Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz

644 views

Published on

Präsentation anlässlich der Aktuelle Stunde zum Thema Datenschutz beim Deutschen Anwaltstag 2020. Theme aktuelle Fragen zum Beschäftigtendatenschutz

Published in: Law
  • Be the first to comment

Deutscher Anwaltstag 2020 - DSGVO und Beschäftigtendatenschutz

  1. 1. DSGVO und Beschäftigtendatenschutz Stephan Schmidt Rechtsanwalt und Fachanwalt für IT-Recht / CIPP/E @stephanschmidt
  2. 2. Betriebsrat und Datenschutz (1) Betriebsrat als eigene verantwortliche Stelle im Sinne des Art. 4 Nr. 7 DSGVO? • in Art. 4 Nr. 7 Hs. 2 DSGVO nicht geregelt - die genannten Organisationsformen werden aber grundsätzlich einheitlich als Verantwortliche aufgefasst • Wortlaut des§26 I (1) BDSG spricht dafür, dass Betriebsrat und Arbeitgeber nicht zwei Verantwortliche sind • Landesdatenschutzbeauftragte beurteilen die Frage bisher uneinheitlich (Tendenz: Betriebsrat idR Verantwortlicher, Personalrat idR nicht)
  3. 3. Betriebsrat und Datenschutz (2) • BAG hat bisher nicht über die Frage entschieden, ob ein Betriebsrat Verantwortlicher ist • BAG (1 ABR 53/17) weist darauf hin, dass der Betriebsrat, unabhängig von seiner formalen Einordnung, seinerseits die materiellen Datenschutzbestimmungen einzuhalten hat • BAG (1 ABR 51/17) bezeichnet Erfüllung des betriebsverfassungsrechtlichen Auskunftsanspruches (§80 II 1 BetrVG) als „betriebsinterne Datenverarbeitung“ • BAG (1 ABR 53/17) räumt dem § 26 I BDSG den Vorrang vor betriebsverfassungsrechtlichen Mitwirkungsrechten ein
  4. 4. Betriebsrat und Datenschutz (3) • auch wenn Betriebsrat nicht selbst Verantwortlicher iSd Art. 4 Nr. 7 DSGVO ist, müssen datenschutzrechtliche Vorgaben eingehalten werden und die Datenverarbeitung durch den Betriebsrat bedarf einer Erlaubnisnorm • Lösung (Gesamt-)Betriebsvereinbarung (BV) als datenschutzrechtlicher Erlaubnistatbestand, z.B. mit folgenden Regelungen: • Betriebsrat ist nicht Verantwortlicher • Betriebsrat unterstützt Arbeitgeber bei Erfüllung der DSGVO- Verpflichtungen bei vom Betriebsrat durchgeführten Verarbeitungen • Betriebsrat hat das Recht Daten vom Arbeitgeber zu verlangen • BV als Rechtsgrundlage für Datenverarbeitungen
  5. 5. Videokonferenzsysteme und Datenschutz beim BR (1) • „Arbeit-von-morgen-Gesetz“ (BT-Drs. 19/18753) erklärt mit Einführung des § 129 BetrVG Beschlussfassungen des Betriebsrats mittels Videokonferenz und virtuelle Betriebsversammlungen bis zum 31.12.2020 für zulässig • für Datenverarbeitung bei digitaler Betriebsratssitzung ist Rechtsgrundlage erforderlich (z.B. Art. 6 I (1) lit. c) oder f) DSGVO, § 26 I (1) BDSG • bei mittels Videokonferenz durchgeführter Betriebsratssitzung muss sichergestellt werden, dass Dritte vom Inhalt der Sitzung keine Kenntnis nehmen können (§ 129 I 1 BetrVG )
  6. 6. Videokonferenzsysteme und Datenschutz beim BR (2) • Verbindung muss verschlüsselt sein und die Betriebsratsmitglieder müssen für Sitzung einen nichtöffentlichen Raum nutzen (BT-Drs. 19/18753, S. 28) • Aufzeichnungen sind ausdrücklich untersagt (§ 129 I 2 BetrVG) • Schutz der Daten ist also durch geeignete technische und organisatorische Maßnahmen sicherzustellen • Art. 32 I DSGVO fordert angemessenes Schutzniveau, jedoch keinen absoluten Schutz der Daten
  7. 7. Videokonferenzsysteme und Datenschutz (1) • Bei der Auswahl eines Dienstes sollte der Datenschutzbeauftragte involviert werden • Nach § 87 Abs. 1 Nr. 6 BetrVG muss der Betriebs- oder Personalrat beteiligt werden, da sich Konferenzdienste zur Überwachung der Mitarbeiter objektiv eignen • Betriebsvereinbarungen zur Onlinekonferenznutzung, Home-Office, Datenschutz, IT-Nutzung (Hardware und Software)
  8. 8. Videokonferenzsysteme und Datenschutz (2) • Wenn möglich Lösungen mit Verschlüsselung nutzen (auch wg. Geschäftsgeheimnisgesetz) • Auftragsverarbeitungsvertrag abschließen und Datenschutzniveau bei Anbietern aus Drittländern sicherstellen • Voreinstellungen datenschutzfreundlich gestalten • Dienst in Verarbeitungsverzeichnis aufnehmen • Beschäftigte und Teilnehmer*innen informieren (Art. 12 ff DSGVO) • Problem: Teilweise Intransparenz der Anbieter hinsichtlich Trackings
  9. 9. Home-Office und Datenschutz (1) • spezielle gesetzliche Vorschriften zu Home-Office oder mobilem Arbeiten gibt es nicht • Unternehmen ist als verantwortliche Stelle für die Einhaltung des geltenden Datenschutzrechts verantwortlich und haftet • vertragliche Regelung über die Tätigkeit im Home-Office ist zu empfehlen • es sind geeignete technische und organisatorische Maßnahmen zu treffen (Art. 24 DSGVO)
  10. 10. Home-Office und Datenschutz (2) • für die Arbeit im Homeoffice muss eine Datenschutzvereinbarung getroffen oder Betriebsvereinbarung geschlossen werden (mit Kontrollrecht des Arbeitgebers bzw. des Datenschutzbeauftragten) • nachträgliche Zuweisung des Arbeitsorts „Home-Office“ stellt eine Versetzung dar – unterliegt Mitbestimmung § 99 I BetrVG • Musterrichtlinie bei RA Stephan Hansen-Oest (https://www.datenschutz-guru.de/corona-virus-richtlinie-zur-heimarbeit-home-office-zum-download/ ) • Beschäftigte sollten geschult und sensibilisiert werden (z.B. mit Awareness-Kampagnen)
  11. 11. Home-Office (mobiles Arbeiten) und Datenschutz • Für technische Hinweise hilfreich „OPS.1.2.4 Telearbeit“ des IT- Grundschutz-Kompendium des BSI (https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/OPS/OPS_1_2_4_Telearbeit.html) • Checkliste • Arbeitsplatz sollte sich in einem separaten, abschließbaren Zimmer befinden • betriebliche Unterlagen sollten abgeschlossen aufbewahrt werden. • keine private Nutzung von betrieblicher IT-Ausstattung • Festplatten, USB-Sticks und sonstige externe Datenträger (sowie E-Mails) sollten verschlüsselt werden • Zugang zu Unternehmens-Systemen nur mit Zwei-Faktor-Authentifizierung • keine Weiterleitung beruflicher E-Mails an private Mailadressen • keine Entsorgung betrieblicher Unterlagen über den Hausmüll
  12. 12. Entscheidungen des BAG „zur" DSGVO • Videoüberwachung (noch zu BDSG), Urteil v. 23.8.2018 – 2 AZR 133/18 • Einsichtnahme in den Dienstrechner des Arbeitnehmers (noch zu BDSG), Urteil v. 31.1.2019 – 2 AZR 426/18 • Auskunftsanspruch des Betriebsrats nach § 80 II 1 BetrVG, Urteil v. 9.4.2019 – 1 ABR 51/17 • Einsichtnahme in Bruttogehaltslisten mit Klarnamen durch den Betriebsrat, Urteil v. 7.5.2019 – 1 ABR 53/17 • Einigungsstellenspruch zum betrieblichen Eingliederungsmanagement, Beschluss vom 19.11.2019 – 1 ABR 36/18 • Datenschutzbeauftragter – Sonderkündigungsschutz, Urteil v. 5.12.2019 – 2 AZR 223/19
  13. 13. Vielen Dank für Ihre Aufmerksamkeit. Rechtsanwalt Stephan Schmidt Fachanwalt für Informationstechnologierecht CIPP/E TCI Rechtsanwälte Isaac-Fulda-Allee 5 D-55124 Mainz Telefon: +49 - (0) 6131 - 302 90 460 E-Mail: sschmidt@tcilaw.de Internet: www.tcilaw.de Twitter: @stephanschmidt

×