Datenschutz im Betrieb - Die DS-GVO in der Personalarbeit -  - ebook

Datenschutz im Betrieb - Die DS-GVO in der Personalarbeit ebook

0,0
179,99 zł

Opis

Am 25. Mai 2018 trat die EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft. Sie gilt in der gesamten EU und bringt nicht nur eine Vereinheitlichung, sondern auch eine deutliche Verschärfung des europäischen Datenschutzrechts mit sich. Dies stellt Unternehmen vor die Herausforderung, innerhalb kurzer Zeit interne Prozesse und Datenschutz-Funktionen an das neue Recht anzupassen. Angesichts erhöhter Anforderungen, Bußgelder und Haftungsrisiken ist dabei große Sorgfalt geboten. Dieses Buch ist ein Praxisleitfaden zur Umsetzung der Anforderungen der DS-GVO, insbesondere in der Personalarbeit im Betrieb, und zum korrekten Umgang mit personenbezogenen Daten im Unternehmen nach dem reformierten Recht. Inhalte: - Beschäftigtendatenschutz rechtssicher umsetzen - Dokumentations- und Informationspflichten - Betriebliches Datenschutzmanagement: Konzernprivileg, Arbeitsverträge, Betriebsvereinbarungen - Minderung von Haftungsrisiken: Sanktionen, Bußgelder und strafrechtliche Konsequenzen 

Ebooka przeczytasz w aplikacjach Legimi lub dowolnej aplikacji obsługującej format:

EPUB

Liczba stron: 468




Inhaltsverzeichnis

Hinweis zum UrheberrechtImpressum1   Einleitung2   Neue Aufgaben für HR-Fach- und Führungskräfte2.1   Besonders betroffen von den neuen Regelungen: das Personalwesen2.2   Sensibilität im Umgang mit Bewerberdaten2.3   Aufgaben im laufenden Beschäftigungsverhältnis2.4   Aufgaben nach Beendigung des Beschäftigungsverhältnisses2.5   Zur Rolle des Betriebsrats2.6   Instruktion von Mitarbeitern3   Der Datenschutzbeauftragte3.1   Die Pflicht zur Benennung eines Datenschutzbeauftragten3.2   Benennung und Abberufung eines Datenschutzbeauftragten3.2.1   Die Formalien der Benennung3.2.2   Benennung für mehrere Organisationen3.2.3   Abberufung3.3   Anforderungen an den Datenschutzbeauftragten3.4   Die Stellung des Datenschutzbeauftragten im Unternehmen3.5   Aufgaben und Pflichten des Datenschutzbeauftragten3.6   Alternative Rollen im Unternehmen neben oder statt dem Datenschutzbeauftragten3.7   Musterschreiben: Benennung eines Datenschutzbeauftragten4   Dokumentationspflichten und das Verarbeitungsverzeichnis4.1   Die Nachweis- und Dokumentationspflichten in der DS-GVO4.2   Das Verarbeitungsverzeichnis4.2.1   Form des Verzeichnisses4.2.2   Inhalt des Verzeichnisses4.3   Erstellung und Pflege des Verarbeitungsverzeichnisses5   Die Rechte der betroffenen Personen5.1   Informationspflichten5.1.1   Informationspflichten bei Direkterhebung5.1.2   Informationspflichten bei Dritterhebung5.1.3   Überblick über die mitzuteilenden und bereitzustellenden Informationen5.1.4   Informationspflichten bei Zweckänderung und Übermittlung5.1.5   Form der Informationspflicht5.1.6   Ausnahmen5.2   Individualrechte des Betroffenen zur Sicherung der informationellen Selbstbestimmung5.2.1   Auskunftsersuchen, Art. 15 DS-GVO5.2.2   Das Recht auf Berichtigung, Art. 16 DS-GVO5.2.3   Das Recht auf Löschung, Art. 17 DS-GVO5.2.4   Das Recht auf Einschränkung der Verarbeitung, Art. 18 DS- GVO5.2.5   Anfragen auf Datenübertragung (Art. 20 DS-GVO)5.2.6   Das Widerspruchsrecht, Art. 21 DS-GVO5.3   Das Vorgehen bei Betroffenen-Anfragen5.3.1   Vorüberlegungen5.3.2   Eingang der Anfrage des Betroffenen5.3.3   Prüfung der Anfrage5.3.4   Information an die Betroffenen und Speicherung der Anfrage5.4   Musterschreiben und Formulare5.4.1   Formular für die interne Vorbereitung der Auskunftserteilung5.4.2   Muster für Antwortschreiben5.4.2.1   Antwortschreiben bei positiver Auskunft5.4.2.2   Antwortschreiben bei eingeschränkter Verarbeitung5.4.2.3   Antwortschreiben bei negativer Auskunft5.4.2.4   Antwortschreiben bei fehlender Identifizierbarkeit5.4.2.5   Positive Beantwortung der Anfrage5.4.2.6   Negative Beantwortung der Anfrage5.4.2.7   Informationsschreiben an die Empfänger der zu löschenden/zu berichtigenden Daten5.4.2.8   Formular für die interne Vorbereitung der Auskunftserteilung:6   Beschäftigtendatenschutz6.1   Begriff und Zweck des Beschäftigtendatenschutzes6.2   Rechtliche Grundlagen des Beschäftigtendatenschutzes6.3   Beschäftigtenbegriff6.4   Begriff der personenbezogenen Daten6.5   Begriff der Verarbeitung6.6   Erlaubnistatbestände zur Verarbeitung von Beschäftigtendaten6.7   Beschäftigtendatenschutz im Bewerbungsverfahren6.7.1   Welche Daten darf der Arbeitgeber erheben?6.7.2   Was muss der Arbeitgeber wann löschen?6.8   Beschäftigtendatenschutz im Arbeitsverhältnis6.8.1   Welche Daten darf der Arbeitnehmer verarbeiten?6.8.2   Besonderheiten der Videoüberwachung6.8.3   Compliance-Maßnahmen6.8.4   Was muss der Arbeitgeber wann löschen?6.9   Einhaltung der Grundsätze der DS-GVO6.10   Rechtsfolgen bei Verstößen gegen den Beschäftigtendatenschutz7   Einwilligung im Beschäftigungsverhältnis7.1   Rechtliche Grundlagen der Einwilligung im Beschäftigtenverhältnis7.2   Freiwilligkeit der Einwilligung im Beschäftigtenverhältnis7.3   Schriftform der Einwilligung7.4   Pflicht zur Aufklärung über den Zweck der Datenverarbeitung7.5   Widerrufsrecht7.6   Alternativen zur Einwilligung im Beschäftigungsverhältnis8   Die Betriebsvereinbarung und andere Kollektivvereinbarungen8.1   Betriebsvereinbarungen und Tarifverträge als datenschutzrechtliche Erlaubnisgrundlage nach der DS-GVO8.1.1   Datenschutzrechtliche Erlaubnisgrundlage nach BDSG a. F.8.1.2   Auch datenschutzrechtliche Erlaubnisgrundlage nach der DS-GVO8.2   Kann durch eine Kollektivvereinbarung das Schutzniveau der DS-GVO abgesenkt werden?8.2.1   Abweichung vom datenschutzrechtlichen Schutzniveau nach BDSG a. F.8.2.2   Keine wesentliche Unterschreitung des Schutzniveaus der DS-GVO8.2.3   Handlungsspielräume der DS-GVO durch Kollektivvereinbarungen gestalten8.3   Doppelfunktion von Betriebsvereinbarungen in der Praxis8.3.1   Mitbestimmungstatbestand des § 87 Abs. 1 Nr. 6 BetrVG8.3.2   Gleichzeitig datenschutzrechtliche Erlaubnisgrundlage nach der DS-GVO8.4   Inhaltliche Anforderungen der DS-GVO an Betriebsvereinbarungen8.4.1   Transparenz und Prinzipien des Art. 5 DS-GVO8.4.2   Rechenschaftspflicht8.4.3   Übermittlung personenbezogener Daten innerhalb der Unternehmensgruppe8.4.4   Überwachungssysteme am Arbeitsplatz8.5   Handlungsempfehlungen für die Formulierung einer Betriebsvereinbarung nach der DS-GVO8.5.1   Allgemein zwingend notwendige Regeln8.5.2   Im besonderen Fall notwendige bzw. mögliche Regelungstatbestände8.6   Verhandlungstaktik bei der Anpassung von Betriebsvereinbarungen9   Arbeitnehmerüberlassung10   Digitale Personalakte10.1   Personalakte - eine Begriffsdefinition10.2   Grundsätze bei der Führung von Personalakten10.2.1   Grundsatz der Vollständigkeit vs. Grundsatz der Datenminimierung und Speicherbegrenzung10.2.2   Grundsatz der Richtigkeit10.2.3   Grundsatz der Transparenz10.2.4   Grundsatz der Integrität und Vertraulichkeit10.3   Schritt für Schritt zur digitalen Personalakte10.3.1   Schritt 1: Bestandsaufnahme10.3.2   Schritt 2: Auswahl des Dienstleisters bzw. Systems10.3.3   Schritt 3: Frühzeitige Beteiligung des Datenschutzbeauftragten10.3.4   Schritt 4: Beteiligung des Betriebsrats10.3.5   Schritt 5: Privacy by Design und Privacy by Default10.3.6   Schritt 6: Einführung eines Löschkonzepts10.3.7   Schritt 7: Prüfen, ob Erfordernis einer Datenschutz-Folgenabschätzung besteht, und ggf. Durchführung der Datenschutz-Folgenabschätzung10.3.8   Schritt 8: Entscheidung über das Führen einer Rumpfakte10.3.9   Schritt 9: Organisation der digitalen Personalakte - konzernweite Datenverarbeitung10.3.10   Schritt 10: Sicheres Vernichten aller (irrelevanten) Dokumente11   Datenschutz und elektronische Kommunikation11.1   Die Verwendung von E-Mail und Internet am Arbeitsplatz11.2   Regelungsmöglichkeiten für den Arbeitnehmer11.2.1   Keine Regelung zur Privatnutzung11.2.2   Sonderfall betriebliche Übung11.2.3   Ausdrückliche Regelung zur Privatnutzung11.3   Kontrollmöglichkeiten11.3.1   Kontrollen bei Verbot der privaten Nutzung11.3.1.1   Gesetzliche Grundlage11.3.1.2   Umfang der Kontrollen bei Verbot privater Nutzung11.3.2   Kontrollen bei Erlaubnis der privaten Nutzung11.3.2.1   Gesetzliche Grundlage11.3.2.2   Einwilligung als Rechtfertigung11.3.2.3   Umfang der Kontrollen bei Erlaubnis privater Nutzung11.4   Handlungsempfehlungen und Checkliste11.4.1   Die einfachste Lösung: Verbot der privaten Nutzung11.4.2   Klare Regelung notwendig: Erlaubnis der privaten Nutzung12   Interne Untersuchungen und Aufdeckung von Pflichtverletzungen12.1   Einleitung12.2   Insbesondere: Videoüberwachung12.3   Aktuelle Entscheidungen12.3.1   Unzulässigkeit von Keylogger-Software12.3.2   Überwachungsmaßnahmen durch Detektive12.3.3   Mitbestimmung des Betriebsrats bei Einrichtung einer Facebook-Seite13   Auftragsverarbeitung13.1   Einführung13.2   Der Auftragsverarbeiter13.2.1   Stellung des Auftragsverarbeiters13.2.2   Neue Pflichten des Auftragsverarbeiters13.3   Auswahl des Auftragsverarbeiters13.4   Vertrag zwischen Verantwortlichem und Auftragsverarbeiter13.4.1   Erforderlichkeit eines Vertrags13.4.2   Notwendige Vertragsinhalte13.4.2.1   Gegenstand und Dauer der Verarbeitung13.4.2.2   Konkretisierung des Auftragsinhalts13.4.2.3   Weisungsgebundenheit13.4.2.4   Vertraulichkeitsverpflichtung13.4.2.5   Technische und organisatorische Maßnahmen13.4.2.6   Einsatz von Unterauftragnehmern13.4.2.7   Unterstützung bei Wahrung von Betroffenenrechten13.4.2.8   Weitere Unterstützungspflichten13.4.2.9   Pflichten bei Auftragsbeendigung13.4.2.10   Kontrollrechte und Duldungspflichten13.4.3   Umsetzung dieser Vertragsinhalte13.5   Unterauftragnehmer13.5.1   Genehmigung13.5.2   Anforderungen an den Unterauftrag13.5.3   Haftung für den Unterauftragsverarbeiter13.6   Form13.7   Internationale Auftragsverarbeitung13.8   Einstandspflichten, Haftung und Sanktionen13.8.1   Einstandspflichten des Auftragsverarbeiters13.8.2   Haftung13.8.3   Sanktionsmöglichkeiten der Aufsichtsbehörde13.9   Fortgeltung bestehender Verträge13.10   Checkliste: ADV-Vertrag14   Konzerndatenschutz14.1   Grundlagen14.1.1   Begriff des Konzerns14.1.2   Fehlendes „Konzernprivileg“ im Datenschutzrecht14.2   Rechtsgrundlage für die konzerninterne Übermittlung und weitere Verarbeitung von personenbezogenen Daten14.2.1   Auftragsverarbeitung14.2.2   Konzerninterne Übermittlung14.2.2.1   Einwilligung der Betroffenen gem. Art. 6 Abs. 1a DS- GVO und Art. 7 DS-GVO14.2.2.2   Datenverarbeitung von Beschäftigtendaten für Zwecke des Beschäftigungsverhältnisses gem. § 26 BDSG n. F.14.2.2.3   Verarbeitung von personenbezogenen Daten zur Vertragserfüllung gem. Art. 6 Abs. 1b DS-GVO14.2.2.4   Interessenabwägung gem. Art. 6 Abs. 1f DS-GVO14.2.2.5   Übermittlung besonderer Kategorien personenbezogener Daten14.2.2.6   Kollektivvereinbarungen14.3   Gemeinsame Verantwortlichkeit gem. Art. 26 DS- GVO14.4   Fallgruppen14.4.1   Konzernweites Kontakt-Verzeichnis14.4.2   Zentralisierung der Personalverwaltung14.4.3   Matrix-Strukturen14.4.4   Skill-Datenbanken14.4.5   Konzernweites Recruiting14.5   Datenübermittlung an Konzernunternehmen in Drittländern14.6   Checkliste15   Outsourcing15.1   Generelle Voraussetzungen15.1.1   Auftragsdatenverarbeitung15.1.2   Funktionsübertragung15.1.3   Berufsgeheimnisträger15.1.4   Einbeziehung des Datenschutzbeauftragten und des Betriebsrates15.2   Übermittlung an Outsourcing-Unternehmen in Drittländer15.3   Auswahl des Outsourcing-Anbieters15.4   Fragenkatalog für Outsourcing-Projekte16   Internationaler Datenverkehr16.1   Die „Zwei Stufen“-Prüfung bei internationalen Datentransfers16.2   Datentransfer in Drittländer auf Grundlage eines Angemessenheitsbeschlusses16.3   EU-US Privacy Shield16.4   Datenübermittlung auf Grundlage von Standarddatenschutzklauseln gem. Art. 46 Abs. 2c und d DS-GVO16.5   Verbindliche interne Datenschutzvorschriften gem. Art. 47 DS-GVO16.6   Genehmigte Verhaltensregeln und Zertifizierungsmechanismen16.7   Genehmigungsbedürftige vertragliche Regelungen16.8   Gesetzliche Erlaubnistatbestände17   Löschkonzept17.1   Im Fokus: Löschverpflichtung17.2   Das Prinzip der Speicherbegrenzung und die Löschverpflichtung17.3   Technische und organisatorische Maßnahmen zur Speicherbegrenzung17.4   Das Löschkonzept17.5   Beispiel: Löschregeln im Personalbereich18   Direktmarketing18.1   Bestehende Kundenbeziehung18.1.1   Überblick18.1.2   Details18.2   Einwilligung18.2.1   Gültigkeit von Alt-Einwilligungen - Übergangsregelungen18.2.2   Anforderungen nach der DS-GVO18.2.2.1   Überblick18.2.2.2   Details18.3   Rechtfertigung durch gesetzlichen Erlaubnistatbestand18.4   Keine Sonderregelungen bei Geschäftskontakten19   Industrie 4.0 im Kontext des Datenschutzes19.1   Beschäftigtendatenschutz19.2   Datentransfers in Drittstaaten19.3   Datensicherheit19.4   Exkurs: Data Ownership20   Verarbeitung personenbezogener Daten Minderjähriger im Internet20.1   Strengere Schutzanforderungen bei Kindern20.2   Allgemeine Anforderungen an die Einwilligung20.3   Wirksamkeit von alten Einwilligungserklärungen20.4   Besondere Anforderungen an die Einwilligung bei Kindern20.5   Entbehrlichkeit der Einwilligung bei notwendiger Datenverarbeitung20.5.1   Berechtigte Interessen20.5.2   Erfüllung eines Vertrags21   IT-Sicherheit im Unternehmen21.1   Ausgangslage21.2   Typisches Angriffsszenario21.3   Datenverarbeitung als wesentlicher Teil der IT-Sicherheit21.4   Rechtlicher Rahmen21.4.1   Anwendbarkeit des Datenschutzrechts21.4.2   Gesetzliche Anforderungen an die IT-Sicherheit21.4.3   Zulässige Verarbeitung und Speicherdauer von Daten21.4.3.1   Rechtfertigung von IT-Sicherheitsmaßnahmen nach dem TKG21.4.3.1.1   Datenanalyse21.4.3.1.2   Dateneingriff21.4.3.1.3   Zusammenfassung21.4.3.2   Rechtfertigung von IT-Sicherheitsmaßnahmen nach der DS- VO21.4.3.2.1   IT-Sicherheit als berechtigtes Interesse21.4.3.2.2   Verhältnismäßigkeit konkreter IT-Sicherheitsmaßnahmen21.5   Praktische Umsetzung/Checkliste22   Datenschutz-Folgenabschätzung22.1   Zielsetzung22.2   Erforderlichkeit der Datenschutz-Folgenabschätzung22.2.1   Grundsatz22.2.2   Konkretisierung durch Regelbeispiele22.2.2.1   Profiling22.2.2.2   Besonders schützenswerte Daten22.2.2.3   Überwachung22.2.3   Kriterien für ein „hohes Risiko“ nach der Artikel-29-Datenschutzgruppe22.2.4   Orientierung an Listen der Aufsichtsbehörden22.2.5   Zwischenergebnis22.3   Durchführung der Datenschutz-Folgenabschätzung22.3.1   Die Vorbereitungsphase22.3.1.1   Geplante Verarbeitungsvorgänge22.3.1.2   Zwecke der Verarbeitung22.3.1.3   Berechtigte Interessen22.3.2   Die Bewertungsphase22.3.2.1   Verhältnismäßigkeitsprüfung22.3.2.2   Bewertung der Risiken für die Rechte und Freiheiten der Betroffenen22.3.3   Die Maßnahmenphase22.4   Einbeziehung des Datenschutzbeauftragten22.5   Einbeziehung der Betroffenen22.6   Konsultation der Aufsichtsbehörde22.7   Altfälle: Bewertung von vorhandenen Verarbeitungsprozessen22.8   Überprüfung und Wiederholung der Datenschutz-Folgenabschätzung22.9   Sanktionen23   Datenschutzrisikomanagement23.1   Einführung23.2   Rahmenbedingungen eines Compliance- und Datenschutz-Management-Systems23.3   Bestandsaufnahme als Vorbereitungsmaßnahme23.4   Umsetzung23.4.1   Beschreibung der Datenverarbeitungsprozesse23.4.2   Im Fokus: Beschäftigtendatenschutz23.4.3   Stärkung der Rolle des Datenschutzbeauftragten23.4.4   Anpassung der IT-Struktur23.4.5   Implementierung eines Löschmanagements23.4.6   Kollektivrechtliche Aspekte23.4.7   Kommunikation und Training24   Datenschutzaudit und Zertifizierung24.1   Das Datenschutz-Management-System24.2   Audit, Übung, Wartung24.3   Strategie definieren, Maßnahmen planen24.4   Strategien und Maßnahmen implementieren24.5   Umsetzung kontrollieren24.6   Etablierung von Datenschutzorganisation und Datenschutz-Kultur24.7   Projektmanagement24.8   Datenschutzsiegel25   Datenschutzschulung und Sensibilisierung25.1   Relevante Schulungsinhalte25.1.1   Besondere Arten personenbezogener Daten25.1.2   Einwilligung des Betroffenen25.1.3   Neue Rechte des Betroffenen25.1.4   Verzeichnis für Verarbeitungstätigkeiten25.1.5   Benachrichtigungspflicht bei Sicherheitspannen25.2   Durchführung der Schulungsmaßnamen und Sensibilisierung der MitarbeiterDie AutorenAbkürzungsverzeichnisLiteraturverzeichnisStichwortverzeichnis
[1]

Hinweis zum Urheberrecht

Haufe-Lexware GmbH & Co. KG, Freiburg

Impressum

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.dnb.de abrufbar.

Print:ISBN: 978-3-648-11138-3Bestell-Nr.: 14064-0001ePUB:ISBN: 978-3-648-11139-0Bestell-Nr.: 14064-0100ePDF:ISBN: 978-3-648-11140-6Bestell-Nr.: 14064-0150

Dr. Axel von Walter (Hrsg.)Datenschutz im Betrieb1. Auflage 2018

© 2018, Haufe-Lexware GmbH & Co. KG, Freiburg [email protected]: Bernhard Landkammer

Lektorat: Nicole Jähnichen und Alexandra Kittke Satz: Reemers Publishing Services GmbH, Krefeld Umschlag: RED GmbH, Krailling

Alle Angaben/Daten nach bestem Wissen, jedoch ohne Gewähr für Vollständigkeit und Richtigkeit.

Alle Rechte, auch die des auszugsweisen Nachdrucks, der fotomechanischen Wiedergabe (einschließlich Mikrokopie) sowie der Auswertung durch Datenbanken oder ähnliche Einrichtungen, vorbehalten.

1   Einleitung

Am 25.05.2018 begann für den Datenschutz in Europa ein neues Zeitalter. Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)1 bildet seitdem den Europäischen Rechtsrahmen und den Maßstab für den Datenschutz in Europa. Auch wenn es weiterhin zahlreiche nationale oder europarechtliche Spezialvorschriften zum Schutz personenbezogener Daten geben wird, ist jetzt die Datenschutz-Grundverordnung[2] (DS-GVO) der Fixstern und stellt für die Grundprinzipien des Datenschutzes einen einheitlichen Standard auf.

Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht, das sich aus Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union (EU-Grundrechtecharta)2 sowie Art. 16 Abs. 1 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV)3 ergibt. Auch wenn die grundrechtliche Verankerung auf europäischer Ebene noch sehr jung ist, kennen wir das Grundrecht auf informationelle Selbstbestimmung in Deutschland spätestens seit der wichtigen Entscheidung des Bundesverfassungsgerichts aus dem Jahr 1983, die als sogenanntes Volkszählungsurteil bekannt wurde.4 Darin erkennt das Bundesverfassungsgericht das Grundrecht auf informationelle Selbstbestimmung an. Es soll die Befugnis des Einzelnen gewährleisten, grundsätzlich selbst über die Preisgabe und die Verwendung seiner persönlichen Daten zu bestimmen. In diesem Urteil, das fern des heutigen Digitalzeitalters gefällt wurde, hat das Bundesverfassungsgericht bereits den sich aus dem technischen Fortschritt ergebenden Schutzbedarf für die Persönlichkeit des Einzelnen erkannt und deswegen die informationelle Selbstbestimmung als Abwehrrecht des Einzelnen gegen den Daten sammelnden Staat etabliert. Es hat ausdrücklich darauf hingewiesen, dass die Befugnis, selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden, unter den Bedingungen der automatischen Datenverarbeitung in besonderem Maße des Schutzes bedürfe. Diese Selbstbestimmung sei vor allem deshalb gefährdet, weil bei Entscheidungsprozessen nicht mehr auf manuell zusammengetragene Karteien und Akten zurückgegriffen werden müsse, sondern vielmehr mithilfe der automatischen Datenverarbeitung personenbezogene Daten technisch gesehen unbegrenzt speicherbar und jederzeit ohne Rücksicht auf Entfernungen in Sekundenschnelle abrufbar seien.5[3] Diese Daten können darüber hinaus - vor allem beim Aufbau integrierter Informationssysteme - mit anderen Datensammlungen zu einem teilweise oder weitgehend vollständigen Persönlichkeitsbild zusammengefügt werden, ohne dass der Betroffene dessen Richtigkeit und Verwendung zureichend kontrollieren könne.6 Die wesentliche Passage in dem Volkszählungsurteil bringt das Ziel und den Zweck des Datenschutzes als Freiheitsschutz auf den Punkt:7

„Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffende Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. […][4]

Hieraus folgt: Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.“

Die in dem Volkszählungsurteil zum Ausdruck gebrachten Grundsätze helfen auch heute noch, die Leitlinien des Datenschutzrechts zu verstehen und zu interpretieren. Für die Freiheitsrechte des Einzelnen sind die uns aus dem Datenschutzrecht vertrauten Grundsätze, beispielsweise Transparenz, Richtigkeit, Zweckbindung, essenziell. Auch in der betrieblichen Praxis hilft es immer wieder, sich diese Grundsätze zu vergegenwärtigen. Es wird dann klar, dass es beim Datenschutzrecht nicht um Kontrollrechte im Sinne eines erweiterten Eigentumsrechts geht. Vielmehr schützt die informationelle Selbstbestimmung die Freiheit des Einzelnen.

Diese Freiheit des Einzelnen ist nicht unbeschränkt und steht selbstverständlich im Spannungsverhältnis zu den Freiheitsrechten anderer, z. B. des Arbeitgebers. Der Einzelne ist eine sich innerhalb der sozialen Gemeinschaft entfaltende, auf Kommunikation angewiesene Persönlichkeit und hat deswegen kein Recht im Sinne einer absoluten Herrschaft über „seine“ Daten. Information, auch soweit sie personenbezogen ist, stellt ein Abbild sozialer Realität dar, das nicht ausschließlich dem Betroffenen allein zugeordnet werden kann.8[5] Das Recht auf Schutz der personenbezogenen Daten muss im Hinblick auf diese gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden9.

Die DS-GVO baut auf dem Ansatz der von ihr abgelösten Datenschutzrichtlinie 95/46/EG auf. Sie hat den Anspruch, diesen Ansatz aus den Erfahrungen und der einschlägigen Rechtsprechung der letzten 20 Jahre heraus zu modernisieren. Die DS-GVO enthält eine Reihe neuer Elemente, die einerseits den Schutz der Rechte des Einzelnen stärken sollen, andererseits Unternehmen den Datentransfer im digitalen Binnenmarkt erleichtern werden. Durch die DS-GVO werden die Grundsätze des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen („Privacy by Design“ und „Privacy by Default“) eingeführt, um Datenschutzinteressen von Anfang an in Geschäftsprozessen und Produkten, wie z. B. bei datenschützenden Voreinstellungen bei Smartphones, zu berücksichtigen. Die Rechte des Einzelnen werden gestärkt, indem neue Transparenzanforderungen eingeführt werden. Außerdem werden die Rechte auf Information, Zugang und Löschung ausgebaut. Einzelpersonen erhalten auch deswegen mehr Kontrolle über die sie betreffenden Daten. Zusätzlich wird das Recht auf Datenübertragbarkeit eingeführt, welches es den Betroffenen ermöglichen soll, von einem Unternehmen die Rück- oder Weiterübertragung personenbezogener Daten zu verlangen, die der Betroffene dem Unternehmen auf Grundlage einer Einwilligung oder eines Vertrages zur Verfügung gestellt hat. Mit der Verordnung erhalten alle Datenschutzaufsichtsbehörden die Befugnis, Geldbußen gegen Verantwortliche und Auftragsverarbeiter zu verhängen, wobei die Geldbußen bis zu 20 Millionen EUR oder bis zu 4 Prozent des weltweiten Jahresumsatzes betragen können. Zusätzlich können Betroffene bei Datenschutzverletzungen Schadenersatz auch für immateriellen Schaden einklagen. Die bislang bestehenden Vorabkontrollpflichten und Meldepflichten werden abgeschafft. Stattdessen gibt es ein für uns in Deutschland neues Instrument, das Risiko vor dem Beginn der Datenverarbeitung zu bewerten. Die Verordnung schreibt eine Datenschutz-Folgenabschätzung vor, wenn die Verarbeitung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten des Einzelnen führen kann. Unternehmen müssen in diesem Fall vorab die Risiken identifizieren und Abhilfemaßnahmen zur Vermeidung der Risiken implementieren.[6]

Die Verordnung gilt unmittelbar in allen Mitgliedsstaaten, die jedoch die Grundsätze und Bestimmungen der Verordnung in bestimmten Bereichen konkretisieren können. Für die betriebliche Datenschutzpraxis sind insbesondere die Fragen des Datenschutzes bei Beschäftigung und soziale Sicherheit praktisch relevant. Deutschland hat von diesen Konkretisierungsmöglichkeiten bereits Gebrauch gemacht und mit dem ebenfalls am 25.05.2018 in Kraft getretenen BDSG n. F. nationale Regelungen u. a. im Bereich des Beschäftigten-Datenschutzes geschaffen.10[7]

Auch wenn deutschen Unternehmen viele Prinzipien und Regelungen aus der Datenschutz-Grundverordnung bereits aus der alten Rechtslage - basierend auf der Datenschutzrichtlinie - bekannt sein dürften, begann mit dem 25.05.2018 ein neues Zeitalter. Die bisherige Rechtsprechung der nationalen Gerichte sowie die Verwaltungspraxis der Aufsichtsbehörden der Länder in Deutschland können nicht einfach auf die Datenschutz-Grundverordnung angewendet werden. Da die Verordnung unmittelbar geltendes Europarecht ist, kann es nicht mit rangniederem nationalem Recht ausgelegt werden. Nach der Übergangsphase, die am 25.05.2018 endete, beginnt nun eine Phase der praktischen und europaweiten Findung im europäischen Datenschutzrecht. Denn mit dem Bestreben, europaweit ein möglichst einheitliches Datenschutzregime zu schaffen, ist die Herausforderung verbunden, auch europaweit einheitliche Anwendungs- und Verwaltungspraktiken der Aufsichtsbehörden sicherzustellen. Die Verordnung sieht dazu förmliche Abstimmungsprozesse vor. Das wird seine Zeit benötigen. Deswegen kommen den Leitlinien und Arbeitsunterlagen der bisherigen Datenschutzgruppe nach Art. 29 der Datenschutzrichtlinie (sog. Artikel-29-Datenschutzgruppe) im Hinblick auf die Anwendung der Datenschutz-Grundverordnung[8] besondere Bedeutung zu. Auch wenn es sich dabei um formal nicht bindende Leitlinien handelt, werden die Aufsichtsbehörden der Mitgliedstaaten die darin niedergelegten Grundsätze und Leitlinien bei der praktischen Anwendung der Datenschutz-Grundverordnung berücksichtigen. In der betrieblichen Praxis lohnt es also, mit den Leitlinien der Artikel-29-Datenschutzgruppe zu arbeiten.11

Mit dem Wirksamwerden der Datenschutz-Grundverordnung am 25.05.2018 werden viele Unternehmen in Deutschland noch nicht im Einklang mit den Anforderungen der Verordnung stehen. Unternehmen sollten auch nach dem Startdatum weiterhin mit Hochdruck an der Umsetzung der Anforderungen arbeiten und die Fortschritte dokumentieren.

1Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 v. 04.05.2016, S. 1 ff.

2Charta der Grundrechte der Europäischen Union (2010/C 83/02), ABl. Nr. C 83 v. 30.03.2010, S. 389 ff.

3Konsolidierte Fassungen des Vertrags über die Europäische Union und des Vertrags über die Arbeitsweise der Europäischen Union (2012/C 326/01), ABl. Nr. C 326 v. 26.10.2012, S. 1 ff.

4BVerfG, Urteil v. 15.12.1983, 1 BvR 209/83, BVerfGE 65, 1.

5BVerfG, Urteil v. 15.12.1983, 1 BvR 209/83, BVerfGE 65, 1, II. 1 a).

6BVerfG, Urteil v. 15.12.1983, 1 BvR 209/83, BVerfGE 65, 1, II. 1 a).[9]

7BVerfG, Urteil v. 15.12.1983, 1 BvR 209/83, BVerfGE 65, 1, II. 1 a).

8BVerfG, Urteil v. 15.12.1983, 1 BvR 209/83, BVerfGE 65, 1, II. 1 b)

9Siehe Erwägungsgrund 4 der DS-GVO.

10Bundesdatenschutzgesetz (BDSG) vom 30.06.2017, BGBl. I S. 2097.

11Die Unterlagen sind online verfügbar unter: http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1360&tpa_id=6936, letzter Zugriff: 12.03.2018.

2   Neue Aufgaben für HR-Fach- und Führungskräfte

Marco Ferme und Dr. Franziska von Kummer

2.1   Besonders betroffen von den neuen Regelungen: das Personalwesen

Die DS-GVO bringt zahlreiche neue Aufgaben und Verantwortlichkeiten mit sich, die nicht nur Personen an der Unternehmensspitze betreffen. Auch Fach- und Führungskräfte im HR-Bereich müssen eine Einhaltung der datenschutzrechtlichen Vorgaben gewährleisten. Da u. a. nach Art. 82 Abs. 2 DS-GVO auch natürliche Personen für Schäden haften, die durch eine nicht der Verordnung entsprechende Verarbeitung verursacht werden, ist jedem Entscheider, der mit personenbezogenen Daten zu tun hat (vgl. hierzu näher Kapitel 6.4), dringend anzuraten, sich mit den Rahmenbedingungen vertraut zu machen.

In der Praxis beobachten wir, dass die Risiken exorbitant hoher Bußgelder - bis zu 20 Mio. EUR bzw., wenn höher, bis zu 4 Prozent des globalen Umsatzes (Art. 83 Abs. 5 DS-GVO) - zwar bereits bekannt sind, sie aber eher als eine abstrakte Gefahr wahrgenommen werden. Die verbreitete Meinung, dass es sich bei der DS-GVO um ein Thema handelt, mit dem sich „andere“ (gedacht wird hierbei an den Datenschutzbeauftragten) beschäftigen müssten, ist gefährlich. Tatsächlich ist auch der Personalbereich nicht davor gefeit, Bußgelder für das Unternehmen und daneben etwaige Schadensersatzforderungen auszulösen. Auch Personalverantwortliche sollten die Thematik daher nicht unterschätzen.[10]

Gerade im Personalwesen sind viele Prozesse anfällig für Datenschutzverstöße - man denke nur an Recruiting oder auch die Überwachung von Mitarbeitern, wobei Letzteres gar nicht die berühmte Videoüberwachung, E-Mail-Kontrolle oder das Thema der Keylogger betreffen muss (zu aktuellen Entscheidungen hierzu vgl. Kapitel 12.3). Jedes Arbeitszeitkonto geht mit einer Datenverarbeitung einher; jedes Verfahren des Betrieblichen Eingliederungsmanagements (BEM) betrifft besonders sensible Daten. Auch darf man nicht annehmen, dass etwaige Datenverluste nur ein Problem sind, welches die IT zu klären hätte - so können beispielsweise der auf einer Dienstreise abhandengekommene Firmenlaptop oder das verlorene Diensthandy eine Reihe von Informationspflichten nach sich ziehen, wenn dort - wie eigentlich immer - personenbezogene Daten gespeichert sind. In solchen Fällen ist es wichtig, unverzüglich die notwendigen Maßnahmen zu ergreifen und zu beachten, dass binnen 72 Stunden eine Meldung an die Datenschutzbehörde zu erfolgen hat.

HR-Fach- und Führungskräfte sind in ihrem Bereich verantwortlich für die Anpassung von Strukturen und Prozessen und müssen verinnerlichen, dass sie jeden „Handschlag“ unter datenschutzrechtlichen Gesichtspunkten analysieren und mögliche datenschutzrechtliche Folgen bedenken müssen.[11]

Zunächst bedarf es dabei einer Bestandsaufnahme, wo eigentlich überall in welcher Form, auf welcher Grundlage und zu welchem Zweck personenbezogene Daten verarbeitet werden und wie der Zugriff auf diese Informationen überwacht und kontrolliert wird. Daraus lässt sich ableiten, in welchen Bereichen Handlungsbedarf besteht. Die besonders praxisrelevanten Themenfelder sollen nachstehend kurz angesprochen werden.

2.2   Sensibilität im Umgang mit Bewerberdaten

Im Umgang mit Bewerberdaten gilt es, die internen Recruiting-Prozesse kritisch mit Blick auf die DS-GVO-Compliance zu hinterfragen. Bei Bewerbungsvorgängen werden zahlreiche besonders geschützte personenbezogene Daten erhoben. Wer mit diesen Daten in Berührung kommt, muss daher dafür Sorge tragen, dass hierbei alles datenschutzkonform abläuft.

Das Problem ist dabei weniger die Frage einer wirksamen Einwilligung, denn der Bewerber übermittelt zunächst zahlreiche Daten von sich aus (vgl. jedoch zur Problematik der wirksamen Einwilligung im laufenden Beschäftigungsverhältnis Kapitel 7). Doch schwieriger wird es bereits dann, wenn Unternehmen zur Person des Bewerbers recherchieren und z. B. „Fundsachen“ auf Facebook mit dem Bewerberprofil verknüpfen. Auch ein Bewerberinterview über Skype ist datenschutzrechtlich bedenklich, zumal meist nicht einmal der Interviewer selbst weiß, wo entsprechende Daten gespeichert werden - nämlich nicht nur beim Unternehmen selbst und nicht nur im räumlichen Geltungsbereich der DS-GVO, sondern oftmals auch in Clouds und auf Servern, die sich beispielsweise auch in den USA befinden können. Doch auch das klassisch „analog“ geführte Interview ist datenschutzrechtlich relevant, weil die an den Bewerber gerichteten Fragen ebenfalls zu einer Datenerhebung führen. Bei den so eingeholten Informationen sind ebenfalls die bereits am Anfang der DS-GVO stehenden Grundsätze der Zweckbindung (Art. 5 Abs. 1b) und Datenminimierung (Art. 5 Abs. 1c) einzuhalten. Hiernach sind Daten nicht auf Vorrat zu sammeln, sondern die Verwendungszwecke müssen von vornherein festgelegt, eindeutig und legitim sein. Ferner muss das Ausmaß der Verarbeitung personenbezogener Daten auf das für die Verarbeitungszwecke Notwendige beschränkt sein.[12]

Unternehmen müssen in diesem Zusammenhang insbesondere offenlegen, welche persönlichen Daten zu welchem Zweck gespeichert und weitergegeben werden und wer Zugriff auf diese Informationen hat. Den Bewerbern stehen entsprechende Fragerechte zu. Ebenso ist zu überlegen, an welche Personen - nämlich möglichst wenige - Bewerberdaten zirkuliert werden, welche Fragen den Bewerbern zulässigerweise gestellt werden dürfen und wie nach Abschluss des Bewerbungsprozesses mit den Daten umzugehen ist.

Soweit im Unternehmen ein Bewerbermanagement-System genutzt wird, ist darauf zu achten, dass nur restriktive Zugriffe eingeräumt und etwaige automatisierte Prozesse kritisch hinterfragt werden. Von technischer Seite ist u. a. abzuklären, ob die von der Software vorgesehenen Verschlüsselungsstandards noch den neuen Anforderungen genügen. Etwa genutzte Cloud-Lösungen sind ebenfalls kritisch auf ihre Datenschutzkonformität zu hinterfragen. Soweit Anbieter (insbesondere EU-externe) sich das Recht einer eigenen Weiterverarbeitung vorbehalten, entspricht es nicht den Kriterien der DS-GVO, dem Anbieter durch Nutzung der Cloud-Lösung Zugriff auf die Daten zu ermöglichen.[13]

Achtung

Werden Cloud-Lösungen genutzt, ist genau zu prüfen, ob die Nutzungsbedingungen des Anbieters ihrerseits den Anforderungen der DS-GVO entsprechen und ob bei dem Cloud-Anbieter und im Sitzland des Cloud-Anbieters ein ausreichendes Datenschutzniveau besteht (siehe dazu näher das Kapitel 16).

Die Grenzen der zulässigen Aufbewahrungsfristen sind ebenso zu beachten wie die Bindung an den Speicherungszweck. Hiernach ist der Zeitraum der Aufbewahrung beschränkt - eine Speicherung über die Dauer von mehr als einem halben Jahr ist auch mit Blick auf laufende AGG-Fristen (mögliche Diskriminierungsklagen, für die nach § 15 Abs. 4 Satz 1 AGG eine zweimonatige Geltendmachungsfrist ab Zugang der Absage gilt) nicht zu rechtfertigen. Danach hat eine Löschung zu erfolgen, schon aufgrund der Vorgaben zur Datenminimierung. Bereits eine nicht ausreichende Löschung nach Abschluss des - für den Kandidaten erfolglosen - Bewerbungsprozesses kann Bußgelder auslösen. Und nicht erst die Erfahrungen mit dem AGG[14] haben gezeigt, dass es durchaus Personen gibt, die zielgerichtet nach solchen Verstößen suchen. Dass eine datenschutzgerechte Vernichtung nicht vorliegt, wenn - überspitzt gesagt - die Bewerbungsunterlagen als Paket im Papierkorb entsorgt werden, versteht sich von selbst.

Auch der erfolgreiche Bewerber kann, bei strenger Betrachtung der Zweckbindung, bereits Löschungsansprüche haben, soweit Daten übermittelt wurden, die für die konkrete Beschäftigung nicht (mehr) erforderlich sind. Die Erforderlichkeit dürfte beispielsweise bei Schul- und Ausbildungszeugnissen und ggf. auch dem Bewerbungsanschreiben fehlen.

Für eine länger andauernde Speicherung ist das ausdrückliche Einverständnis des Bewerbers erforderlich, seine Daten in einem Kandidatenpool länger zu verwahren. Es ist daher sicherzustellen, dass bei Nichtvorliegen einer solchen Erklärung die Löschungsfristen beachtet werden und die Daten nicht auf irgendeinem Laufwerk „versickern“, auf welchem sie auch Jahre später noch zu finden sein werden. Zu denken ist dabei nicht nur an eine Compliance an sich, sondern auch an deren Nachweisbarkeit, sodass beispielsweise Prozesse entwickelt werden müssen, wie eine etwa angeforderte Datenlöschung (vgl. hierzu Kapitel 17.1) bewiesen werden kann.

Insgesamt müssen die Prozesse im Bereich Recruiting daher grundlegend überprüft und ggf. angepasst werden. Die Einführung und Vermittlung von datenschutzkonformen Standards schützt davor, dass zu viele Akteure „irgendwas“ tun und dabei nicht auf Datenschutzkonformität achten.[15]

2.3   Aufgaben im laufenden Beschäftigungsverhältnis

Auch über laufende Prozesse müssen sich Personalverantwortliche Gedanken machen. So gilt es insbesondere, die Grundlagen für Datenverarbeitungen im laufenden Beschäftigungsverhältnis einer kritischen Prüfung zu unterziehen. Zahlreiche Einwilligungserklärungen und auch Betriebsvereinbarungen, die in der Zeit vor Geltung der DS-GVO eine zulässige Grundlage für die Datenverarbeitung darstellten, genügen heute nicht mehr den Standards. Dies bedeutet nicht nur, dass etwa vorhandene Muster, die die Personalabteilung über die Zeit hinweg zusammengestellt hat, für die Zukunft angepasst werden müssen, sondern entzieht ggf. auch in bestehenden Beschäftigungsverhältnissen zahlreichen Datenverarbeitungsprozessen die Erlaubnisgrundlage.

Die DS-GVO legt zwar zugrunde, dass auch im Beschäftigungsverhältnis eine Einwilligung eine zulässige Grundlage für eine Datenverarbeitung darstellen kann - vielfach wird jedoch empfohlen, sich nicht allein auf diese Erlaubnisgrundlage zu verlassen. Sie ist fehleranfällig und u. U. nicht nachhaltig. Ersteres liegt bereits daran, dass die Einwilligung freiwillig erfolgen und auf informierter Grundlage erklärt werden muss. Fehler können hier dazu führen, dass die Freiwilligkeit infrage gestellt wird oder der Betroffene geltend macht, nicht über alle entscheidungserheblichen Informationen verfügt zu haben, als er die Einwilligung erteilte. Hauptaufgabe wird insoweit sein, die Arbeitsverträge entsprechend anzupassen und auf Klauseln zu verzichten, die die Einwilligungserklärung direkt mit der Vertragsunterzeichnung verknüpfen. Doch auch bei ordnungsgemäßer Vorbereitung und nicht zu beanstandender Einwilligungserklärung kann sich die jederzeitige Widerruflichkeit der Einwilligung als Problem darstellen. Datenverarbeitungen sollten daher nicht mehr ausschließlich auf dieser Grundlage erfolgen. Generell ergibt sich das Erfordernis, neue Einwilligungen einzuholen, wobei diese jeweils von dem Verwendungszweck abhängen und wegen des Gebots der „informierten Einwilligung“ (vgl. § 26 Abs. 2 Satz 4 BDSG n. F.[16]) die Erstellung der Vorlage einen gewissen Aufwand mit sich bringt.

Auch die in der Korrespondenz mit Beschäftigten genutzten Kommunikationsmedien sollten überprüft werden. So ist beispielsweise ein „üblicher“ Austausch über WhatsApp genau besehen an den Maßstäben der Auftrags(daten)verarbeitung (vgl. näher dazu das Kapitel 13) zu messen und insbesondere dann heikel, wenn es den Gepflogenheiten in der Praxis des Beschäftigungsverhältnisses entspricht, dass hierüber u. a. Krankmeldungen übermittelt werden. Automatische Backups solcher und ähnlicher Messenger-Dienste, die unverschlüsselt in Clouds gespeichert werden, dürften nicht den Kriterien der DS-GVO entsprechen. Vor diesem Hintergrund sollten auch die Berührungspunkte des gelebten Beschäftigungsverhältnisses mit Diensten wie Facebook, Twitter oder Instagram - insbesondere bei Pflege von Unternehmensprofilen - auf ihre Datenschutzkonformität überprüft werden. In der Praxis empfiehlt sich außerdem - auch unter Berücksichtigung der zu erwartenden Vorgaben der zukünftigen ePrivacy-Verordnung - sich nicht noch stärkeren Restriktionen zu unterwerfen, indem die private Nutzung von betrieblichen Kommunikationsmitteln erlaubt wird.[17]

Weiterhin sollten sich Personalverantwortliche damit vertraut machen, welche Betroffenenrechte es nach Art. 12 ff., 23 DS-GVO i. V. m. §§ 32 ff. BDSG n. F. gibt und wie auf entsprechende Anforderungen zu reagieren ist. Bestimmte Datenverarbeitungen, die durchaus verbreitet sind, können gerade unter Geltung der DS-GVO zu hinterfragen sein. Zu denken ist hier beispielsweise an eine auf einer „Alt-Einwilligung“ beruhenden Veröffentlichung von Kontaktdaten und Profilbildern auf der Firmenwebsite, soweit es sich um Mitarbeiter handelt, die keine sog. Funktionsträger sind.

Für die Reaktion auf ein Verlangen auf Herausgabe bzw. Löschung von Daten gelten kurze Fristen. Die Praxis zeigt, dass solche Anfragen als unangenehm empfunden werden und bestenfalls erst einmal liegenbleiben, bis man vielleicht nach einigen Tagen die Rechtsabteilung oder den Datenschutzbeauftragten einbezieht. Hier gilt es, zeitnah umzudenken und entsprechenden Aufforderungen die gebotene Priorität beizumessen.

2.4   Aufgaben nach Beendigung des Beschäftigungsverhältnisses

Die Beendigung eines Beschäftigungsverhältnisses ist ebenfalls mit zahlreichen datenschutzrechtlichen Fragestellungen verbunden. Gerade bei einer weniger einvernehmlichen Beendigung dürften diejenigen Fälle, die mit unmittelbar geäußerten datenschutzrechtlichen Löschungsanforderungen einhergehen, zukünftig zunehmen. Die Umsetzung des „Rechts auf Vergessenwerden“ (Art. 17 DS-GVO) erweist sich dabei als ausgesprochen schwierig. Je nach Daten ist zu differenzieren, inwieweit einer Aufforderung zur Löschung nachgekommen werden kann bzw. muss.[18]

Um in diesem Kontext beurteilen zu können, welche datenschutzrechtlichen Pflichten bestehen, ist es wichtig, sich zu vergegenwärtigen,

inwieweit personenbezogene Daten das Beschäftigungsverhältnis überdauern,

zu welchen Zwecken sie gespeichert worden waren,

ob ein Aufbewahrungsinteresse vom Speicherzweck gedeckt ist und

welche Daten demgegenüber in welchem zeitlichen Abstand zur Beendigung des Anstellungsverhältnisses zu löschen sind.

Grundsätzlich entfällt der wesentliche Zweck der Speicherung mit Beendigung des Arbeitsverhältnisses. Anlässlich der Beendigung hat eine Bestandsanalyse zu erfolgen, wo überall Daten mit der Person des ausgeschiedenen Arbeitnehmers verknüpft sind und inwieweit diese auch ohne ausdrückliche Aufforderung zu loschen sind. Bei Bildern dürfte beispielsweise von einer automatischen Löschungspflicht auszugehen sein1 und das Kunsturhebergesetz nicht (mehr) als Argument für eine Unwiderruflichkeit der Einwilligung ausreichen.

Als schwieriger erweist sich dabei der Umgang mit dem dienstlichen E-Mail-Konto, da sich der Arbeitgeber hier einerseits Löschungsanforderungen, andererseits Aufforderungen zur Herausgabe von Daten ausgesetzt sehen kann.[19]

Wichtig

Es empfiehlt sich, das E-Mail-Konto zunächst nur zu deaktivieren und zu sperren und mit Blick auf möglicherweise noch erfolgende Ansprüche auf Herausgabe von Daten vorerst nicht zu löschen, weil dies wiederum Schadensersatzpflichten auslösen könnte.

Eine automatische Weiterleitung aller an die E-Mail-Adresse eingehenden Nachrichten dürfte datenschutzrechtlich unzulässig sein, insbesondere wenn die private Nutzung des Postfachs faktisch geduldet ist.

Soweit dienstlich genutzte Arbeitsmittel abgegeben werden, sollte der Betroffene vorsorglich auf Löschungsmöglichkeiten (insbesondere bei Diensthandy und Laptop, aber z. B. auch beim Navigationssystem des privat genutzten Dienstwagens) hingewiesen werden.

Festzuhalten ist, dass einer Löschungsaufforderung jedenfalls zunächst nicht vollständig nachgekommen werden kann, was auch Art. 17 Abs. 3 DS-GVO anerkennt, indem er u. a. die Geltendmachung/Ausübung/Verteidigung von Rechtsansprüchen als Einwand anerkennt. Ebenso ist eine fortgesetzte Speicherung unter Verweis auf rechtliche Verpflichtungen (zu denken ist hier beispielsweise an die zweijährigen Aufbewahrungsfristen für die über acht Stunden pro Tag hinausgehende Arbeitszeit oder für bestimmte Steuerunterlagen und Lohnabrechnungsunterlagen, die sechs Jahre aufzubewahren sind) ein Löschungshindernis.[20]

Naturgemäß kann es hier noch keine Faustregeln geben; wichtig ist aber für Personalverantwortliche, eine entsprechende Sensibilität im Umgang mit Daten zu entwickeln und sich insbesondere in Konfliktfällen der Brisanz des Themas bewusst zu sein.

2.5   Zur Rolle des Betriebsrats

Personalverantwortliche müssen in datenschutzrechtlichen Fragen auch darauf achten, dass im Zusammenwirken mit dem Betriebsrat keine Rechtsverstöße begangen werden. Dies betrifft insbesondere die Verhandlung von Betriebsvereinbarungen, aber auch die Preisgabe von Daten an den Betriebsrat.

Der Betriebsrat selbst hat nach § 80 Abs. 1 Nr. 1 BetrVG darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze durchgeführt werden - dies betrifft auch datenschutzrechtliche Vorgaben, wobei sich die Überwachungsaufgabe auch auf die Beachtung des Datenschutzes selbst bezieht2.

Betriebsvereinbarungen sind im datenschutzrelevanten Bereich eine beliebte Grundlage, um eine datenschutzrechtliche Rechtfertigung zu schaffen, was oftmals sachgerecht ist und für Beschäftigte die Transparenz erhöht. Die Neuregelung bringt dabei nicht nur mit sich, dass bei zukünftigen Betriebsvereinbarungen die DS-GVO beachtet werden muss. Die wichtigste Aufgabe ist jedoch die Prüfung bestehender Betriebsvereinbarungen darauf, ob diese den aktuellen Vorgaben noch genügen - denn die Vorgaben sind strenger geworden3. Unter Geltung der DS-GVO können damit bisher ausreichende Erlaubnisnormen entfallen sein. Hieraus ist aber nicht zu schlussfolgern, dass nun sämtliche Betriebsvereinbarungen Makulatur wären - einer besonderen Analyse bedürfen aber gerade diejenigen Regelungen, die ausdrücklich den Zweck erfüllen sollen, eine datenschutzrechtliche Erlaubnisnorm zu schaffen. Je nach bisheriger Praxis kann sich hier ein erheblicher Anpassungsbedarf ergeben. Siehe näher zum Themenkomplex der Kollektivvereinbarungen das Kapitel 8.[21]

Generell zählt es bei Verhandlungen über Betriebsvereinbarungen zu den Aufgaben von Personalverantwortlichen, dem Betriebsrat auch die Notwendigkeit entsprechender Regelungen zu Datenschutzaspekten - wie beispielsweise zur Zweckbindung, Vorgaben zur Datensicherheit, Umgang mit Verletzungen, Dokumentations- und Informationspflichten, Löschfristen etc. - zu vermitteln und entsprechende gemeinsame Lösungen im Kontext des Regelungszwecks zu erarbeiten. Auch terminologisch sollte fortan darauf geachtet werden, sich an der DS-GVO zu orientieren.

Im Zuge der verschärften Datenschutzanforderungen wird weiterhin kritisch zu prüfen sein, ob eine bislang praktizierte großzügige Handhabung im Zusammenhang mit Auskunfts- und Informationsbegehren von Betriebsratsseite die Grenzen des Zulässigen überschreitet. So merkt Wybitul4 an, dass Betriebsräte es künftig „deutlich umfassender als bislang“ darlegen müssen, wenn sie Informationen unter Angabe von Klarnamen wünschen. Arbeitgeber müssen hierbei prüfen, ob anonymisierte Daten ausreichen - bejahendenfalls wäre eine Kundgabe von Datensätzen mit eindeutiger Identifizierbarkeit der betroffenen Beschäftigten datenschutzrechtlich unzulässig5[22]. Die Abgrenzung zwischen Erfüllung von Auskunfts- und Informationsbegehren des Betriebsrats auf der einen und Wahrung von Datenschutzkonformität auf der anderen Seite dürfte die Praxis noch vor einige Probleme stellen. Insbesondere kann es schwierig werden, eine fristgerechte Löschung von im Verantwortungsbereich des Betriebsrats hinterlegten Daten zu gewährleisten, ohne dabei zu sehr in die Sphäre des Gremiums einzugreifen.

2.6   Instruktion von Mitarbeitern

Ein hinreichendes Bewusstsein der Personalverantwortlichen für die neuen Anforderungen der DS-GVO ist essenziell für die Gewährleistung von Datenschutz-Compliance, aber bei weitem nicht ausreichend. Mithin ist es auch und gerade eine Aufgabe der Fach- und Führungskräfte, diese Vorgaben an nachgeordnete Mitarbeiter zu vermitteln.

Als erste Merkliste, aber keineswegs abschließend, sei beispielsweise auf folgende notwendige Kenntnisse verwiesen, die es zu vermitteln und zu verinnerlichen gilt:

Welche Maßnahmen sind erforderlich, um DS-GVO-Compliance sicherzustellen?

Welche Bedingungen des Bewerber- und Beschäftigtendatenschutzes müssen beachtet werden?

Wer ist für die Erfüllung welcher Pflichten verantwortlich? (Beispiele: Dokumentations- und Nachweispflichten, Verarbeitungsverzeichnis, Datenschutz-Folgenabschätzung, Meldepflichten, Erfüllung von Löschpflichten)

Wofür droht Haftung? Wie vermeidet man Bußgelder?

Welche Anforderungen gelten an die Datensicherheit?[23]

Welche Meldepflichten gibt es bei Verstößen?

Wer überwacht die DS-GVO-Compliance?

Dabei sind jeweils intern insbesondere die Zuständigkeiten und Prozessbeschreibungen festzulegen. Sie müssen auf das konkrete Unternehmen zugeschnitten sein, da es hierzu keine zwingenden Vorgaben gibt.

Nach Art. 39 Abs. 1b DS-GVO trifft die Pflicht zur Sensibilisierung und (nachweisbaren) Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter zwar den Datenschutzbeauftragten. Verantwortliche Führungskräfte dürfen daraus jedoch nicht schlussfolgern, dass etwaige Versäumnisse und daraus folgende Fehler dann allein in dessen Verantwortung lägen, denn die Vermeidung von Datenschutzverstößen obliegt nicht nur dem Datenschutzbeauftragten. Insoweit empfiehlt sich auch für Fach- und Führungskräfte eine Vermittlung von Grundlagenwissen an die mit Datenverarbeitungsvorgängen befassten Mitarbeiter und ggf. die gemeinsame Erarbeitung von auf das Unternehmen zugeschnittenen Anleitungen.

1So Fischer, NZA 2018, S. 8 (11).

2Thüsing, in: Richardi, BetrVG, § 80 Rn. 10.

3Vgl. Wybitul, ZD 2016, S. 203 (207).

4Wybitul, ZD 2016, S. 203.

5So bereits LAG Hamburg, Beschluss v. 26.11.2009, 7 TaBV 2/09.

3   Der Datenschutzbeauftragte

Dr. Axel von Walter

3.1   Die Pflicht zur Benennung eines Datenschutzbeauftragten

Die Benennung eines Datenschutzbeauftragten (DSB) ist nach Art. 37 Abs. 1 der DS-GVO für Unternehmen vorgeschrieben,

wenn die Kerntätigkeit des Unternehmens - egal ob als Verantwortlicher oder als Auftragsverarbeiter - in Datenverarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung von betroffenen Personen in großem Umfang erfordern, oder[24]

falls die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Neben dieser europarechtlichen Verpflichtung zur Bestellung eines Datenschutzbeauftragten bestimmt § 38 BDSG1 n. F. ergänzend, dass Unternehmen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Sofern Unternehmen Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 der DS-GVO unterliegen, oder wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Die Datenschutz-Grundverordnung geht von einem risikobasierten Ansatz aus und stellt bei der Bestellungspflicht auf die in Art. 37 DS-GVO benannten Risikobereiche der umfangreichen regelmäßigen und systematischen Überwachung oder der Verarbeitung von besonderen Kategorien von Daten einschließlich der Informationen über strafrechtliche Verurteilungen ab. Auch Kleinstunternehmen bzw. kleinere und mittlere Unternehmen fallen grundsätzlich in den Adressatenkreis dieser risikobasierten Verpflichtung. Nach dem Konzept der DS-GVO gibt es für sie keine Ausnahme bei der Benennungspflicht für Datenschutzbeauftragte. Der deutsche Gesetzgeber hat sich dazu entschlossen, zusätzlich die Bestellungspflicht nach der Anzahl der mit der Datenverarbeitung betrauten Mitarbeiter beizubehalten. In der Praxis werden also weiterhin die meisten Unternehmen in Deutschland verpflichtet sein, einen Datenschutzbeauftragten zu benennen.[25]

Sofern ein Unternehmen nicht verpflichtet ist, einen Datenschutzbeauftragten zu benennen, sollte die durchgeführte interne Analyse zur Frage der Benennungspflicht möglichst dokumentiert werden. Diese Analyse ist Teil der Dokumentation nach dem Prinzip der Rechenschaftspflicht2 und kann von der Aufsichtsbehörde verlangt werden.

Die risikobasierten Bestellungskriterien des Art. 37 DS-GVO stellen auf den Begriff der Kerntätigkeit ab. Kerntätigkeit soll sich nach dem Erwägungsgrund 97 auf die Haupttätigkeiten und nicht etwa auf Datenverarbeitung als Nebentätigkeit beziehen. Als Kerntätigkeit lassen sich die wichtigsten Arbeitsabläufe betrachten, die zur Erreichung der Ziele des Unternehmens erforderlich sind.3

Allerdings soll nach Auffassung der Artikel-29-Datenschutzgruppe nicht jede Tätigkeit, die für das Erreichen des Unternehmensziels notwendig ist, als Kerntätigkeit angesehen werden. Explizit nennt die Gruppe die „Entlohnung von Mitarbeitern“ oder die „Leistung von Standard-IT-Support“ als Beispiele notwendiger Unterstützungsfunktionen, die nicht Kerntätigkeit sein sollen.4[26]

Weiter knüpft Art. 37 DS-GVO an den Umfang der Verarbeitungsvorgänge an. Das Erfordernis der Benennung eines Datenschutzbeauftragten besteht nur dann, wenn eine umfangreiche Verarbeitung personenbezogener Daten erfolgt, wobei die DS-GVO nicht näher regelt, was unter „umfangreich“ zu verstehen ist. Im Erwägungsgrund 91 wird der Begriff „umfangreich“ näher beschrieben als große Menge personenbezogener Daten auf regionaler, nationaler oder supranationaler Ebene, die eine große Zahl von Personen betreffen könnten und auch aufgrund der Sensibilität wahrscheinlich ein hohes Risiko mit sich bringen. Dem stellt der Erwägungsgrund 91 entgegen, dass die Verarbeitung personenbezogener Daten von Patienten oder von Mandanten durch einen einzelnen Arzt oder einzelnen Rechtsanwalt noch nicht als umfangreich gelten soll. Zwischen diesen beiden in Erwägungsgrund 91 genannten Extrembeispielen ist der Begriff der „umfangreichen Verarbeitung“ zu verorten. Eine genaue Quantifizierung ist derzeit nicht möglich, worauf auch die Artikel-29-Datenschutzgruppe in ihren Leitlinien hinweist.5

Sie empfiehlt für die Frage, ob von einer umfangreichen Verarbeitung zu sprechen ist, die folgenden Kriterien mitabzuwägen:6

die Zahl der betroffenen Personen,

das Datenvolumen und/oder das Spektrum an in Bearbeitung befindlichen Daten,[27]

die Dauer oder Permanenz der Datenverarbeitungstätigkeit,

die geografische Ausdehnung der Verarbeitungstätigkeit.

Das Merkmal der regelmäßigen und systematischen Überwachung in Art. 37 ist in der DS-GVO ebenfalls nicht definiert. Nach Auffassung der Artikel-29-Datenschutzgruppe beschränkt sich der Begriff der Überwachung nicht auf die Online-Umgebung. „Regelmäßig“ soll eine Überwachung sein, die entweder fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommt, immer wieder oder wiederholt zu bestimmten Zeitpunkten auftritt oder ständig stattfindet.7

„Systematisch“ sind Überwachungen, wenn sie vereinbart, organisiert oder methodisch oder im Rahmen eines allgemeinen Datenerfassungsplans erfolgen oder wenn eine Strategie hinter der Überwachung liegt, so die Artikel-29-Datenschutzgruppe in ihren Richtlinien.8

Die von der Artikel-29-Datenschutzgruppe genannten Beispiele zeigen die hohe Relevanz des Merkmals „regelmäßige und systematische Überwachung“. So sollen der Betrieb eines Telekommunikationsnetzes, das Anbieten von Telekommunikationsdienstleistung, E-Mail-Werbung mit Tracking, datengesteuerte Marketingaktivitäten, Scoring, Betrugsabwehrmaßnahmen, Geolokalisierung, Treueprogramme, verhaltensbasierte Werbung, Fitness-Wearables, Überwachungskameras oder Smart-Home-Technologie darunterfallen.9

Neben diesen risikobasierten Anforderungen der DS-GVO bleibt die Bestellungspflicht nach Schwellenwert gem. dem BDSG n. F. selbstständig bestehen.

Wenn ein Unternehmen einen Datenschutzbeauftragten auf freiwilliger Basis ernennt, unterliegt dieser hinsichtlich Stellung und Aufgabenbereich denselben Anforderungen wie bei einer obligatorischen Benennung nach Art. 37 bis Art. 39 der DS-GVO.[28]

3.2   Benennung und Abberufung eines Datenschutzbeauftragten

3.2.1   Die Formalien der Benennung

Der Datenschutzbeauftragte sollte stets schriftlich, mindestens aber in Textform benannt werden. Zwar kennt die DS-GVO keine Formerfordernisse für die Benennung, jedoch sollte diese im Rahmen der Verantwortlichkeit entsprechend dokumentiert werden.

Auch die Dauer der Benennung wird von der DS-GVO nicht geregelt. Eine zunächst vorgesehene Befristung der Benennung wurde in die endgültige Fassung der DS-GVO nicht übernommen.10 Deswegen ist grundsätzlich sowohl eine Benennung auf unbestimmte Zeit als auch eine Benennung mit zeitlicher Befristung möglich. Allerdings sollte die Befristung nicht derart kurz bemessen sein, dass die unabhängige Stellung des Datenschutzbeauftragten gefährdet ist.

Sobald ein Datenschutzbeauftragter benannt ist, sind die Unternehmen verpflichtet, über den Datenschutzbeauftragten an unterschiedlichen Stellen zu informieren.

Wichtige Informations- und Benachrichtigungspflichten nach Bestellung des Datenschutzbeauftragten

Unternehmen müssen die Kontaktdaten des Datenschutzbeauftragten der Aufsichtsbehörde mitteilen, Art. 37 Abs. 7 DS-GVO.

Außerdem sind Kontaktmöglichkeiten, nicht aber der Name des Datenschutzbeauftragten, zu veröffentlichen (z. B. auf der Internetseite des Unternehmens).[29]

Name und Kontaktdaten des Datenschutzbeauftragten sind ferner im Verzeichnis der Verarbeitungstätigkeiten nach Art. 30 Abs. 1a, Abs. 2a DS-GVO und

in den Betroffenen-Informationen nach Art. 13 Abs. 1b, Art. 14 Abs. 1b DS-GVO aufzunehmen.

Bei Datenschutzverletzungen (Art. 4 Nr. 12 DS-GVO) sind die Kontaktdaten des Datenschutzbeauftragten der Aufsichtsbehörde mitzuteilen, Art. 33 Abs. 3b DS-GVO.

Auch im Zusammenhang mit Datenschutz-Folgeabschätzungen müssen die Kontaktdaten des Datenschutzbeauftragten an die Aufsichtsbehörde mitgeteilt werden, Art. 36 Abs. 3d DS-GVO.

Es gibt nur eine einheitliche Benennung des Datenschutzbeauftragten für das ganze Unternehmen und sämtliche Verarbeitungsvorgänge. Eine selektive Ernennung nach Geschäftsbereichen oder einzelnen Verarbeitungstätigkeiten ist nicht möglich. Dies gilt unabhängig davon, ob die Ernennung obligatorisch ist oder auf freiwilliger Basis erfolgt.

3.2.2   Benennung für mehrere Organisationen

Nach Art. 37 Abs. 2 DS-GVO kann eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann. Der Begriff der Unternehmensgruppe ist in Art. 4 Nr. 19 DS-GVO definiert als Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht. Es ist strittig, ob eine einzelne Benennung für sämtliche Unternehmen der Unternehmensgruppe ausreicht oder ob die Benennung des Datenschutzbeauftragten durch jedes Konzernunternehmen erfolgen muss. Im Interesse des einzelnen Konzernunternehmens und dessen Verpflichtung zur ordnungsgemäßen Dokumentation im Rahmen der Verantwortlichkeit empfiehlt es sich deswegen, den jeweiligen Benennungsakt durch die jeweilige verantwortliche Stelle zu dokumentieren. Aus Sicht der Aufsichtsbehörden ist es wichtig, dass der gemeinsame Datenschutzbeauftragte „leicht erreicht werden kann“. Der Begriff der Erreichbarkeit soll sich auf seine Aufgaben als Ansprechpartner für Betroffene und für die Aufsichtsbehörden beziehen.11[30]

Der Datenschutzbeauftragte muss also in der Lage sein, sowohl mit den jeweiligen Betroffenen als auch mit den jeweils zuständigen Aufsichtsbehörden zu kommunizieren. „Erreichbarkeit“ hat hier mehrere Dimensionen und schließt die Erreichbarkeit durch entsprechende Kommunikationsmittel einerseits wie auch die Sprache andererseits mit ein. Ob ein europaweit tätiger Datenschutzbeauftragter sämtliche Amtssprachen der EU beherrschen muss, um insoweit mit den Aufsichtsbehörden kommunizieren zu können, ist zweifelhaft. Eine effiziente Kommunikation über weitverbreitete Amtssprachen (z. B. Englisch, ggf. Französisch und Deutsch) oder mithilfe von unmittelbar zur Verfügung stehenden Übersetzungsressourcen scheint hier ausreichend und im Sinne des grenzüberwindenden Gedankens des europäischen Gesetzgebers. Die Artikel-29-Datenschutzgruppe empfiehlt zwar die Ernennung eines Datenschutzbeauftragten mit Sitz in der Europäischen Union. Gleichwohl ist nicht ausgeschlossen, dass ein außerhalb der EU niedergelassener Datenschutzbeauftragter seine Aufgaben ebenso effektiv ausüben kann.12[31] Zu beachten ist aber im Hinblick auf die deutschen Aufsichtsbehörden, dass nach § 23 VwVfG bzw. nach dem jeweils anwendbaren Landesverwaltungsverfahrensgesetz die Amtssprache deutsch ist. Hiesige Aufsichtsbehörden werden aufsichtliche Verfahren also im Einklang mit dem jeweils anwendbaren Verwaltungsverfahrensgesetz in deutscher Sprache führen, auch wenn die informelle Kommunikation mit den Behörden z. B. auf Englisch durchaus möglich sein kann.

3.2.3   Abberufung

Die DS-GVO regelt die Abberufung von Datenschutzbeauftragten nicht. Nach §§ 38 Abs. 2, 6 Abs. 4 Satz 1 BDSG i. V. m. § 626 BGB kann der Datenschutzbeauftragte nur aus wichtigem Grund binnen einer Zwei-Wochen-Frist abberufen werden. Der interne Datenschutzbeauftragte genießt somit während seiner Amtszeit und einer nachlaufenden Frist von einem Jahr nach Beendigung seiner Tätigkeit als Datenschutzbeauftragter einen Sonderkündigungsschutz. Während dieser Zeit kann der Datenschutzbeauftragte bzw. ehemalige Datenschutzbeauftragte nur aus wichtigem Grund gekündigt werden. Ein Handeln als Datenschutzbeauftragter in Ausübung der entsprechenden Verpflichtungen kann jedoch niemals eine Kündigung rechtfertigen.

3.3   Anforderungen an den Datenschutzbeauftragten

Nach Art. 37 Abs. 5 DS-GVO wird der Datenschutzbeauftragte auf Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, dass er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DS-GVO genannten Aufgaben (siehe dazu Kapitel 3.5). Die erforderliche Tiefe des Fachwissens soll sich entsprechend des Erwägungsgrunds 97 der Verordnung nach dem unternehmensspezifischen Risiko, also nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz der vom Unternehmen verarbeiteten personenbezogenen Daten richten.[32]

Der Datenschutzbeauftragte kann nach Art. 37 Abs. 6 DS-GVO Beschäftigter des Unternehmens sein oder seine Aufgabe als externer Datenschutzbeauftragter auf Grundlage eines Dienstleistungsvertrages erfüllen. Für die Frage, ob ein Unternehmen einen internen Datenschutzbeauftragten benennen soll oder diese Funktion durch einen externen Datenschutzbeauftragten ausführen lässt, gibt es keine allgemeingültige Antwort. Beide Gestaltungsmöglichkeiten haben Vor- und Nachteile. Aus Sicht des Unternehmens als verantwortliche Stelle und im Hinblick auf die mit dieser Verantwortung verbundene Haftung macht es keinen Unterschied, ob ein interner oder externer Datenschutzbeauftragter benannt wird. Bei der Abwägung sollte das Unternehmen die besondere Rolle des Datenschutzbeauftragten als sowohl intern als auch extern unabhängige beratende Anlaufstelle für Datenschutzfragen und Datenschutz-Compliance berücksichtigen. Die Auswahl insbesondere von externen Datenschutzbeauftragten bedarf einer hohen Sorgfalt seitens des Unternehmens. Es sollte sich von der Fachkunde und Geeignetheit des externen Anbieters sorgfältig überzeugen, denn auch die Auswahl eines geeigneten Datenschutzbeauftragten selbst ist Teil der Compliance-Anforderungen an die Unternehmensleitung mit den entsprechenden zusätzlichen Haftungsrisiken.[33]

Tipps

Folgende Fragen können bei der Auswahl von externen Anbietern hilfreich sein:

Wie lange ist der Anbieter bereits im Datenschutz tätig?

Welche relevanten Berufsabschlüsse oder Zertifizierungen hat der Anbieter?

Welche Unternehmen und/oder Organisationen hat der Anbieter bereits im Datenschutz begleitet (Beschreibung auf abstrakter Ebene)?

Wird der Anbieter während der Tätigkeit seinen ständigen Aufenthalt innerhalb der EU haben?

Kann der Anbieter laufende Fortbildungsnachweise liefern?

Welche Interessenkonflikte können auftreten, wenn der Anbieter für das Unternehmen tätig wird? Wie ist die Unabhängigkeit des Datenschutzbeauftragten sichergestellt?

In welchem Umfang ist der externe Anbieter auf unternehmensinterne Ressourcen angewiesen?

In welcher Beziehung steht der Dienstleister zu der örtlich zuständigen Aufsichtsbehörde?

Hat der Anbieter spezifische Branchenerfahrung?

Wie ist das Haftpflichtrisiko bei dem Anbieter abgesichert? Existieren Versicherungen? Und wenn ja, in welcher Deckungshöhe?

Welche Ressourcen und weiteren Mittel benötigt der Anbieter als externer Datenschutzbeauftragter für Ihr Unternehmen?[34]

Wie ist sichergestellt, dass der Datenschutzbeauftragte in Krisenfällen erreichbar und verfügbar ist?

Besonders wichtig ist die Unabhängigkeit des Datenschutzbeauftragten. Externe Datenschutzbeauftragte können deswegen nicht gleichzeitig Berater der Unternehmensleitung sein (z. B. Steuerberater, Hausanwalt des Unternehmens). Ein Mitglied eines Organs des Unternehmens, etwa der Geschäftsführer einer GmbH oder ein Vorstand der AG, sowie andere Mitarbeiter mit Leitungsfunktion und Entscheidungsgewalt können das Amt des internen Datenschutzbeauftragten nicht ausüben, weil es an der für die Ausübung der Kontrollfunktion notwendigen Unabhängigkeit fehlt. Mit der Stellung des Datenschutzbeauftragten wäre es nicht zu vereinbaren, wenn er letztendlich seine eigene Tätigkeit und seine eigenen Entscheidungen kontrollieren müsste.13

Eine Doppelrolle als interner Datenschutzbeauftragter und Betriebsrat hingegen ist möglich.14

Das erforderliche Fachwissen ist weder in der DS-GVO noch im BDSG festgelegt. Es kommt hier auf die Sensibilität, Komplexität und Menge der Daten an, die das Unternehmen verarbeitet. Deswegen werden z. B. die Anforderungen an einen Datenschutzbeauftragten in einem großen Universitätsklinikum deutlich höher sein als in einem kleineren verarbeitenden Betrieb. Besondere berufliche Vorkenntnisse sind für die Rolle des Datenschutzbeauftragten grundsätzlich nicht erforderlich. Das notwendige Fachwissen kann selbstverständlich durch entsprechende Fortbildungen oder auch durch Selbststudium erworben werden. Branchenkenntnis und Vertrautheit mit der Unternehmensstruktur sind genauso wichtig.[35]

Art. 37 Abs. 5 fordert zudem - neben den Fachkenntnissen - die Fähigkeit zur Erfüllung der in der DS-GVO benannten Aufgaben des Datenschutzbeauftragten. Im Rahmen dieses Tatbestandsmerkmals kommen auch die persönliche Integrität und Zuverlässigkeit des Datenschutzbeauftragten zum Tragen.

3.4   Die Stellung des Datenschutzbeauftragten im Unternehmen

Die Datenschutz-Grundverordnung sieht im Datenschutzbeauftragten einen unabhängigen Ansprechpartner und Berater für die betrieblichen Datenschutzbelange, der auch die Einhaltung der Datenschutzanforderungen im Unternehmen mitüberwacht. Die Datenschutz-Grundverordnung folgt auch hier dem risikobasierten Ansatz: Sie schreibt vor, dass das Unternehmen sicherzustellen hat, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit den schutzpersonenbezogenen Daten zusammenhängende Fragen eingebunden wird, Art. 38 Abs. 1 DS-GVO. Bei der Datenschutz-Folgenabschätzung spezifiziert die DS-GVO diese frühzeitige Einbindung nochmals gesondert.15

Die Vorgabe des Art. 38 Abs. 1 DS-GVO ist nicht bloßer Programmsatz. Die Datenschutz-Grundverordnung forciert unternehmensinterne Datenschutzstrukturen, die von vornherein datenschutzfreundliche Prozesse im Unternehmen sicherstellen sollen. Konkret ist der Datenschutzbeauftragte also in alle maßgeblichen Arbeitsgruppen integriert, die sich mit Datenverarbeitungstätigkeiten innerhalb des Unternehmens befassen.16[36]

Tipp

Die Artikel-29-Datenschutzgruppe empfiehlt Unternehmen, dafür Sorge zu tragen, dass17

der Datenschutzbeauftragte regelmäßig an Treffen des leitenden und mittleren Managements teilnimmt und hierzu eingeladen wird;

seine Anwesenheit bei Entscheidungen, welche Fragen des Datenschutzes tangieren, sichergestellt ist und ihm alle maßgeblichen Informationen vorab zur Verfügung stehen;

der Datenschutzbeauftragte zu datenschutzrelevanten Themen angehört wird und bei Verfahren, bei denen seiner Auffassung nicht gefolgt wird, die Gründe für die Abweichung von seiner Empfehlung dokumentiert werden;

bei Verletzung datenschutzrechtlicher Bestimmungen oder Datenschutzvorfällen der Datenschutzbeauftragte unverzüglich hinzugezogen wird.

Art. 38 Abs. 2 DS-GVO verpflichtet das Unternehmen, den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen, indem es die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellt. Welche Ressourcen im Einzelfall erforderlich sind, bestimmt sich gemäß dem risikobasierten Ansatz der DS-GVO wiederum nach der Komplexität und Sensibilität der Datenverarbeitungsvorgänge. Der Datenschutzbeauftragte soll nach der Vorstellung des Gesetzgebers entsprechend der Risiken effektiv arbeiten können und dafür - auch zur Sicherstellung seiner Unabhängigkeit - die notwendigen Ressourcen erhalten. Das bedeutet in der betrieblichen Praxis, dass der Datenschutzbeauftragte[37]

genügend Arbeitszeit für die Erfüllung seiner Pflichten erhält und dass dieses Zeitkontingent möglichst auch in Stunden oder als Prozentsatz der Arbeitszeit festgelegt wird;

ausreichende finanzielle Mittel und eine passende Infrastruktur (IT-Ausstattung, Räumlichkeiten und ggf. unterstützendes Personal) erhält;

Zugang zu anderen Unternehmensbereichen und Abteilungen zur Unterstützung seiner Arbeit erhält, insbesondere zur Personal-, Rechts-, IT-Abteilung etc.;

Möglichkeiten zur kontinuierlichen Fortbildung erhält.

Die Verpflichtung aus Art. 38 Abs. 2 DS-GVO kann auch dazu führen, dass ein Unternehmen verpflichtet ist, eine Datenschutzabteilung unter der Leitung des Datenschutzbeauftragten einzurichten.

Ein weiterer wichtiger Punkt auch für die Stellung des Datenschutzbeauftragten ist wiederum seine vollständige Unabhängigkeit innerhalb des Unternehmens.18

Konkret dürfen dem Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben keine Anweisungen zu deren Ausübung erteilt werden, Art. 38 Abs. 3 Satz 1 DS-GVO. Er darf von dem Unternehmen wegen der Erfüllung seiner Aufgaben auch nicht abberufen oder benachteiligt werden, Art. 38 Abs. 3 Satz 2 DS-GVO. Diese Garantien für die Unabhängigkeit des Datenschutzbeauftragten gehen aber nur so weit, wie das Aufgabenfeld des Datenschutzbeauftragten nach Art. 39 der DS-GVO reicht. Außerhalb dieses von der DS-GVO definierten Aufgabenbereichs greifen die Weisungsfreiheit und der Kündigungsschutz bzw. das Benachteiligungsverbot nach DS-GVO nicht. Andere möglicherweise anwendbare Schutzprinzipien nach dem nationalen Arbeitsrecht bleiben davon selbstverständlich unberührt.[38]

Nach Art. 38 Abs. 3 Satz 3 DS-GVO berichtet der Datenschutzbeauftragte unmittelbar der höchsten Managementebene des Unternehmens. Diese Anforderung ist nicht unbedingt im Sinne einer Organisationsanforderung im Rahmen der internen Unternehmensstruktur zu verstehen. Vielmehr geht es darum, dass der Datenschutzbeauftragte unmittelbaren Zugang zu den Entscheidungsträgern erhält, um seine Auffassungen zu datenschutzrelevanten Themen direkt vorzutragen. Dadurch soll sichergestellt werden, dass das leitende Management von den Anregungen und Empfehlungen des Datenschutzbeauftragten im Rahmen seiner Aufgabe, den Verantwortlichen oder den Auftragsverarbeiter zu unterrichten und zu beraten, Kenntnis erlangt.19

Die Datenschutz-Grundverordnung erlaubt es, den Datenschutzbeauftragten mit anderen Aufgaben und Pflichten zu belegen, solange das Unternehmen sicherstellt, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen, Art. 38 Abs. 6 DS-GVO. Diese Anforderung steht in engem Zusammenhang mit der Unabhängigkeit als Datenschutzbeauftragter. Typischerweise ergeben sich Interessenkonflikte mit dieser Unabhängigkeit bei Mitgliedern des leitenden Managements.

Der Datenschutzbeauftragte unterliegt selbstverständlich in seiner Rolle einer besonderen Vertraulichkeits- und Geheimhaltungsverpflichtung, Art. 38 Abs. 5 DS-GVO.[39]

Checkliste: Sind die Vorgaben des § 38 DS-GVO zur Stellung des Datenschutzbeauftragten eingehalten?Verfügt der Datenschutzbeauftragte über angemessene finanzielle und personelle Mittel, um die unternehmensweiten Datenschutzanforderungen umzusetzen?□Berichtet der Datenschutzbeauftragte direkt an die Unternehmensleitung?□Ist durch entsprechende Prozesse sichergestellt, dass der Datenschutzbeauftragte frühzeitig bei allen Angelegenheiten, die den Schutz personenbezogener Daten betreffen, beteiligt wird?□Bestehen einfache Möglichkeiten für Mitarbeiter, Betroffene und Aufsichtsbehörden, den Datenschutzbeauftragten zu kontaktieren?□Steht dem Datenschutzbeauftragten ein ausreichendes Zeitbudget für seine Tätigkeit zur Verfügung?□Übt er neben seiner Rolle auch andere Tätigkeiten im Unternehmen aus und führen solche Tätigkeiten zu einem Interessenkonflikt mit seiner Rolle als Datenschutzbeauftragter?□

3.5   Aufgaben und Pflichten des Datenschutzbeauftragten

Nach Art. 39 DS-GVO obliegen dem Datenschutzbeauftragten folgende Aufgaben:

Unterrichtung und Beratung des Unternehmens und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach der DS-GVO sowie nach sonstigen Datenschutzvorschriften;

Überwachung der Einhaltung der DS-GVO, anderer Datenschutzvorschriften sowie der Strategien des Unternehmens für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;[40]

Beratung - auf Anfrage - im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung (vgl. Art. 35 DS-GVO);

Zusammenarbeit mit der Aufsichtsbehörde;

Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation im Rahmen von Datenschutz-Folgenabschätzungen und gegebenenfalls Beratung zu allen sonstigen Fragen.

Eine zentrale Aufgabe des Datenschutzbeauftragten ist die Überwachung der Einhaltung der DS-GVO. Dabei kann der Datenschutzbeauftragte Informationen zu Datenverarbeitungstätigkeiten sammeln, die Einhaltung der Vorgaben aus der DS-GVO und anderen Datenschutzvorschriften analysieren und kontrollieren und dem Unternehmen entsprechende Empfehlungen aussprechen. Auch wenn die Überwachung der Einhaltung der Datenschutzvorschriften zum Rollenbild des Datenschutzbeauftragten gehört, bedeutet dies nicht, dass im Falle der Nichteinhaltung der Datenschutzbeauftragte persönlich zur Verantwortung gezogen werden kann. Die Einhaltung der datenschutzrechtlichen Bestimmungen fällt ausschließlich in den Aufgabenbereich des Verantwortlichen und nicht in den des Datenschutzbeauftragten.20