Datenschutz im Betrieb - Die DS-GVO in der Personalarbeit
eBook - ePub

Datenschutz im Betrieb - Die DS-GVO in der Personalarbeit

  1. 404 Seiten
  2. German
  3. ePUB (handyfreundlich)
  4. Über iOS und Android verfügbar
eBook - ePub

Datenschutz im Betrieb - Die DS-GVO in der Personalarbeit

Angaben zum Buch
Buchvorschau
Inhaltsverzeichnis
Quellenangaben

Über dieses Buch

Am 25. Mai 2018 trat die EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft. Sie gilt in der gesamten EU und bringt nicht nur eine Vereinheitlichung, sondern auch eine deutliche Verschärfung des europäischen Datenschutzrechts mit sich. Dies stellt Unternehmen vor die Herausforderung, innerhalb kurzer Zeit interne Prozesse und Datenschutz-Funktionen an das neue Recht anzupassen. Angesichts erhöhter Anforderungen, Bußgelder und Haftungsrisiken ist dabei große Sorgfalt geboten.Dieses Buch ist ein Praxisleitfaden zur Umsetzung der Anforderungen der DS-GVO, insbesondere in der Personalarbeit im Betrieb, und zum korrekten Umgang mit personenbezogenen Daten im Unternehmen nach dem reformierten Recht.Inhalte: - Beschäftigtendatenschutz rechtssicher umsetzen- Dokumentations- und Informationspflichten- Betriebliches Datenschutzmanagement: Konzernprivileg, Arbeitsverträge, Betriebsvereinbarungen- Minderung von Haftungsrisiken: Sanktionen, Bußgelder und strafrechtliche Konsequenzen

Häufig gestellte Fragen

Gehe einfach zum Kontobereich in den Einstellungen und klicke auf „Abo kündigen“ – ganz einfach. Nachdem du gekündigt hast, bleibt deine Mitgliedschaft für den verbleibenden Abozeitraum, den du bereits bezahlt hast, aktiv. Mehr Informationen hier.
Derzeit stehen all unsere auf Mobilgeräte reagierenden ePub-Bücher zum Download über die App zur Verfügung. Die meisten unserer PDFs stehen ebenfalls zum Download bereit; wir arbeiten daran, auch die übrigen PDFs zum Download anzubieten, bei denen dies aktuell noch nicht möglich ist. Weitere Informationen hier.
Mit beiden Aboplänen erhältst du vollen Zugang zur Bibliothek und allen Funktionen von Perlego. Die einzigen Unterschiede bestehen im Preis und dem Abozeitraum: Mit dem Jahresabo sparst du auf 12 Monate gerechnet im Vergleich zum Monatsabo rund 30 %.
Wir sind ein Online-Abodienst für Lehrbücher, bei dem du für weniger als den Preis eines einzelnen Buches pro Monat Zugang zu einer ganzen Online-Bibliothek erhältst. Mit über 1 Million Büchern zu über 1.000 verschiedenen Themen haben wir bestimmt alles, was du brauchst! Weitere Informationen hier.
Achte auf das Symbol zum Vorlesen in deinem nächsten Buch, um zu sehen, ob du es dir auch anhören kannst. Bei diesem Tool wird dir Text laut vorgelesen, wobei der Text beim Vorlesen auch grafisch hervorgehoben wird. Du kannst das Vorlesen jederzeit anhalten, beschleunigen und verlangsamen. Weitere Informationen hier.
Ja, du hast Zugang zu Datenschutz im Betrieb - Die DS-GVO in der Personalarbeit von Axel von Walter im PDF- und/oder ePub-Format sowie zu anderen beliebten Büchern aus Volkswirtschaftslehre & Wirtschaftstheorie. Aus unserem Katalog stehen dir über 1 Million Bücher zur Verfügung.

Information

Verlag
Haufe
Jahr
2018
ISBN
9783648111390
Thema
Volkswirtschaftslehre
Thema
Wirtschaftstheorie

1   Einleitung

Am 25.05.2018 begann für den Datenschutz in Europa ein neues Zeitalter. Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)1 bildet seitdem den Europäischen Rechtsrahmen und den Maßstab für den Datenschutz in Europa. Auch wenn es weiterhin zahlreiche nationale oder europarechtliche Spezialvorschriften zum Schutz personenbezogener Daten geben wird, ist jetzt die Datenschutz-Grundverordnung (DS-GVO) der Fixstern und stellt für die Grundprinzipien des Datenschutzes einen einheitlichen Standard auf.
Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ist ein Grundrecht, das sich aus Art. 8 Abs. 1 der Charta der Grundrechte der Europäischen Union (EU-Grundrechtecharta)2 sowie Art. 16 Abs. 1 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV)3 ergibt. Auch wenn die grundrechtliche Verankerung auf europäischer Ebene noch sehr jung ist, kennen wir das Grundrecht auf informationelle Selbstbestimmung in Deutschland spätestens seit der wichtigen Entscheidung des Bundesverfassungsgerichts aus dem Jahr 1983, die als sogenanntes Volkszählungsurteil bekannt wurde.4 Darin erkennt das Bundesverfassungsgericht das Grundrecht auf informationelle Selbstbestimmung an. Es soll die Befugnis des Einzelnen gewährleisten, grundsätzlich selbst über die Preisgabe und die Verwendung seiner persönlichen Daten zu bestimmen. In diesem Urteil, das fern des heutigen Digitalzeitalters gefällt wurde, hat das Bundesverfassungsgericht bereits den sich aus dem technischen Fortschritt ergebenden Schutzbedarf für die Persönlichkeit des Einzelnen erkannt und deswegen die informationelle Selbstbestimmung als Abwehrrecht des Einzelnen gegen den Daten sammelnden Staat etabliert. Es hat ausdrücklich darauf hingewiesen, dass die Befugnis, selbst zu entscheiden, wann und innerhalb welcher Grenzen persönliche Lebenssachverhalte offenbart werden, unter den Bedingungen der automatischen Datenverarbeitung in besonderem Maße des Schutzes bedürfe. Diese Selbstbestimmung sei vor allem deshalb gefährdet, weil bei Entscheidungsprozessen nicht mehr auf manuell zusammengetragene Karteien und Akten zurückgegriffen werden müsse, sondern vielmehr mithilfe der automatischen Datenverarbeitung personenbezogene Daten technisch gesehen unbegrenzt speicherbar und jederzeit ohne Rücksicht auf Entfernungen in Sekundenschnelle abrufbar seien.5 Diese Daten können darüber hinaus - vor allem beim Aufbau integrierter Informationssysteme - mit anderen Datensammlungen zu einem teilweise oder weitgehend vollständigen Persönlichkeitsbild zusammengefügt werden, ohne dass der Betroffene dessen Richtigkeit und Verwendung zureichend kontrollieren könne.6 Die wesentliche Passage in dem Volkszählungsurteil bringt das Ziel und den Zweck des Datenschutzes als Freiheitsschutz auf den Punkt:7
„Wer nicht mit hinreichender Sicherheit überschauen kann, welche ihn betreffende Informationen in bestimmten Bereichen seiner sozialen Umwelt bekannt sind, und wer das Wissen möglicher Kommunikationspartner nicht einigermaßen abzuschätzen vermag, kann in seiner Freiheit wesentlich gehemmt werden, aus eigener Selbstbestimmung zu planen oder zu entscheiden. Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen. […]
Hieraus folgt: Freie Entfaltung der Persönlichkeit setzt unter den modernen Bedingungen der Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraus.“
Die in dem Volkszählungsurteil zum Ausdruck gebrachten Grundsätze helfen auch heute noch, die Leitlinien des Datenschutzrechts zu verstehen und zu interpretieren. Für die Freiheitsrechte des Einzelnen sind die uns aus dem Datenschutzrecht vertrauten Grundsätze, beispielsweise Transparenz, Richtigkeit, Zweckbindung, essenziell. Auch in der betrieblichen Praxis hilft es immer wieder, sich diese Grundsätze zu vergegenwärtigen. Es wird dann klar, dass es beim Datenschutzrecht nicht um Kontrollrechte im Sinne eines erweiterten Eigentumsrechts geht. Vielmehr schützt die informationelle Selbstbestimmung die Freiheit des Einzelnen.
Diese Freiheit des Einzelnen ist nicht unbeschränkt und steht selbstverständlich im Spannungsverhältnis zu den Freiheitsrechten anderer, z. B. des Arbeitgebers. Der Einzelne ist eine sich innerhalb der sozialen Gemeinschaft entfaltende, auf Kommunikation angewiesene Persönlichkeit und hat deswegen kein Recht im Sinne einer absoluten Herrschaft über „seine“ Daten. Information, auch soweit sie personenbezogen ist, stellt ein Abbild sozialer Realität dar, das nicht ausschließlich dem Betroffenen allein zugeordnet werden kann.8 Das Recht auf Schutz der personenbezogenen Daten muss im Hinblick auf diese gesellschaftliche Funktion gesehen und unter Wahrung des Verhältnismäßigkeitsprinzips gegen andere Grundrechte abgewogen werden9.
Die DS-GVO baut auf dem Ansatz der von ihr abgelösten Datenschutzrichtlinie 95/46/EG auf. Sie hat den Anspruch, diesen Ansatz aus den Erfahrungen und der einschlägigen Rechtsprechung der letzten 20 Jahre heraus zu modernisieren. Die DS-GVO enthält eine Reihe neuer Elemente, die einerseits den Schutz der Rechte des Einzelnen stärken sollen, andererseits Unternehmen den Datentransfer im digitalen Binnenmarkt erleichtern werden. Durch die DS-GVO werden die Grundsätze des Datenschutzes durch Technik und durch datenschutzfreundliche Voreinstellungen („Privacy by Design“ und „Privacy by Default“) eingeführt, um Datenschutzinteressen von Anfang an in Geschäftsprozessen und Produkten, wie z. B. bei datenschützenden Voreinstellungen bei Smartphones, zu berücksichtigen. Die Rechte des Einzelnen werden gestärkt, indem neue Transparenzanforderungen eingeführt werden. Außerdem werden die Rechte auf Information, Zugang und Löschung ausgebaut. Einzelpersonen erhalten auch deswegen mehr Kontrolle über die sie betreffenden Daten. Zusätzlich wird das Recht auf Datenübertragbarkeit eingeführt, welches es den Betroffenen ermöglichen soll, von einem Unternehmen die Rück- oder Weiterübertragung personenbezogener Daten zu verlangen, die der Betroffene dem Unternehmen auf Grundlage einer Einwilligung oder eines Vertrages zur Verfügung gestellt hat. Mit der Verordnung erhalten alle Datenschutzaufsichtsbehörden die Befugnis, Geldbußen gegen Verantwortliche und Auftragsverarbeiter zu verhängen, wobei die Geldbußen bis zu 20 Millionen EUR oder bis zu 4 Prozent des weltweiten Jahresumsatzes betragen können. Zusätzlich können Betroffene bei Datenschutzverletzungen Schadenersatz auch für immateriellen Schaden einklagen. Die bislang bestehenden Vorabkontrollpflichten und Meldepflichten werden abgeschafft. Stattdessen gibt es ein für uns in Deutschland neues Instrument, das Risiko vor dem Beginn der Datenverarbeitung zu bewerten. Die Verordnung schreibt eine Datenschutz-Folgenabschätzung vor, wenn die Verarbeitung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten des Einzelnen führen kann. Unternehmen müssen in diesem Fall vorab die Risiken identifizieren und Abhilfemaßnahmen zur Vermeidung der Risiken implementieren.
Die Verordnung gilt unmittelbar in allen Mitgliedsstaaten, die jedoch die Grundsätze und Bestimmungen der Verordnung in bestimmten Bereichen konkretisieren können. Für die betriebliche Datenschutzpraxis sind insbesondere die Fragen des Datenschutzes bei Beschäftigung und soziale Sicherheit praktisch relevant. Deutschland hat von diesen Konkretisierungsmöglichkeiten bereits Gebrauch gemacht und mit dem ebenfalls am 25.05.2018 in Kraft getretenen BDSG n. F. nationale Regelungen u. a. im Bereich des Beschäftigten-Datenschutzes geschaffen.10
Auch wenn deutschen Unternehmen viele Prinzipien und Regelungen aus der Datenschutz-Grundverordnung bereits aus der alten Rechtslage - basierend auf der Datenschutzrichtlinie - bekannt sein dürften, begann mit dem 25.05.2018 ein neues Zeitalter. Die bisherige Rechtsprechung der nationalen Gerichte sowie die Verwaltungspraxis der Aufsichtsbehörden der Länder in Deutschland können nicht einfach auf die Datenschutz-Grundverordnung angewendet werden. Da die Verordnung unmittelbar geltendes Europarecht ist, kann es nicht mit rangniederem nationalem Recht ausgelegt werden. Nach der Übergangsphase, die am 25.05.2018 endete, beginnt nun eine Phase der praktischen und europaweiten Findung im europäischen Datenschutzrecht. Denn mit dem Bestreben, europaweit ein möglichst einheitliches Datenschutzregime zu schaffen, ist die Herausforderung verbunden, auch europaweit einheitliche Anwendungs- und Verwaltungspraktiken der Aufsichtsbehörden sicherzustellen. Die Verordnung sieht dazu förmliche Abstimmungsprozesse vor. Das wird seine Zeit benötigen. Deswegen kommen den Leitlinien und Arbeitsunterlagen der bisherigen Datenschutzgruppe nach Art. 29 der Datenschutzrichtlinie (sog. Artikel-29-Datenschutzgruppe) im Hinblick auf die Anwendung der Datenschutz-Grundverordnung besondere Bedeutung zu. Auch wenn es sich dabei um formal nicht bindende Leitlinien handelt, werden die Aufsichtsbehörden der Mitgliedstaaten die darin niedergelegten Grundsätze und Leitlinien bei der praktischen Anwendung der Datenschutz-Grundverordnung berücksichtigen. In der betrieblichen Praxis lohnt es also, mit den Leitlinien der Artikel-29-Datenschutzgruppe zu arbeiten.11
Mit dem Wirksamwerden der Datenschutz-Grundverordnung am 25.05.2018 werden viele Unternehmen in Deutschland noch nicht im Einklang mit den Anforderungen der Verordnung stehen. Unternehmen sollten auch nach dem Startdatum weiterhin mit Hochdruck an der Umsetzung der Anforderungen arbeiten und die Fortschritte dokumentieren.
1Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 v. 04.05.2016, S. 1 ff.
2Charta der Grundrechte der Europäischen Union (2010/C 83/02), ABl. Nr. C 83 v. 30.03.2010, S. 389 ff.
3Konsolidierte Fassungen des Vertrags über die Europäische Union und des Vertrags über die Arbeitsweise der Europäischen Union (2012/C 326/01), ABl. Nr. C 326 v. 26.10.2012, S. 1 ff.
4BVerfG, Urteil v. 15.12.1983, 1 BvR 209/83, BVerfGE 65, 1.
5BVerfG, Urteil v. 15.12.1983, 1 BvR 209/83, BVerfGE 65, 1, II. 1 a).
6BVerfG, Urteil v. 15.12.1983, 1 BvR 209/83, BVerfGE 65, 1, II. 1 a).
7BVerfG, Urteil v. 15.12.1983, 1 BvR 209/83, BVerfGE 65, 1, II. 1 a).
8BVerfG, Urteil v. 15.12.1983, 1 BvR 209/83, BVerfGE 65, 1, II. 1 b)
9Siehe Erwägungsgrund 4 der DS-GVO.
10Bundesdatenschutzgesetz (BDSG) vom 30.06.2017, BGBl. I S. 2097.
11Die Unterlagen sind online verfügbar unter: http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1360&tpa_id=6936, letzter Zugriff: 12.03.2018.

2 Neue Aufgaben für HR-Fach- und Führungskräfte

Marco Ferme und Dr. Franziska von Kummer

2.1 Besonders betroffen von den neuen Regelungen: das Personalwesen

Die DS-GVO bringt zahlreiche neue Aufgaben und Verantwortlichkeiten mit sich, die nicht nur Personen an der Unternehmensspitze betreffen. Auch Fach- und Führungskräfte im HR-Bereich müssen eine Einhaltung der datenschutzrechtlichen Vorgaben gewährleisten. Da u. a. nach Art. 82 Abs. 2 DS-GVO auch natürliche Personen für Schäden haften, die durch eine nicht der Verordnung entsprechende Verarbeitung verursacht werden, ist jedem Entscheider, der mit personenbezogenen Daten zu tun hat (vgl. hierzu näher Kapitel 6.4), dringend anzuraten, sich mit den Rahmenbedin...

Inhaltsverzeichnis

  1. Inhaltsverzeichnis
  2. Hinweis zum Urheberrecht
  3. Impressum
  4. 1   Einleitung
  5. 2   Neue Aufgaben für HR-Fach- und Führungskräfte
  6. 3   Der Datenschutzbeauftragte
  7. 4   Dokumentationspflichten und das Verarbeitungsverzeichnis
  8. 5   Die Rechte der betroffenen Personen
  9. 6   Beschäftigtendatenschutz
  10. 7   Einwilligung im Beschäftigungsverhältnis
  11. 8   Die Betriebsvereinbarung und andere Kollektivvereinbarungen
  12. 9   Arbeitnehmerüberlassung
  13. 10   Digitale Personalakte
  14. 11   Datenschutz und elektronische Kommunikation
  15. 12   Interne Untersuchungen und Aufdeckung von Pflichtverletzungen
  16. 13   Auftragsverarbeitung
  17. 14   Konzerndatenschutz
  18. 15   Outsourcing
  19. 16   Internationaler Datenverkehr
  20. 17   Löschkonzept
  21. 18   Direktmarketing
  22. 19   Industrie 4.0 im Kontext des Datenschutzes
  23. 20   Verarbeitung personenbezogener Daten Minderjähriger im Internet
  24. 21   IT-Sicherheit im Unternehmen
  25. 22   Datenschutz-Folgenabschätzung
  26. 23   Datenschutzrisikomanagement
  27. 24   Datenschutzaudit und Zertifizierung
  28. 25   Datenschutzschulung und Sensibilisierung
  29. Die Autoren
  30. Abkürzungsverzeichnis
  31. Literaturverzeichnis
  32. Stichwortverzeichnis