Suche
Lesesoftware
Specials
Info / Kontakt
Datenschutz im Betrieb - Die DS-GVO in der Personalarbeit
von: Axel von Walter
Haufe Verlag, 2018
ISBN: 9783648111406 , 404 Seiten
Format: PDF
Kopierschutz: frei
Preis: 43,99 EUR
eBook anfordern
Cover
1
Urheberrechtsinfo
2
Titel
3
Impressum
6
Inhaltsverzeichnis
7
1 Einleitung
17
2 Neue Aufgaben für HR-Fach- und Führungskräfte
23
2.1 Besonders betroffen von den neuen Regelungen: das Personalwesen
23
2.2 Sensibilität im Umgang mit Bewerberdaten
24
2.3 Aufgaben im laufenden Beschäftigungsverhältnis
27
2.4 Aufgaben nach Beendigung des Beschäftigungsverhältnisses
29
2.5 Zur Rolle des Betriebsrats
30
2.6 Instruktion von Mitarbeitern
32
3 Der Datenschutzbeauftragte
35
3.1 Die Pflicht zur Benennung eines Datenschutzbeauftragten
35
3.2 Benennung und Abberufung eines Datenschutzbeauftragten
38
3.2.1 Die Formalien der Benennung
38
3.2.2 Benennung für mehrere Organisationen
40
3.2.3 Abberufung
41
3.3 Anforderungen an den Datenschutzbeauftragten
41
3.4 Die Stellung des Datenschutzbeauftragten im Unternehmen
44
3.5 Aufgaben und Pflichten des Datenschutzbeauftragten
47
3.6 Alternative Rollen im Unternehmen neben oder statt dem Datenschutzbeauftragten
49
3.7 Musterschreiben: Benennung eines Datenschutzbeauftragten
50
4 Dokumentationspflichten und das Verarbeitungsverzeichnis
53
4.1 Die Nachweis- und Dokumentationspflichten in der DS-GVO
53
4.2 Das Verarbeitungsverzeichnis
54
4.2.1 Form des Verzeichnisses
56
4.2.2 Inhalt des Verzeichnisses
57
4.3 Erstellung und Pflege des Verarbeitungsverzeichnisses
62
5 Die Rechte der betroffenen Personen
65
5.1 Informationspflichten
65
5.1.1 Informationspflichten bei Direkterhebung
66
5.1.2 Informationspflichten bei Dritterhebung
66
5.1.3 Überblick über die mitzuteilenden und bereitzustellenden Informationen
66
5.1.4 Informationspflichten bei Zweckänderung und Übermittlung
73
5.1.5 Form der Informationspflicht
73
5.1.6 Ausnahmen
75
5.2 Individualrechte des Betroffenen zur Sicherung der informationellen Selbstbestimmung
76
5.2.1 Auskunftsersuchen, Art. 15 DS-GVO
77
5.2.2 Das Recht auf Berichtigung, Art. 16 DS-GVO
80
5.2.3 Das Recht auf Löschung, Art. 17 DS-GVO
81
5.2.4 Das Recht auf Einschränkung der Verarbeitung, Art. 18 DS- GVO
82
5.2.5 Anfragen auf Datenübertragung (Art. 20 DS-GVO)
83
5.2.6 Das Widerspruchsrecht, Art. 21 DS-GVO
85
5.3 Das Vorgehen bei Betroffenen-Anfragen
86
5.3.1 Vorüberlegungen
87
5.3.2 Eingang der Anfrage des Betroffenen
87
5.3.3 Prüfung der Anfrage
88
5.3.4 Information an die Betroffenen und Speicherung der Anfrage
91
5.4 Musterschreiben und Formulare
91
5.4.1 Formular für die interne Vorbereitung der Auskunftserteilung
91
5.4.2 Muster für Antwortschreiben
92
6 Beschäftigtendatenschutz
99
6.1 Begriff und Zweck des Beschäftigtendatenschutzes
99
6.2 Rechtliche Grundlagen des Beschäftigtendatenschutzes
99
6.3 Beschäftigtenbegriff
100
6.4 Begriff der personenbezogenen Daten
100
6.5 Begriff der Verarbeitung
102
6.6 Erlaubnistatbestände zur Verarbeitung von Beschäftigtendaten
103
6.7 Beschäftigtendatenschutz im Bewerbungsverfahren
105
6.7.1 Welche Daten darf der Arbeitgeber erheben?
105
6.7.2 Was muss der Arbeitgeber wann löschen?
108
6.8 Beschäftigtendatenschutz im Arbeitsverhältnis
109
6.8.1 Welche Daten darf der Arbeitnehmer verarbeiten?
109
6.8.2 Besonderheiten der Videoüberwachung
112
6.8.3 Compliance-Maßnahmen
116
6.8.4 Was muss der Arbeitgeber wann löschen?
119
6.9 Einhaltung der Grundsätze der DS-GVO
120
6.10 Rechtsfolgen bei Verstößen gegen den Beschäftigtendatenschutz
120
7 Einwilligung im Beschäftigungsverhältnis
123
7.1 Rechtliche Grundlagen der Einwilligung im Beschäftigtenverhältnis
123
7.2 Freiwilligkeit der Einwilligung im Beschäftigtenverhältnis
123
7.3 Schriftform der Einwilligung
126
7.4 Pflicht zur Aufklärung über den Zweck der Datenverarbeitung
127
7.5 Widerrufsrecht
128
7.6 Alternativen zur Einwilligung im Beschäftigungsverhältnis
128
8 Die Betriebsvereinbarung und andere Kollektivvereinbarungen
131
8.1 Betriebsvereinbarungen und Tarifverträge als datenschutzrechtliche Erlaubnisgrundlage nach der DS-GVO
131
8.1.1 Datenschutzrechtliche Erlaubnisgrundlage nach BDSG a.?F.
131
8.1.2 Auch datenschutzrechtliche Erlaubnisgrundlage nach der DS-GVO
132
8.2 Kann durch eine Kollektivvereinbarung das Schutzniveau der DS-GVO abgesenkt werden?
133
8.2.1 Abweichung vom datenschutzrechtlichen Schutzniveau nach BDSG a.?F.
133
8.2.2 Keine wesentliche Unterschreitung des Schutzniveaus der DS-GVO
134
8.2.3 Handlungsspielräume der DS-GVO durch Kollektivvereinbarungen gestalten
134
8.3 Doppelfunktion von Betriebsvereinbarungen in der Praxis
135
8.3.1 Mitbestimmungstatbestand des §?87 Abs. 1 Nr. 6 BetrVG
135
8.3.2 Gleichzeitig datenschutzrechtliche Erlaubnisgrundlage nach der DS-GVO
137
8.4 Inhaltliche Anforderungen der DS-GVO an Betriebsvereinbarungen
138
8.4.1 Transparenz und Prinzipien des Art. 5 DS-GVO
138
8.4.2 Rechenschaftspflicht
141
8.4.3 Übermittlung personenbezogener Daten innerhalb der Unternehmensgruppe
142
8.4.4 Überwachungssysteme am Arbeitsplatz
144
8.5 Handlungsempfehlungen für die Formulierung einer Betriebsvereinbarung nach der DS-GVO
146
8.5.1 Allgemein zwingend notwendige Regeln
146
8.5.2 Im besonderen Fall notwendige bzw. mögliche Regelungstatbestände
147
8.6 Verhandlungstaktik bei der Anpassung von Betriebsvereinbarungen
149
9 Arbeitnehmerüberlassung
151
10 Digitale Personalakte
153
10.1 Personalakte ? eine Begriffsdefinition
153
10.2 Grundsätze bei der Führung von Personalakten
154
10.2.1 Grundsatz der Vollständigkeit vs. Grundsatz der Datenminimierung und Speicherbegrenzung
155
10.2.2 Grundsatz der Richtigkeit
159
10.2.3 Grundsatz der Transparenz
159
10.2.4 Grundsatz der Integrität und Vertraulichkeit
160
10.3 Schritt für Schritt zur digitalen Personalakte
161
10.3.1 Schritt 1: Bestandsaufnahme
161
10.3.2 Schritt 2: Auswahl des Dienstleisters bzw. Systems
162
10.3.3 Schritt 3: Frühzeitige Beteiligung des Datenschutzbeauftragten
162
10.3.4 Schritt 4: Beteiligung des Betriebsrats
163
10.3.5 Schritt 5: Privacy by Design und Privacy by Default
163
10.3.6 Schritt 6: Einführung eines Löschkonzepts
164
10.3.7 Schritt 7: Prüfen, ob Erfordernis einer Datenschutz-Folgenabschätzung besteht, und ggf. Durchführung der Datenschutz-Folgenabschätzung
164
10.3.8 Schritt 8: Entscheidung über das Führen einer Rumpfakte
164
10.3.9 Schritt 9: Organisation der digitalen Personalakte ? konzernweite Datenverarbeitung
167
10.3.10 Schritt 10: Sicheres Vernichten aller (irrelevanten) Dokumente
167
11 Datenschutz und elektronische Kommunikation
169
11.1 Die Verwendung von E-Mail und Internet am Arbeitsplatz
169
11.2 Regelungsmöglichkeiten für den Arbeitnehmer
170
11.2.1 Keine Regelung zur Privatnutzung
170
11.2.2 Sonderfall betriebliche Übung
170
11.2.3 Ausdrückliche Regelung zur Privatnutzung
171
11.3 Kontrollmöglichkeiten
172
11.3.1 Kontrollen bei Verbot der privaten Nutzung
172
11.3.2 Kontrollen bei Erlaubnis der privaten Nutzung
174
11.4 Handlungsempfehlungen und Checkliste
178
11.4.1 Die einfachste Lösung: Verbot der privaten Nutzung
178
11.4.2 Klare Regelung notwendig: Erlaubnis der privaten Nutzung
179
12 Interne Untersuchungen und Aufdeckung von Pflichtverletzungen
181
12.1 Einleitung
181
12.2 Insbesondere: Videoüberwachung
182
12.3 Aktuelle Entscheidungen
182
12.3.1 Unzulässigkeit von Keylogger-Software
182
12.3.2 Überwachungsmaßnahmen durch Detektive
185
12.3.3 Mitbestimmung des Betriebsrats bei Einrichtung einer Facebook-Seite
187
13 Auftragsverarbeitung
189
13.1 Einführung
189
13.2 Der Auftragsverarbeiter
194
13.2.1 Stellung des Auftragsverarbeiters
194
13.2.2 Neue Pflichten des Auftragsverarbeiters
196
13.3 Auswahl des Auftragsverarbeiters
198
13.4 Vertrag zwischen Verantwortlichem und Auftragsverarbeiter
200
13.4.1 Erforderlichkeit eines Vertrags
200
13.4.2 Notwendige Vertragsinhalte
201
13.4.3 Umsetzung dieser Vertragsinhalte
210
13.5 Unterauftragnehmer
211
13.5.1 Genehmigung
211
13.5.2 Anforderungen an den Unterauftrag
214
13.5.3 Haftung für den Unterauftragsverarbeiter
215
13.6 Form
216
13.7 Internationale Auftragsverarbeitung
217
13.8 Einstandspflichten, Haftung und Sanktionen
220
13.8.1 Einstandspflichten des Auftragsverarbeiters
220
13.8.2 Haftung
221
13.8.3 Sanktionsmöglichkeiten der Aufsichtsbehörde
225
13.9 Fortgeltung bestehender Verträge
226
13.10 Checkliste: ADV-Vertrag
229
14 Konzerndatenschutz
231
14.1 Grundlagen
231
14.1.1 Begriff des Konzerns
231
14.1.2 Fehlendes »Konzernprivileg« im Datenschutzrecht
231
14.2 Rechtsgrundlage für die konzerninterne Übermittlung und weitere Verarbeitung von personenbezogenen Daten
232
14.2.1 Auftragsverarbeitung
232
14.2.2 Konzerninterne Übermittlung
234
14.3 Gemeinsame Verantwortlichkeit gem. Art. 26 DS- GVO
242
14.4 Fallgruppen
243
14.4.1 Konzernweites Kontakt-Verzeichnis
243
14.4.2 Zentralisierung der Personalverwaltung
244
14.4.3 Matrix-Strukturen
244
14.4.4 Skill-Datenbanken
244
14.4.5 Konzernweites Recruiting
245
14.5 Datenübermittlung an Konzernunternehmen in Drittländern
245
14.6 Checkliste
246
15 Outsourcing
249
15.1 Generelle Voraussetzungen
249
15.1.1 Auftragsdatenverarbeitung
249
15.1.2 Funktionsübertragung
249
15.1.3 Berufsgeheimnisträger
250
15.1.4 Einbeziehung des Datenschutzbeauftragten und des Betriebsrates
250
15.2 Übermittlung an Outsourcing-Unternehmen in Drittländer
251
15.3 Auswahl des Outsourcing-Anbieters
251
15.4 Fragenkatalog für Outsourcing-Projekte
253
16 Internationaler Datenverkehr
255
16.1 Die »Zwei Stufen«-Prüfung bei internationalen Datentransfers
255
16.2 Datentransfer in Drittländer auf Grundlage eines Angemessenheitsbeschlusses
256
16.3 EU-US Privacy Shield
256
16.4 Datenübermittlung auf Grundlage von Standarddatenschutzklauseln gem. Art. 46 Abs. 2c und d DS-GVO
257
16.5 Verbindliche interne Datenschutzvorschriften gem. Art. 47 DS-GVO
259
16.6 Genehmigte Verhaltensregeln und Zertifizierungsmechanismen
260
16.7 Genehmigungsbedürftige vertragliche Regelungen
261
16.8 Gesetzliche Erlaubnistatbestände
261
17 Löschkonzept
265
17.1 Im Fokus: Löschverpflichtung
265
17.2 Das Prinzip der Speicherbegrenzung und die Löschverpflichtung
265
17.3 Technische und organisatorische Maßnahmen zur Speicherbegrenzung
266
17.4 Das Löschkonzept
267
17.5 Beispiel: Löschregeln im Personalbereich
268
18 Direktmarketing
277
18.1 Bestehende Kundenbeziehung
277
18.1.1 Überblick
277
18.1.2 Details
278
18.2 Einwilligung
279
18.2.1 Gültigkeit von Alt-Einwilligungen ? Übergangsregelungen
280
18.2.2 Anforderungen nach der DS-GVO
281
18.3 Rechtfertigung durch gesetzlichen Erlaubnistatbestand
287
18.4 Keine Sonderregelungen bei Geschäftskontakten
288
19 Industrie 4.0 im Kontext des Datenschutzes
291
19.1 Beschäftigtendatenschutz
291
19.2 Datentransfers in Drittstaaten
295
19.3 Datensicherheit
298
19.4 Exkurs: Data Ownership
299
20 Verarbeitung personenbezogener Daten Minderjähriger im Internet
301
20.1 Strengere Schutzanforderungen bei Kindern
301
20.2 Allgemeine Anforderungen an die Einwilligung
302
20.3 Wirksamkeit von alten Einwilligungserklärungen
304
20.4 Besondere Anforderungen an die Einwilligung bei Kindern
305
20.5 Entbehrlichkeit der Einwilligung bei notwendiger Datenverarbeitung
307
20.5.1 Berechtigte Interessen
307
20.5.2 Erfüllung eines Vertrags
308
21 IT-Sicherheit im Unternehmen
311
21.1 Ausgangslage
311
21.2 Typisches Angriffsszenario
312
21.3 Datenverarbeitung als wesentlicher Teil der IT-Sicherheit
312
21.4 Rechtlicher Rahmen
314
21.4.1 Anwendbarkeit des Datenschutzrechts
314
21.4.2 Gesetzliche Anforderungen an die IT-Sicherheit
315
21.4.3 Zulässige Verarbeitung und Speicherdauer von Daten
318
21.5 Praktische Umsetzung/Checkliste
328
22 Datenschutz-Folgenabschätzung
331
22.1 Zielsetzung
331
22.2 Erforderlichkeit der Datenschutz-Folgenabschätzung
332
22.2.1 Grundsatz
333
22.2.2 Konkretisierung durch Regelbeispiele
335
22.2.3 Kriterien für ein »hohes Risiko« nach der Artikel-29-Datenschutzgruppe
338
22.2.4 Orientierung an Listen der Aufsichtsbehörden
340
22.2.5 Zwischenergebnis
341
22.3 Durchführung der Datenschutz-Folgenabschätzung
341
22.3.1 Die Vorbereitungsphase
342
22.3.2 Die Bewertungsphase
345
22.3.3 Die Maßnahmenphase
348
22.4 Einbeziehung des Datenschutzbeauftragten
350
22.5 Einbeziehung der Betroffenen
350
22.6 Konsultation der Aufsichtsbehörde
351
22.7 Altfälle: Bewertung von vorhandenen Verarbeitungsprozessen
352
22.8 Überprüfung und Wiederholung der Datenschutz-Folgenabschätzung
353
22.9 Sanktionen
354
23 Datenschutzrisikomanagement
355
23.1 Einführung
355
23.2 Rahmenbedingungen eines Compliance- und Datenschutz-Management-Systems
357
23.3 Bestandsaufnahme als Vorbereitungsmaßnahme
358
23.4 Umsetzung
360
23.4.1 Beschreibung der Datenverarbeitungsprozesse
361
23.4.2 Im Fokus: Beschäftigtendatenschutz
363
23.4.3 Stärkung der Rolle des Datenschutzbeauftragten
364
23.4.4 Anpassung der IT-Struktur
365
23.4.5 Implementierung eines Löschmanagements
367
23.4.6 Kollektivrechtliche Aspekte
369
23.4.7 Kommunikation und Training
369
24 Datenschutzaudit und Zertifizierung
371
24.1 Das Datenschutz-Management-System
371
24.2 Audit, Übung, Wartung
372
24.3 Strategie definieren, Maßnahmen planen
374
24.4 Strategien und Maßnahmen implementieren
378
24.5 Umsetzung kontrollieren
378
24.6 Etablierung von Datenschutzorganisation und Datenschutz-Kultur
379
24.7 Projektmanagement
380
24.8 Datenschutzsiegel
380
25 Datenschutzschulung und Sensibilisierung
383
25.1 Relevante Schulungsinhalte
383
25.1.1 Besondere Arten personenbezogener Daten
383
25.1.2 Einwilligung des Betroffenen
384
25.1.3 Neue Rechte des Betroffenen
385
25.1.4 Verzeichnis für Verarbeitungstätigkeiten
385
25.1.5 Benachrichtigungspflicht bei Sicherheitspannen
385
25.2 Durchführung der Schulungsmaßnamen und Sensibilisierung der Mitarbeiter
386
Die Autoren
389
Abkürzungsverzeichnis
393
Literaturverzeichnis
399
Stichwortverzeichnis
403