Das Bundesarbeitsgericht (BAG) hat am 23.01.2019 seine Rechtsprechung zu Vorbeschäftigungen, die einer sachgrundlosen Befristung entgegenstehen, unter Berücksichtigung der Rechtsprechung des Bundesverfassungsgerichts (BVerfG) geändert und dabei festgestellt, dass Arbeitgeber keinen Vertrauensschutz in Bezug auf die bisherige Rechtsprechung des BAG haben.
ArbeitsrechtDatenschutz und IT-Recht
Der ESCHE Arbeitsrechts-Adventskalender berichtet: Früher soll es zu Weihnachten Überraschungen gegeben haben. Und wenn dann völlig unerwartet für die Tochter des Hauses doch ein Pferd unter dem Weihnachtsbaum lag, war es ein Moment, den niemand der Beteiligten je wieder vergessen sollte.
ArbeitsrechtDatenschutz und IT-Recht
Mit einer neuen Entscheidung hat das Bundesarbeitsgericht (BAG) anscheinend eine Verwertung von Videoaufzeichnungen für zulässig erachtet, die nach einer weit verbreiteten Auffassung von Datenschutzrechtlern schon hätten gelöscht sein müssen. Arbeitgeber frohlocken – zur Recht?
Kundendaten können im Rahmen von Asset-Deal-Verträgen nicht beliebig übertragen werden. Bei Missachtung der datenschutzrechtlichen Bestimmungen drohen Verkäufer und Käufer schon heute empfindliche Bußgelder von bis zu EUR 300.000,00. Diese steigen ab dem 25.05.2018 extrem an. Eine Lösung für die datenschutzkonforme Übertragung von Kundendaten könnte die sogenannte Widerspruchslösung bieten.
Zehn deutsche Datenschutzaufsichtsbehörden beginnen in diesen Wochen eine konzertierte Prüfaktion von Unternehmen. Gegenstand der Prüfung ist der Transfer personenbezogener Daten in Staaten, die nicht Mitglieder der Europäischen Union oder des Europäischen Wirtschaftsraums sind. Nach dem Zufallsprinzip ausgewählte Unternehmen werden aufgefordert, dazu einen ausführlichen Fragebogen auszufüllen.
Geht’s um Kundendaten, ist für die Praxis die Frage besonders wichtig, ob und inwieweit die Kundendaten für Zwecke der Werbung verarbeitet werden dürfen. Die Möglichkeit, mit Kundendaten werben zu können, kann nicht nur für den weiteren Geschäftserfolg elementar sein, sie bestimmt zuweilen sogar maßgeblich den Wert des Unternehmens.
In Konzernen kooperieren und kommunizieren die einzelnen Konzernunternehmen miteinander in vielfältiger Weise. Dies ist häufig – wie z. B. bei der Zentralisierung von Personalaufgaben oder dem Customer Relationship Management – mit einer Übermittlung personenbezogener Daten zwischen den Konzerngesellschaften verbunden. Die Zulässigkeit der konzerninternen Datentransfers ist deshalb für Konzerne elementar.
Fragt man eine datenschutzrechtliche Aufsichtsbehörde, in welcher Art und Weise eine Datenverarbeitung am besten zu legitimieren sei, so hat diese in der Regel einen klaren Favoriten: Die Einwilligung des Betroffenen. Dies ist gut begründet, denn im Datenschutzrecht geht es um das Recht des Betroffenen, über die Verwendung seiner Daten möglichst weitgehend selbst zu bestimmen und nichts drückt dieses Recht besser aus, als eine Erklärung des Betroffenen. Dies gilt auch künftig bei der Anwendung der Datenschutz-Grundverordnung. Wichtige Details sind jedoch neu.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat Facebook ab sofort untersagt, personenbezogene Daten von deutschen WhatsApp-Nutzern zu erheben und zu speichern. Sofern Facebook personenbezogene Daten von WhatsApp-Nutzern erhalten hat, sollen diese gelöscht werden.
Die neue Datenschutz-Grundverordnung verlangt von allen Verantwortlichen unter vielen Aspekten ein planmäßiges Handeln, welches datenschutzrechtliche Überlegungen von Anfang an mit einbezieht. Dies zeigt sich nicht nur in zahlreichen Dokumentations- und Informationspflichten. In vielen Fällen muss der Verantwortliche zur Vermeidung eines Bußgeldes sogar im Vorfeld eine nachweisbare Prüfung der datenschutzrechtlichen Folgen durchführen.
Wenn am 25.05.2018 die Datenschutz-Grundverordnung anzuwenden ist, ändern sich zahlreiche Begriffe und Definitionen. Dabei geht es häufig gar nicht um neue Inhalte. In vielen Fällen werden vertraute Begriffe sprachlich neu gefasst. Dieser Blog-Beitrag gibt einen Überblick über die Änderungen der Begriffe, die am häufigsten in der Praxis verwandt werden.
Noch ein neues Recht für die betroffenen Personen: Das Recht auf Datenübertragbarkeit. Dabei geht es ausnahmsweise nicht um ein Recht darauf, dass die für die Verarbeitung Verantwortlichen die personenbezogenen Daten nicht verarbeiten. Vielmehr sollen die speichernden Stellen gerade eine Übermittlung personenbezogener Daten unterstützen – wenn die betroffene Person dies will.
Persönlichkeitsrechte sind besonders gefährdet, wenn personenbezogene Daten öffentlich gemacht werden. Werden Daten z. B. im Internet veröffentlicht, reicht es in der Regel zum Schutz des Persönlichkeitsrechts nicht aus, dass die Stelle, die die Daten ursprünglich verarbeitet hatte, diese Daten löscht. Die Datenschutz-Grundverordnung will deshalb unter der Überschrift „Recht auf Vergessenwerden“ die Interessen der betroffenen Personen besser schützen.
Die Datenschutz-Grundverordnung (DS-GVO) regelt schon für den Zeitpunkt der Datenerhebung sehr umfangreiche Informationspflichten gegenüber den betroffenen Personen. Da die Informationen zum Teil etwaige datenschutzrechtliche „Schwachstellen“ erkennbar machen, muss schon im Vorfeld des Inkrafttretens der DS-GVO die Datenschutz-Compliance sichergestellt werden.
Informationspflichten bei der Datenerhebung sind nicht neu, die Datenschutz-Grundverordnung (DS-GVO) stößt jedoch insofern in neue Dimensionen vor. Dies führt nicht nur zu einem erheblichen Aufwand. Die Informationen werden zudem geeignet sein, datenschutzrechtliche „Schwachstellen“ sichtbar zu machen und werden sich deshalb als „Motor“ des neuen Datenschutzrechts erweisen.
Datenschutzfragen stehen für viele Unternehmen bisher nicht ganz oben auf der Prioritätenliste. Daran haben die bisher bestehenden Bußgeldandrohungen des Bundesdatenschutzgesetzes (BDSG) wenig geändert. Die Datenschutz-Grundverordnung (DS-GVO) setzt jetzt jedoch neue Maßstäbe. Das höchstmögliche Bußgeld für den einzelnen Datenschutzverstoß erhöht sich um ca. das 66-fache und kann bei Unternehmen mit einem hohen weltweiten Jahresumsatz sogar darüber hinausgehen. Mit diesem Blog-Beitrag beginnt eine Serie, mit der wir Sie über die wesentlichen Neuerungen der DS-GVO regelmäßig informieren werden...
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat die Übermittlung von personenbezogenen Daten in die Vereinigten Staaten auf Basis des Safe-Harbor-Abkommens mit Bußgeldern geahndet.
Die EU-Datenschutz-Grundverordnung ist am 04.05.2016 im Amtsblatt veröffentlicht worden. Damit steht nun fest, ab wann sie anzuwenden ist.
Am 14.04.2016 hat das Europäische Parlament die „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ beschlossen. Bereits zuvor hatte der Europäische Rat die Verordnung angenommen. Somit steht einer Veröffentlichung im Amtsblatt nichts mehr entgegen.
Seit 2014 können sich die Bürger der Europäischen Union auf ein „Recht auf Vergessenwerden“ im Internet berufen. Diesen Anspruch hatte der Europäische Gerichtshof in einem Urteil im Mai 2014gegenüber Google (und allen anderen Betreiben von Internetsuchmaschinen) zuerkannt.
Die EU-Datenschutz-Grundverordnung kommt. Seit dem 16.12.2015 sind die Weichen gestellt. Nun liegt eine erste amtliche Übersetzung ins Deutsche vor.
Moderne Informations- und Kommunikationstechnologie erlaubt es uns fast ortsunabhängig – also auch zu Hause – zu arbeiten. Die damit verbundene Zeitersparnis, Flexibilität und eine bessere Vereinbarung von Beruf und Familie machen Tätigkeiten im Home Office attraktiv.
Immer mehr Arbeitnehmer nutzen private Smartphones oder andere private IT-Geräte für dienstliche Zwecke. Zum Teil geschieht dies mit Wissen oder sogar auf Wunsch des Arbeitgebers. Häufig übernehmen Mitarbeiter jedoch die Initiative, weil die Grenzen zwischen Arbeits- und Privatleben besonders durchlässig sind oder sie schlicht über die bessere Technik verfügen.
Videokameras sind allgegenwärtig: Am Zugang zu Gebäuden, im Einzelhandel, an Tankstellen oder Bankautomaten, zur Überwachung von Produktionsabläufen, in öffentlichen Verkehrsmitteln und auf öffentlichen Plätzen.
Häufig hängen wichtige Rechtsfolgen davon ab, wie viele Arbeitnehmer in einem Betrieb oder von einem Unternehmen beschäftigt werden. Dies gilt auch für die Frage, ob bei der Wahl der Arbeitnehmervertreter für den Aufsichtsrat eine unmittelbare Wahl oder eine Delegiertenwahl durchzuführen ist. Ab einem „Schwellenwert“ von 8.000 Arbeitnehmern ist grundsätzlich die Delegiertenwahl vorgesehen.
Es vergeht kaum eine Woche, in der nicht über einen neuen Hackerangriff beziehungsweise eine Cyberattacke berichtet wird. Sicher ist offenbar nur, dass nichts sicher ist. Dies mussten in der Vergangenheit selbst die europäische Zentralbank und der Bundestag feststellen.
Nicht nur die Automobilindustrie sorgt in diesen Tagen für Schlagzeilen. Heute hat der Europäische Gerichtshof (EuGH) eine wegweisende Entscheidung zum Datenschutz getroffen und damit zugleich unzählige Unternehmen verunsichert. Das „Safe Harbor“-Abkommen zum Austausch von Daten zwischen Unternehmen der EU und Unternehmen in den USA wurde für ungültig erklärt.
Der Zugang eines Bußgeldbescheides verursacht in der Regel große Aufregung: und das zu Recht. Er kann nicht nur finanziell sehr belastend sein, sondern führt schon bei einem Bußgeld von nur knapp über € 200 zu einer Eintragung im Gewerbezentralregister. Zudem kann von den Betroffenen zum Anlass genommen werden, Schadensersatzforderungen geltend zu machen.
ArbeitsrechtDatenschutz und IT-Recht
Hat ein Arbeitgeber den Verdacht, dass ein Arbeitnehmer eine Arbeitsunfähigkeit vortäuscht, hofft er nicht selten, den Arbeitnehmer mit Videoaufnahmen aus dessen Privatleben überführen zu können. Dass dieser "Schuss" nach hinten losgehen kann, zeigt ein Urteil des Bundesarbeitsgerichts (BAG) vom 19.02.2015 (8 AZR 1007/13).
Der betriebliche Datenschutzbeauftragte hat primär die Aufgaben, auf die Einhaltung datenschutzrechtlicher Vorschriften hinzuwirken. Seine Bestellung ist in der Regel für jede verantwortliche Stelle Pflicht, es gibt aber auch gute Gründe unabhängig von der Pflicht einen betrieblichen Datenschutzbeauftragten zu bestellen.
Nach einem aktuellen Bericht der BBC hat ein Londoner Krankenhaus versehentlich die Namen und E-Mail-Adressen von 780 Patienten einschließlich Informationen über deren HIV-Infektion mit einem Newsletter versandt. Der Klinik droht nun ein Bußgeld. Auch in Deutschland gibt es vergleichbare Fälle...
Eine sehr praxisrelevante und dabei häufig unterschätzte Herausforderung ist das Auskunftsverlangen eines Betroffenen. Betroffener ist nach dem Bundesdatenschutzgesetz (BDSG) die Person zu der Daten gespeichert wurden. Jede Person hat nach § 34 BDSG gegenüber jeder Stelle, die personenbezogene Daten zu dieser Person gespeichert hat, Anspruch auf umfassende Auskunft über die gespeicherten Daten.
Trotz Einhaltung der gesetzlich vorgesehenen technischen und organisatorischen Maßnahmen, gibt es für Unternehmen keinen 100%igen Schutz gegen Hackerangriffe. Dies ist vor allem darauf zurückzuführen, dass bestehende Sicherheitslücken meist erst durch Hackerangriffe aufgezeigt. Hacker sind dem Unternehmen damit regelmäßig einen Schritt voraus.
Datenschutzrechtliche Standard-Situationen meistern: Schritt für Schritt. Dabei unterstützen die ESCHE-Datenschutz-Checklisten. Nahezu jedes Unternehmen lässt Daten verarbeiten. Die Bandbreite reicht über IT-Dienstleistungen, Gehaltsabrechnungen, Call-Center-Dienste, den Einsatz von Tracking-Tools bis hin zur Akten- und Datenträgervernichtung. In all diesen Fällen und selbst bei schlichten Wartungsarbeiten, bei denen Externe etwaigen Zugriff auf personenbezogene Daten haben, ist der Auftraggeber gefordert.
Datenschutzrechtliche Standard-Situationen meistern: Schritt für Schritt. Dabei unterstützen die ESCHE-Datenschutz-Checklisten. Nicht nur auf Datenverarbeitungsdienstleistungen spezialisierte Unternehmen, werden Auftragnehmer eine Auftragsdatenverarbeitung. Häufig erhalten Unternehmen in der Kooperation mit anderen Unternehmen Daten, um diese für Zwecke des anderen Unternehmens zu verarbeiten. Dies trifft besonders häufig in Konzernkonstellationen, in denen z. B. interne Dienstleistungen zentralisiert werden, zu.
Datenschutzrechtliche Standard-Situationen meistern: Schritt für Schritt. Dabei unterstützen die ESCHE Datenschutz-Checklisten. Outsourcing, insbesondere IT-Outsourcing, führt fast immer auch zu einer Weitergabe personenbezogener Daten an den Dienstleister. Die frühzeitige Berücksichtigung des Datenschutzes verhindert, dass das Outsourcing-Projekt an unerkannten Datenschutzhindernissen scheitert.
