neu).

 

Wer kann zum betrieblichen Datenschutzbeauftragten bestellt werden?

Datenschutzbeauftragte müssen nach (Art. 37 Absatz 5 DSGVO) folgende Voraussetzungen erfüllen :

  • Berufliche Qualifikation. Im Rahmen der beruflichen Qualifikation sollten die eingesetzten Datenschutzbeauftragten über ausreichende Kenntnisse und/oder Berufserfahrung im betreffenden Wirtschaftsbereich verfügen und im Stande sein, die verschiedenen Verarbeitungsprozesse zu erfassen.
  • Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis. Das erforderliche Niveau des Fachwissens richtet sich insbesondere nach den durchgeführten Verarbeitungsvorgängen und dem erforderlichen Schutz für die personenbezogenen Daten, die der Verantwortliche oder der Auftragsverarbeiter verarbeiten.
  • Die Fähigkeit zur Erfüllung der Aufgaben nach Art. 39 DSGVO – Aufgaben des Datenschutzbeauftragten.

 

Welche Aufgaben hat der betriebliche Datenschutzbeauftragte?

Datenschutzbeauftragter

Der Datenschutzbeauftragte ist eine Person, die innerhalb einer Organisation für den Datenschutz verantwortlich ist. Er muss u.a. die Einhaltung relevanter Datenschutzvorschriften gewährleisten, insbesondere im Hinblick auf die Verarbeitung personenbezogener Daten. Er ist berechtigt, Aufgaben zu delegieren und zu überwachen. Entscheidend für seine Tätigkeit ist die Übernahme der Verantwortung. Einem Datenschutzbeauftragten obliegen nach Art. 39 DSGVO folgende Aufgaben:

Unterrichtung und Beratung der GF und der Mitarbeiter zu allen Belangen des Datenschutzes. 
Überwachung der Einhaltung der Datenschutzvorschriften. 
Sensibilisierung und Schulung der Mitarbeiter. 
Beratung und Überwachung der Durchführung von DatenschutzFolgenabschätzungen. 
Zusammenarbeit mit der Landesdatenschutzaufsichtsbehörde. 
Ansprechpartner für  betroffene Personen zu allen Fragen ihrer personenbezogenen Daten. 

 

Die Person selbst muss übrigens kein Mitarbeiter des Unternehmens sein. Nach Art 37 DSGV besteht die Möglichkeit, einen internen oder externen Datenschutzbeauftragten zu bestellen. Bei der internen Lösung wird die Rolle des Datenschutzbeauftragten von einem eigenen Mitarbeiter übernommen, während bei der externen Lösung die Unterstützung von einem fachkundigen Dienstleister stammt. Interne Datenschutzbeauftrage dürfen in keinen  Interessenskonflikt geraten. Interessenskonflikte bestehen z.B. für Mitglieder der Geschäftsführung, Leiter der EDV
oder der Personalabteilung, etc., da diese Personen für die Datenverarbeitung verantwortlich sind und sich als Datenschutzbeauftragte selbst kontrollieren würden.

« Vorheriger Post: – Nächster Post: »
Keine Kommentare

Kommentar schreiben

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen