Dr. Frank Bongers ist seit 2002 bei Esche Schümann Commichau tätig. Er ist Rechtsanwalt und Fachanwalt für Arbeitsrecht und berät Mandanten insbesondere zu Fragen des Datenschutzrechts und des Arbeitsrechts. Seit 1999 ist er außerdem als Referent für datenschutz- und arbeitsrechtliche Themen aktiv. Dr. Bongers ist Autor zahlreicher Veröffentlichungen sowie der E-Learning-Plattform BDSG-Wissen.de.
Mit Spannung war erwartet worden, ob das Bundesarbeitsgericht (BAG) in der für den 27.04.2021 angekündigten Entscheidung mehr Klarheit über den Umfang eines Anspruchs auf Kopien von personenbezogenen Daten nach Art. 15 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) bringen würde. Soweit dies die Pressemitteilung erkennen lässt, hat das BAG diese Frage jedoch offengelassen, weil es den Klageantrag für zu unbestimmt hielt. Interessant ist die Entscheidung dennoch, da gerade der Verweis auf die notwendige Bestimmtheit des Klagantrags die betroffene Person und auch den datenverarbeitenden Verantwortlichen vor neue Herausforderungen stellt.
Mit dem Brexit verließ das “Vereinigte Königreich Großbritannien und Nordirland“ die EU. Dies führt grundsätzlich dazu, dass die Übermittlung personenbezogener Daten in das Vereinigte Königreich – z. B. die Übermittlung von Beschäftigtendaten zu dortigen Konzernunternehmen – nur noch unter den besonderen Voraussetzungen der Art. 44 Datenschutz-Grundverordnung (DS-GVO) zulässig ist. Allerdings regelt ein Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich eine Übergangsfrist.
In der Praxis haben sich Systeme zur Erfassung der Arbeitszeit etabliert, die den Mitarbeiter mithilfe seines „Fingerabdrucks“ identifizieren. Die Fingerlinien erlauben eine sichere Identifikation und sind stets verfügbar. Aber kann ein Arbeitgeber die Nutzung eines solchen Systems erzwingen? Darüber hatte das Landesarbeitsgericht Berlin-Brandenburg zu entscheiden (LArbG Berlin-Brandenburg, Urteil vom 4. Juni 2020, Aktenzeichen 10 Sa 2130/19).
Arbeitnehmer haben wie andere betroffene Personen ein Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde. Diese muss diese Beschwerde prüfen. Doch hat ein Arbeitnehmer einen eigenen Anspruch darauf, dass die Aufsichtsbehörde eine Datenschutzverletzung mit einer Geldbuße sanktioniert? Darüber hatte das Verwaltungsgericht Ansbach zu entscheiden (Urteil vom 16.03.2020, Az. AN 14 K 19.00464).
Hunderttausende Betriebe haben in Deutschland als eine Antwort auf den Einbruch der Auftragslage und behördliche Schließungsanordnungen im Zuge des nunmehr seit Mit-te März andauernden Lockdowns wegen der COVID 19-Pandemie mit der Einführung von Kurzarbeit reagiert. Mit Stand vom 26.04.2020 haben die Unternehmen in Deutschland für 10,1 Millionen Arbeitnehmer Kurzarbeit beantragt. Aber was ist, wenn Arbeitgeber zwischenzeitlich zur Erkenntnis gelangen, dass diese Maßnahmen nicht mehr ausrei-chen, weil die Prognose für einen dauerhaften Wegfall von Arbeitsplätzen besteht? Mit der Frage, ob betriebsbedingte Kündigungen in Unternehmen und Betrieben möglich sind, die Kurzarbeit angemeldet haben, befassen wir in uns in diesem Teil unserer Blog-Reihe. In Teil 2 geht es dann um die Auswirkung von Kündigungen auf den Anspruch auf Kurzarbeitergeld.
Seit dem 25.11.2019 müssen nicht-öffentliche Stellen in den meisten Fällen erst einen Datenschutzbeauftragten benennen, wenn sie in der Regel mindestens 20 (statt zuvor 10) Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Wenn durch die Heraufsetzung des Schwellenwertes oder durch ein Herabsinken der Zahl der datenverarbeitenden Personen der Schwellenwert unterschritten wird, stellt sich die Frage, wie sich dies auf den arbeitsrechtlichen Kündigungsschutz des zuvor benannten Datenschutzbeauftragten auswirkt. Hinweise für die Antwort lassen sich aus einem aktuellen Urteil des Bundesarbeitsgerichts (BAG) vom 05.12.2019 ableiten.
Das Bundesarbeitsgericht hat mit dem Beschluss vom 09.04.2019 (Az.: 1 ABR 51/17) gleich mehrere grundlegende Fragen zum Datenschutz im Spannungsverhältnis zwischen Arbeitgeber, Betriebsrat und Arbeitnehmer geprüft und – zum Teil – entschieden. Neben der Darlegungslast des Betriebsrates bei der Geltendmachung von Auskunftsansprüchen, ging es um die Frage, ob ein Auskunftsanspruch des Betriebsrates von dem entgegenstehenden Willen einer Arbeitnehmerin und
von der Darlegung und Umsetzung angemessener Schutzmaßnahmen für die Verarbeitung personenbezogener Daten durch den Betriebsrat abhängig ist. Der zuletzt genannte Aspekt betrifft zudem die kontrovers diskutierte Frage nach der Aufteilung der Verantwortung für den Datenschutz zwischen Arbeitgeber und Betriebsrat.
Es ist ein Dauerbrenner des Betriebsverfassungsrechts: Der Auskunftsanspruch des Betriebsrates zu den Arbeitsentgelten der Arbeitnehmer. Nicht selten sind es gerade Arbeitnehmer, die nicht wollen, dass der Betriebsrat Informationen über ihre Arbeitsentgelte, insbesondere über leistungsabhängige Arbeitsentgelte, erhält. Deren Hoffnung liegt auf der Datenschutz-Grundverordnung. Aber diese Hoffnung wird wohl enttäuscht werden.
Das Bundesarbeitsgericht (BAG) hat am 23.01.2019 seine Rechtsprechung zu Vorbeschäftigungen, die einer sachgrundlosen Befristung entgegenstehen, unter Berücksichtigung der Rechtsprechung des Bundesverfassungsgerichts (BVerfG) geändert und dabei festgestellt, dass Arbeitgeber keinen Vertrauensschutz in Bezug auf die bisherige Rechtsprechung des BAG haben.
Der ESCHE Arbeitsrechts-Adventskalender berichtet: Früher soll es zu Weihnachten Überraschungen gegeben haben. Und wenn dann völlig unerwartet für die Tochter des Hauses doch ein Pferd unter dem Weihnachtsbaum lag, war es ein Moment, den niemand der Beteiligten je wieder vergessen sollte.
Mit einer neuen Entscheidung hat das Bundesarbeitsgericht (BAG) anscheinend eine Verwertung von Videoaufzeichnungen für zulässig erachtet, die nach einer weit verbreiteten Auffassung von Datenschutzrechtlern schon hätten gelöscht sein müssen. Arbeitgeber frohlocken – zur Recht?
Kundendaten können im Rahmen von Asset-Deal-Verträgen nicht beliebig übertragen werden. Bei Missachtung der datenschutzrechtlichen Bestimmungen drohen Verkäufer und Käufer schon heute empfindliche Bußgelder von bis zu EUR 300.000,00. Diese steigen ab dem 25.05.2018 extrem an. Eine Lösung für die datenschutzkonforme Übertragung von Kundendaten könnte die sogenannte Widerspruchslösung bieten.
Zehn deutsche Datenschutzaufsichtsbehörden beginnen in diesen Wochen eine konzertierte Prüfaktion von Unternehmen. Gegenstand der Prüfung ist der Transfer personenbezogener Daten in Staaten, die nicht Mitglieder der Europäischen Union oder des Europäischen Wirtschaftsraums sind. Nach dem Zufallsprinzip ausgewählte Unternehmen werden aufgefordert, dazu einen ausführlichen Fragebogen auszufüllen.
Geht’s um Kundendaten, ist für die Praxis die Frage besonders wichtig, ob und inwieweit die Kundendaten für Zwecke der Werbung verarbeitet werden dürfen. Die Möglichkeit, mit Kundendaten werben zu können, kann nicht nur für den weiteren Geschäftserfolg elementar sein, sie bestimmt zuweilen sogar maßgeblich den Wert des Unternehmens.
In Konzernen kooperieren und kommunizieren die einzelnen Konzernunternehmen miteinander in vielfältiger Weise. Dies ist häufig – wie z. B. bei der Zentralisierung von Personalaufgaben oder dem Customer Relationship Management – mit einer Übermittlung personenbezogener Daten zwischen den Konzerngesellschaften verbunden. Die Zulässigkeit der konzerninternen Datentransfers ist deshalb für Konzerne elementar.
Fragt man eine datenschutzrechtliche Aufsichtsbehörde, in welcher Art und Weise eine Datenverarbeitung am besten zu legitimieren sei, so hat diese in der Regel einen klaren Favoriten: Die Einwilligung des Betroffenen. Dies ist gut begründet, denn im Datenschutzrecht geht es um das Recht des Betroffenen, über die Verwendung seiner Daten möglichst weitgehend selbst zu bestimmen und nichts drückt dieses Recht besser aus, als eine Erklärung des Betroffenen. Dies gilt auch künftig bei der Anwendung der Datenschutz-Grundverordnung. Wichtige Details sind jedoch neu.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat Facebook ab sofort untersagt, personenbezogene Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Sofern Facebook personenbezogene Daten von WhatsApp-Nutzern erhalten hat, sollen diese gelöscht werden.
Die neue Datenschutz-Grundverordnung verlangt von allen Verantwortlichen unter vielen Aspekten ein planmäßiges Handeln, welches datenschutzrechtliche Überlegungen von Anfang an mit einbezieht. Dies zeigt sich nicht nur in zahlreichen Dokumentations- und Informationspflichten. In vielen Fällen muss der Verantwortliche zur Vermeidung eines Bußgeldes sogar im Vorfeld eine nachweisbare Prüfung der datenschutzrechtlichen Folgen durchführen.
Wenn am 25.05.2018 die Datenschutz-Grundverordnung anzuwenden ist, ändern sich zahlreiche Begriffe und Definitionen. Dabei geht es häufig gar nicht um neue Inhalte. In vielen Fällen werden vertraute Begriffe sprachlich neu gefasst. Dieser Blog-Beitrag gibt einen Überblick über die Änderungen der Begriffe, die am häufigsten in der Praxis verwandt werden.
Noch ein neues Recht für die betroffenen Personen: Das Recht auf Datenübertragbarkeit. Dabei geht es ausnahmsweise nicht um ein Recht darauf, dass die für die Verarbeitung Verantwortlichen die personenbezogenen Daten nicht verarbeiten. Vielmehr sollen die speichernden Stellen gerade eine Übermittlung personenbezogener Daten unterstützen – wenn die betroffene Person dies will.
Persönlichkeitsrechte sind besonders gefährdet, wenn personenbezogene Daten öffentlich gemacht werden. Werden Daten z. B. im Internet veröffentlicht, reicht es in der Regel zum Schutz des Persönlichkeitsrechts nicht aus, dass die Stelle, die die Daten ursprünglich verarbeitet hatte, diese Daten löscht. Die Datenschutz-Grundverordnung will deshalb unter der Überschrift „Recht auf Vergessenwerden“ die Interessen der betroffenen Personen besser schützen.
Die Datenschutz-Grundverordnung (DS-GVO) regelt schon für den Zeitpunkt der Datenerhebung sehr umfangreiche Informationspflichten gegenüber den betroffenen Personen. Da die Informationen zum Teil etwaige datenschutzrechtliche „Schwachstellen“ erkennbar machen, muss schon im Vorfeld des Inkrafttretens der DS-GVO die Datenschutz-Compliance sichergestellt werden.
Informationspflichten bei der Datenerhebung sind nicht neu, die Datenschutz-Grundverordnung (DS-GVO) stößt jedoch insofern in neue Dimensionen vor. Dies führt nicht nur zu einem erheblichen Aufwand. Die Informationen werden zudem geeignet sein, datenschutzrechtliche „Schwachstellen“ sichtbar zu machen und werden sich deshalb als „Motor“ des neuen Datenschutzrechts erweisen.
Datenschutzfragen stehen für viele Unternehmen bisher nicht ganz oben auf der Prioritätenliste. Daran haben die bisher bestehenden Bußgeldandrohungen des Bundesdatenschutzgesetzes (BDSG) wenig geändert. Die Datenschutz-Grundverordnung (DS-GVO) setzt jetzt jedoch neue Maßstäbe. Das höchstmögliche Bußgeld für den einzelnen Datenschutzverstoß erhöht sich um ca. das 66-fache und kann bei Unternehmen mit einem hohen weltweiten Jahresumsatz sogar darüber hinausgehen. Mit diesem Blog-Beitrag beginnt eine Serie, mit der wir Sie über die wesentlichen Neuerungen der DS-GVO regelmäßig informieren werden...
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat die Übermittlung von personenbezogenen Daten in die Vereinigten Staaten auf Basis des Safe-Harbor-Abkommens mit Bußgeldern geahndet.
Am 14.04.2016 hat das Europäische Parlament die „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ beschlossen. Bereits zuvor hatte der Europäische Rat die Verordnung angenommen. Somit steht einer Veröffentlichung im Amtsblatt nichts mehr entgegen.
Seit 2014 können sich die Bürger der Europäischen Union auf ein „Recht auf Vergessenwerden“ im Internet berufen. Diesen Anspruch hatte der Europäische Gerichtshof in einem Urteil im Mai 2014gegenüber Google (und allen anderen Betreiben von Internetsuchmaschinen) zuerkannt.
Moderne Informations- und Kommunikationstechnologie erlaubt es uns fast ortsunabhängig – also auch zu Hause – zu arbeiten. Die damit verbundene Zeitersparnis, Flexibilität und eine bessere Vereinbarung von Beruf und Familie machen Tätigkeiten im Home Office attraktiv.
Immer mehr Arbeitnehmer nutzen private Smartphones oder andere private IT-Geräte für dienstliche Zwecke. Zum Teil geschieht dies mit Wissen oder sogar auf Wunsch des Arbeitgebers. Häufig übernehmen Mitarbeiter jedoch die Initiative, weil die Grenzen zwischen Arbeits- und Privatleben besonders durchlässig sind oder sie schlicht über die bessere Technik verfügen.
Videokameras sind allgegenwärtig: Am Zugang zu Gebäuden, im Einzelhandel, an Tankstellen oder Bankautomaten, zur Überwachung von Produktionsabläufen, in öffentlichen Verkehrsmitteln und auf öffentlichen Plätzen.
Häufig hängen wichtige Rechtsfolgen davon ab, wie viele Arbeitnehmer in einem Betrieb oder von einem Unternehmen beschäftigt werden. Dies gilt auch für die Frage, ob bei der Wahl der Arbeitnehmervertreter für den Aufsichtsrat eine unmittelbare Wahl oder eine Delegiertenwahl durchzuführen ist. Ab einem „Schwellenwert“ von 8.000 Arbeitnehmern ist grundsätzlich die Delegiertenwahl vorgesehen.
Es vergeht kaum eine Woche, in der nicht über einen neuen Hackerangriff beziehungsweise eine Cyberattacke berichtet wird. Sicher ist offenbar nur, dass nichts sicher ist. Dies mussten in der Vergangenheit selbst die europäische Zentralbank und der Bundestag feststellen.
Nicht nur die Automobilindustrie sorgt in diesen Tagen für Schlagzeilen. Heute hat der Europäische Gerichtshof (EuGH) eine wegweisende Entscheidung zum Datenschutz getroffen und damit zugleich unzählige Unternehmen verunsichert. Das „Safe Harbor“-Abkommen zum Austausch von Daten zwischen Unternehmen der EU und Unternehmen in den USA wurde für ungültig erklärt.
Der Zugang eines Bußgeldbescheides verursacht in der Regel große Aufregung: und das zu Recht. Er kann nicht nur finanziell sehr belastend sein, sondern führt schon bei einem Bußgeld von nur knapp über € 200 zu einer Eintragung im Gewerbezentralregister. Zudem kann von den Betroffenen zum Anlass genommen werden, Schadensersatzforderungen geltend zu machen.
Hat ein Arbeitgeber den Verdacht, dass ein Arbeitnehmer eine Arbeitsunfähigkeit vortäuscht, hofft er nicht selten, den Arbeitnehmer mit Videoaufnahmen aus dessen Privatleben überführen zu können. Dass dieser "Schuss" nach hinten losgehen kann, zeigt ein Urteil des Bundesarbeitsgerichts (BAG) vom 19.02.2015 (8 AZR 1007/13).
Der betriebliche Datenschutzbeauftragte hat primär die Aufgaben, auf die Einhaltung datenschutzrechtlicher Vorschriften hinzuwirken. Seine Bestellung ist in der Regel für jede verantwortliche Stelle Pflicht, es gibt aber auch gute Gründe unabhängig von der Pflicht einen betrieblichen Datenschutzbeauftragten zu bestellen.
Nach einem aktuellen Bericht der BBC hat ein Londoner Krankenhaus versehentlich die Namen und E-Mail-Adressen von 780 Patienten einschließlich Informationen über deren HIV-Infektion mit einem Newsletter versandt. Der Klinik droht nun ein Bußgeld. Auch in Deutschland gibt es vergleichbare Fälle...
Eine sehr praxisrelevante und dabei häufig unterschätzte Herausforderung ist das Auskunftsverlangen eines Betroffenen. Betroffener ist nach dem Bundesdatenschutzgesetz (BDSG) die Person zu der Daten gespeichert wurden. Jede Person hat nach § 34 BDSG gegenüber jeder Stelle, die personenbezogene Daten zu dieser Person gespeichert hat, Anspruch auf umfassende Auskunft über die gespeicherten Daten.
Trotz Einhaltung der gesetzlich vorgesehenen technischen und organisatorischen Maßnahmen, gibt es für Unternehmen keinen 100%igen Schutz gegen Hackerangriffe. Dies ist vor allem darauf zurückzuführen, dass bestehende Sicherheitslücken meist erst durch Hackerangriffe aufgezeigt. Hacker sind dem Unternehmen damit regelmäßig einen Schritt voraus.
Datenschutzrechtliche Standard-Situationen meistern: Schritt für Schritt. Dabei unterstützen die ESCHE-Datenschutz-Checklisten. Nahezu jedes Unternehmen lässt Daten verarbeiten. Die Bandbreite reicht über IT-Dienstleistungen, Gehaltsabrechnungen, Call-Center-Dienste, den Einsatz von Tracking-Tools bis hin zur Akten- und Datenträgervernichtung. In all diesen Fällen und selbst bei schlichten Wartungsarbeiten, bei denen Externe etwaigen Zugriff auf personenbezogene Daten haben, ist der Auftraggeber gefordert.
Datenschutzrechtliche Standard-Situationen meistern: Schritt für Schritt. Dabei unterstützen die ESCHE-Datenschutz-Checklisten. Nicht nur auf Datenverarbeitungsdienstleistungen spezialisierte Unternehmen, werden Auftragnehmer eine Auftragsdatenverarbeitung. Häufig erhalten Unternehmen in der Kooperation mit anderen Unternehmen Daten, um diese für Zwecke des anderen Unternehmens zu verarbeiten. Dies trifft besonders häufig in Konzernkonstellationen, in denen z. B. interne Dienstleistungen zentralisiert werden, zu.
Datenschutzrechtliche Standard-Situationen meistern: Schritt für Schritt. Dabei unterstützen die ESCHE Datenschutz-Checklisten.
Outsourcing, insbesondere IT-Outsourcing, führt fast immer auch zu einer Weitergabe personenbezogener Daten an den Dienstleister. Die frühzeitige Berücksichtigung des Datenschutzes verhindert, dass das Outsourcing-Projekt an unerkannten Datenschutzhindernissen scheitert.
Cookies sind Dateien, die von Webseiten auf Ihrem lokalen Gerät gespeichert und beim erneuten Besuch der Seite abgerufen werden. Cookies werden von uns genutzt, um die Leistungsfähigkeit unserer Website zu erhöhen und um Informationen über Ihren Besuch auf unserer Website zu sammeln. Sie können hier durch Ihre
Einwilligung entscheiden, in welchem Umfang Sie die Verwendung von Cookies, die nicht für die Funktionsfähigkeit der Website unbedingt erforderlich sind, zulassen möchten. Weitere Informationen, insbesondere zum konkreten Umfang der Datenverarbeitung durch Performance- und Tracking-Cookies wie auch zu Ihrem jederzeitigen Widerrufsrecht, finden Sie in unserer Datenschutzerklärung.
Technische Cookies
Technische Cookies sind für das Funktionieren der Website erforderlich. Sie lassen sich nicht deaktivieren.
Performance- und Tracking-Cookies
Wir nutzen Performance- und Tracking-Cookies, um unsere Website weiter zu verbessern, damit wir Ihnen stets die beste Benutzererfahrung ermöglichen können, die auf Ihre Bedürfnisse zugeschnitten ist.
Cookies sind Dateien, die von Webseiten auf Ihrem lokalen Gerät gespeichert und beim erneuten Besuch der Seite abgerufen werden. Dabei ermöglichen sie uns, Ihren Browser zu erkennen, wenn Sie unsere Website erneut besuchen. Cookies bestehen in der Regel aus Buchstaben und Zahlen und werden als kleine Textdatei auf Ihrem Computer, Tablet, Mobilgerät oder einem ähnlichen Gerät abgelegt, wenn Sie unsere Website aufrufen.
Cookies werden von uns genutzt, um die Leistungsfähigkeit unserer Website herzustellen und zu erhöhen. Dazu werden Informationen über Ihren Besuch auf unserer Website gesammelt und von uns verarbeitet. Dabei kann es sich um bereits von Ihnen vorgenommene Einstellungen auf unserer Seite handeln, aber auch um Informationen, die die Webseite eigenständig erhebt.
Technische Cookies
Dies sind unbedingt notwendige Cookies, die dazu erforderlich sind, den Betrieb der Website sicherzustellen und Funktionen der Seite, wie den Zugriff auf geschützte Bereiche der Website, zu erhalten. Hierbei handelt es sich hauptsächlich um Session Cookies (Sitzungscookies) oder Verbindungscookies.
Diese unbedingt notwendigen Cookies werden für den Zeitraum des Besuchs der Seite in Ihrem Browser gespeichert und werden gelöscht, wenn Sie diesen schließen.
Performance- und Tracking-Cookies
Performance-und Tracking-Cookies erheben Daten zum Nutzungsverhalten der Besucher der Website sowie zur Leistungsfähigkeit der Website.
Diese Art von Cookies ermöglicht es uns, die Anzahl der Besuche und Traffic-Quellen zu erfassen, sowie die Leistung unserer Website zu verbessern. Sie helfen uns herauszufinden, welche Seiten am beliebtesten sind und wie Besucher auf der Website navigieren, oder ob bei bestimmten Seiten Probleme auftreten oder Fehlermeldungen auftreten.
Performance-und Tracking-Cookies werden nicht gelöscht, wenn Sie den Browser schließen, und werden u. a. abhängig von den Einstellungen Ihres Browsers über einem längeren Zeitraum auf Ihrem Gerät gespeichert.
Mithilfe dieser Informationen können wir unsere Website verbessern, um die Benutzerfreundlichkeit zu erhöhen, eine intuitivere Navigation ermöglichen und somit unseren Nutzern allgemein ein positiveres Erlebnis zu bieten.
