Aktuelle Nachrichten

Mindestdatenspeicherung: Neue Verhandlungen

Erst kürzlich erklärte Bundesjustizministerin Sabine Leutheusser-Schnarrenberger (FDP), dass sie die Vorratsdatenspeicherung für "verzichtbar" hält.

>>>

Datenlecks in Unternehmen sollen bestraft werden

Verstöße gegen die Datenschutzbestimmungen der EU könnten zukünftig teuer werden. Laut Plänen der EU-Kommission müssen Unternehmen womöglich bis zu fünf Prozent ihres weltweiten Umsatzes zahlen, wenn sie falsch mit personenbezogenen Daten ihrer Lieferanten, Kunden oder eigenen Mitarbeiter umgehen.

>>>

Aktuelle Diskussion

Datenschutzanforderungen an die Cloud

Die in der sogenannten Berlin Group versammelten Experten aus 21 Ländern, fordern im "Sopot Memorandum" von den Cloud-Anbietern unter anderem mehr Transparenz und ein Höchstmaß an Kontrolle für ihre Nutzer.

>>>

Für alle Datenschutzinteressierten – Das Datenschutzforum des BfDI für jedermann

Getreu der Philosophie des BfDI Peter Schaar, den Datenschutz in der BRD transparent zu gestalten, gibt es seit 2009 das Datenschutz-Forum. Hier können alle Bürger über ihre Erlebnisse, Ängste oder Erfahrungen zum Thema Datenschutz schreiben, aber auch Fragen stellen.

>>>

Zentralisierung von Daten bei Google: Neue einheitliche Datenschutzbedingungen

"One policy, one Google experience" – mit diesem Slogan bewirbt Google seine bisher beispiellose Kampagne: Dienste wie Google Search, Google Mail, Google Reader oder Youtube werden zukünftig datenschutztechnisch zusammen gelegt. Dagegen wehren können sich die Nutzer nicht.

>>>

Startseite > Einführung Datenschutz > Die Anwendung des Bundesdatenschutzgesetzes

Die Anwendung des Bundesdatenschutzgesetzes

Die Grundsätze aus dem Volkszählungsurteil ergeben, dass Eingriffe in das informationelle Selbstbestimmungsrecht nur in zwei Fällen denkbar sind. Eingriffe können allerdings gerechtfertigt sein. Das überwiegende öffentliche Interesse daran ist ein Grund. Auswirken wird sich der Eingriff durch rechtliche Spezialnormen. Damit wäre ein Erlaubnis-Tatbestand gegeben, gemäß § 4 Abs 1 BDSG oder über einzelne Bestimmungen des BDSG zum Subsidiaritätsprinzip (§ 1 Abs 1 BDSG).

 

Gemeint können Vorschriften sein, die die Erhebung von Daten für die Bezahlung von Steuern oder für die Weiterleitung von Sozialabgaben regeln. Der Arbeitgeber ist ausführende Durchlaufstation, darf diese Daten nicht mit eigenen Zwecken verbinden.

 

Es kann ein Arbeitgeberinteresse bestehen, das die Grundrechte des Arbeitgebers betreffen. Das ist ein Grundrechtsbezug. Betroffen ist zum Beispiel die grundsätzliche Freiheit, sich unternehmerisch zu betätigen (Art 12 Abs 1 GG). Aber auch die Berufswahlfreiheit ist ein Grund dafür, dass bestehende Regelungen durchaus Ausnahmen zulassen müssen.

 

Stets muss der Arbeitgeber die Grundsätze der Datenvermeidung, der engen Zweckbindung und der Transparenz gegenüber den Betroffenen zwingend berücksichtigen. Unabhängigen Kontrollen muss sich der Arbeitgeber beugen.

 

Die wirksame Einwilligung

Jede Einwilligung unterliegt formellen Anforderungen. Sie muss vor der Erhebung, Verarbeitung und Nutzung vorliegen. Die Betroffenen müssen einsichtsfähig sein. Daraus ergibt sich weiter eine sogenannte informierte Einwilligung. Der Betroffene muss den Zweck der Erhebung seiner Daten erfahren und er muss die möglichen späteren Folgen kennen. Gleichwohl hat er über die Folgen der Verweigerung informiert zu sein.

 

Wirksam ist in der Regel die Schriftform. Die Einwilligung muss eindeutig gestaltet sein. Ein pauschaler Charakter verbietet sich, auch der Verstoß gegen das geltende Recht. Der Betroffene darf nach Treu und Glauben nicht unangemessen benachteiligt werden. Dabei besteht eine Beziehung zum Arbeitsverhältnis und das Interesse des Arbeitgebers ist objektiv gerechtfertigt.

 

Auch die Interessen des Arbeitnehmers müssen angemessen in die Vereinbarung einfließen, wenn auch der Arbeitnehmer ein besonderes Interesse an der Speicherung und Verarbeitung seiner Daten zeigt.

 

Was immer auch vereinbart wird, beruht auf einer freiwilligen Entscheidung. Dass der Arbeitgeber Druck machen könnte, ist wahr-scheinlich, weil er sich in einer überlegenen Position befindet. Eine Unwirksamkeit der Einwilligung kann aber aus dem Abhängigkeitsverhältnis nicht abgeleitet werden.

 

Wichtig ist das Recht auf Widerruf der Vereinbarung zur Speicherung und Verarbeitung persönlicher Daten.

 

Die Datenerhebung

Die Zulässigkeit der Datenerhebung hat sich im Anwendungsbereich des BDSG an § 28 Abs 1 Satz 1 Nr. '1 BDSG zu messen. Das gilt nicht, wenn rechtliche Normen den Arbeitgeber bereits über § 4 Abs, 1 BDSG zur Erhebung verpflichten.

 

Gemeint sind Daten im Rahmen eines vertragsähnlichen Vertrauensverhältnisses. Der Bezug besteht darin, dass die Arbeitszeit, das Gehalt, die Akkorderfassung wie Daten zur Arbeitsleistung (zum Beispiel durch Beurteilungen) erhoben werden dürfen. Der Arbeitgeber hat ein Fragerecht und die Pflicht zur speziellen Behandlung besonderer personenbezogener Daten im Sinne § 3 Abs. 9 BDSG.

 

 

Die Speicherung, Veränderung und Nutzung

Auch für die Zulässigkeit der Verarbeitung und Nutzung ist § 28 Abs 1 Satz 1 Nr. 1 BDSG einschlägig.

 

Zu achten ist auf die Einhaltung der Zweckbindung: Ist der Zweck festgelegt worden, dürfen Daten nur in diesem Rahmen erhoben und verarbeitet werden. Der Bezug zum Arbeitsvertrag ist hier weiterhin gegeben.

 

Es gibt Grundlagen für eine ausnahmsweise Zweckentwendung von Daten nach § 28 Abs 2 und 3 BDSG. Sie beschränken sich jedoch auf die Übermittlung und Nutzung und schließen insbesondere das Verändern (zum Beispiel durch Verknüpfung der Daten zur Gewinnung neuer Erkenntnisse) nicht ein.

 

Es gibt den Primärzweck, der dem Arbeitsverhältnis dient. Die Gehaltsabrechnung oder Ausgaben für die Kantinennutzung gelten als Sekundärzwecke bei der Speicherung, Veränderung und Nutzung von Daten.

 

Ausnahmen gelten dafür, wie die Datenschutzkontrolle, die Datensicherung oder der ordnungsgemäße Betrieb der Informationssysteme gespeichert wurden. Sie unterliegen dem strengen Zweckentfremdungsverbot des § 31 BDSG. Der § 6 BDSG verbietet ausschließlich Entscheidungen auf der Basis automatisierter Verarbeitungen zu treffen. Er kann sich nicht darauf berufen, ein Recht nicht einzuhalten, weil er technisch nicht willens oder in der Lage ist, es einzuhalten.

 

Auch bei Verfahren der Sozialauswahl, also zum Beispiel der Beförderung, müssen die Interessen der Betroffenen durch Anhörung berücksichtigt werden.

 

Bei der Verwendung von Chipkarten im Rahmen der  automatisierten Verarbeitungen im Unternehmen sind die Bestimmungen des § 6c BDSG zu berücksichtigen.

 

Die Übermittlung

Die gleichen Anforderungen gelten für außerhalb verbundene Unternehmen.

 

Wird Personal überlassen, ist die Übermittlung von Arbeitnehmer-Daten zulässig, wenn das für das Rechtsverhältnis notwendig sein sollte. Dagegen dürfen Daten nicht an Branchen-Auskunftsdienste oder andere, fremde Unternehmen weitergeleitet werden. Banken und Gläubigern darf die Höhe des Entgelts nicht mitgeteilt werden. Sollten Daten an Unternehmen übermittelt werden, die dem Standard der Europäischen Union nicht entsprechen, kommen besondere Regelungen zum Tragen.

 

Der Übermittlung von personenbezogenen Daten an Gewerkschaften muss der Arbeitnehmer zustimmen.

 

Die Sicherstellung von Betroffenenrechten

Der Arbeitgeber muss seinen Mitarbeitern die gesetzlichen Betroffenenrechte einräumen. Eins dieser Rechte ist das der Transparenz.

 

Transparenz meint: Bei der erstmaligen Speicherung hat der Arbeitnehmer ein Recht auf Benachrichtigung gemäß § 33 BDSG und auf Unterrichtung gemäß § 4 Abs 3 BDSG. Einschränkungen gibt es im Fall von Strafermittlungsverfahren oder bei der Mitteilung, wo die Daten aufbewahrt werden. Das Recht auf Einsicht in die eigene Personalakte ist Teil des Transparenzverfahrens nach § 83 BetrVg.

 

Es wird empfohlen:

  • Übersendung eines Auszugs aus dem Personalinformationssystem einmal jährlich
  • Regelmäßige Aufklärung der Mitarbeiter über deren Rechte
  • Sicherstellung der Betroffenenrechte in innerbetrieblichen Anweisungen oder einer Betriebsvereinbarung

 

Kontrolle des Datenschutzes

Der Datenschutzbeauftragte hat eine Kontrollfunktion. Im Arbeitnehmerschutz bilden auch die betrieblichen und behördlichen Interessenvertretungen ein wesentliches Element der Sicherstellung, wenn es um datenschutzrechtliche Vorgaben und die unabhängige Kontrolle geht.

 

 

Die Verpflichtung auf das Datengeheimnis

Jeder, der mit personenbezogenen Daten beschäftigt ist, muss auf das Datengeheimnis bei Aufnahme der Tätigkeit verpflichtet werden.

 

Datensicherung von Mitarbeiter-Daten

Die technische und organisatorische Sicherung von mitarbeiterbezogenen Daten liegt zumeist bereits im eigenen Geheimhaltungsinteresse des Arbeitgebers. Grundsätzlich kann davon ausgegangen werden, dass kein Arbeitgeber ein ernsthaftes Interesse daran hat, Gehaltsdaten und andere Listen firmenintern öffentlich zu machen.

 

Zumindest werden diese Informationen im Rahmen der IT-Sicherheit zumindest im Ansatz geschützt sein. Das BDSG nennt im § 9 nebst Anlage die Bereiche, in denen die Schutzmaßnahmen in Anwendung des Verhältnismäßigkeitsprinzips genügen müssen.

 

Empfehlung:

  • Entwicklung eines Datenschutzkonzeptes
  • Festlegung von Verantwortlichen
  • Festlegung von technischen und organisatorischen Maßnahmen zum Datenschutz
  • Festlegung der mitbestimmungsrechtlichen Normen
  • Festlegung des rechtlichen Rahmens

 

Nicht nur der Datenschutzbeauftragte hat eine Kontroll- und Aufsichtsfunktion. Er hat wesentliche Rechte. Dies gilt ebenso für die Aufsichtsbehörden, die betrieblichen und behördlichen Interessenvertretungen. Bei der Sicherstellung der Einhaltung datenschutzrechtlicher Normen im Arbeitsverhältnis besitzen sie auch Pflichten.

 

Zentrale Rechtsvorschriften:

 

§§ 80 Abs. 1 Nr. 1 und 75

Abs. 2 BetrVG

Zurück zum Anfang "Die Anwendung des Bundesdatenschutzgesetzes"

Nächste Schritte

Persönlichen Rückruf anfordern
Allgemeine Informationen erhalten
Anmeldung zum Seminar Datenschutzbeauftragter