13
Okt
2017
EU-US
Tim Wybitul
& Dr. Lukas Ströbel

Übermittlung personenbezogener Daten in Drittländer nach der DSGVO

Überblick und Checkliste für die Prüfung nach der DS-GVO

Die grenzüberschreitende Übermittlung von Daten ohne vorherige rechtliche Prüfung, ist bereits jetzt nach dem noch bis zum 24.5.2018 geltenden BDSG erheblichen Risiken ausgesetzt. Die Einführung der EU-Datenschutzgrundverordnung (DSGVO) sowie des gleichzeitig in Kraft tretenden neuen BDSG (BDSG 2018) stellt Praktiker vor neue Herausforderungen. Die DSGVO vereinfacht zwar den Datenaustausch innerhalb der EU, indem sie einheitliche Mindestschutzanforderungen aufstellt. Für Datenübermittlungen in Drittländer stellen sich dagegen wichtige Fragen. Der folgende Beitrag beschreibt die ab dem 18.5.2018 geltenden Voraussetzungen für eine solche Datenübermittlung in Drittländer. Zudem zeigt der Lösungsansätze auf und gibt pragmatische Handlungsempfehlungen.

Der Beitrag enthält auch eine kurze Checkliste für die Prüfung der Zulässigkeit der Übermittlung personenbezogener Daten in Drittländer nach der DSGVO. Er erscheint im Novemberheft der Zeitschrift für Datenschutz (ZD). Wir veröffentlichen ihn hier im Volltext gratis mit freundlicher Genehmigung des Verlag C.H.Beck.

 

5
Okt
2017
Legal
Tim Wybitul
& Dr. Wolf-Tassilo Böhm
& Dr. Lukas Ströbel

BAG zu Keylogger: Urteilsgründe veröffentlicht – Leitlinien für zulässige Kontrollen

Bereits Ende Juli hat das Bundesarbeitsgericht (BAG) in einer vielbeachteten Entscheidung festgestellt, dass der Einsatz eines Software-Keyloggers durch den Arbeitgeber rechtswidrig ist, wenn kein durch konkrete Tatsachen begründeter Verdacht einer Straftat oder anderen schwerwiegenden Pflichtverletzung besteht (2 AZR 681/16). Jetzt hat das BAG die vollständigen Urteilsgründe veröffentlicht, die Sie hier abrufen können. » Lesen Sie mehr

9
Sep
2017
shutterstock_545082313-150x119
Tim Wybitul

DSGVO: VG Karlsruhe erlässt erste Entscheidung zur EU-Datenschutz-Grundverordung

Das Verwaltungsgericht (VG) Karlsruhe hat kürzlich die wohl erste deutsche Gerichtsentscheidung zur EU-Datenschutz-Grundverordnung (DSGVO) verkündet. Im Kern ging es bei dem Verfahren darum, ob Datenschutzbehörden bereits vor der Geltung der DSGVO Maßnahmen gegen Unternehmen anordnen dürfen, wenn die Behörde der Auffassung ist, dass bereits abzusehen ist, dass ein Unternehmen ab dem 25.05.2018 gegen die DSGVO verstoßen wird. Nach Art. 99 DSGVO ist der kommende europäische Datenschutz zwar bereits in Kraft getreten, gilt aber erst ab dem 25.05.2018. Diese Übergangsfrist soll es Unternehmen und anderen Verantwortlichen ermöglichen, die umfassenden Vorgaben der DSGVO bis zum kommenden Mai umzusetzen.a

Der Landesdatenschutzbeauftragte Baden-Württemberg hatte eine Verfügung gegen eine Auskunftei erlassen. Diese Verfügung begründete die Behörde im Wesentlichen damit, dass spätere Verstöße des Unternehmens gegen die DSGVO bereits jetzt absehbar seien.

Nach § 38 Abs. 5 S. 1 BDSG könne die Aufsichtsbehörde die erforderlichen Maßnahmen zur Gewährleistung der Einhaltung datenschutzrechtlicher Vorschriften bei der Erhebung, Verbreitung und Nutzung personenbezogener Daten ergreifen. Zwar würde die Behörde keine gegenwärtigen Datenschutzverstöße der Klägerin unterbinden. Vielmehr jedoch sollten Missstände verhindert werden, die nach dem 24.05.2018 zu erwarten seien.

Das VG folgte der Auffassung der Behörde nicht. Eine Ermächtigung für ein Tätigwerden der Aufsichtsbehörde bereits vor Geltung der EU-Datenschutzgrundverordnung sah das Gericht nicht. Es fehle in der DSGVO an einer Ermächtigungsgrundlage, die es der Behörde erlaubte, frühzeitig sicherzustellen, dass die künftig anwendbaren Vorschriften unter Berücksichtigung der Rechtsauffassung der Aufsichtsbehörde durch Verantwortliche eingehalten werde. Eine solche Befugnis lasse sich weder der Verordnung im Wege einer Vorwirkung, noch den aktuell geltenden Bestimmungen des Bundesdatenschutzgesetzes entnehmen. Die Entscheidung des VG Karlsruhe vom 06.07.2017 ( Az.: 10 K 7698/16) können Sie hier im Volltext abrufen.

 

 

9
Sep
2017
Europa
Tim Wybitul

EGMR macht Vorgaben zum Beschäftigtendatenschutz bei der Kontrolle von Mitarbeitern

Der Europäischer Gerichtshof für Menschenrechte (EGMR) hat in einer aktuellen Entscheidung neue Vorgaben dazu gemacht, welche Kontrollen von Mitarbeitern rechtlich zulässig sind und welche Vorgaben Arbeitgeber hierbei berücksichtigen müssen. Dabei greift der EGMR bereits Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) auf und setzt Maßstäbe, die Unternehmen bei der Überwachung von Beschäftigten in den kommenden Jahren beachten müssen. Gerade in Bezug auf die vom Arbeitgeber zu gewährleistende Transparenz bei Kontrollmaßnahmen macht der EGMR strenge Vorgaben. Diese entsprechen im Wesentlichen den aktuellen Anforderungen des Bundesarbeitsgerichts. Im Einzelnen sollten Arbeitgeber Folgendes beachten: 

  • Datenschutzerklärungen: Die Entscheidung zeigt nachdrücklich die Bedeutung transparenter Datenverarbeitungen im Beschäftigungskontext auf. Der EGMR befand, dass es den nationalen Gerichten nicht gelungen war, festzustellen, ob der Kläger von seinem Arbeitgeber vorab angemessen informiert worden war. Hierdurch wird die Notwendigkeit adäquater Datenschutzerklärungen deutlich. Wollen Arbeitgeber Überwachungsmaßnahmen, welche im Einklang mit EU-Recht stehen, einführen, so müssen sie dies gegenüber ihren Arbeitnehmern anhand von angemessenen Datenschutzerklärungen kommunizieren. Eine solche Datenschutzerklärung muss insbesondere folgende Inhalte aufweisen:
    • Möglichkeit der Überwachung: Die Datenschutzerklärung muss die Beschäftigten über die Möglichkeit der Überwachung ihrer Kommunikation informieren.
    • Ausmaß der Überwachung: Der Arbeitgeber muss den Arbeitnehmer über Art und Ausmaß der Überwachung, bspw. darüber, dass die elektronische Kommunikation überwacht wird, informieren. Die Erklärung sollte in der Regel im Voraus ergehen und die Art der Überwachung deutlichaufzeigen. Hierbei sollte zwischen der Überwachung des Kommunikationsflusses und des Kommunikationsinhaltes unterschieden werden.
    • Einschränkung der Privatsphäre: Arbeitgeber müssen ihre Arbeitnehmer über den mit den möglichen Überwachungsmaßnahmen verbunden Grad des Eingriffs in ihre Korrespondenz und ihr Privatleben informieren.
    • Anforderungen der DSGVO: Art. 13 und 14 DSGVO werden im Urteil des EGMR nicht ausdrücklich genannt. Jedoch müssen Arbeitgeber ab 25. Mai 2018 die hier normierten Anforderungen an Datenschutzerklärungen beachten. Das bringt weitere Anforderungen an die Transparenz mit sich. Unten finden Sie eine Checkliste für eine Datenschutzerklärung, welche den Anforderungen des Art. 13 DSGVO genügt.

 

  • IT-Nutzungsrichtlinien: Um den vom EGMR geforderten Anforderungen an die Transparenz zu genügen, sind Unternehmen gut beraten, wenn sie klare und gut verständliche IT-Richtlinien erlassen und umsetzen. Unternehmen sollten klare Regelungen für die Nutzung der Unternehmenssysteme festlegen und den privaten Gebrauch jener so weit als möglich verbieten. In den Fällen, in welchen der persönliche Gebrauch der Firmensoftware erlaubt ist, sollte deutlich betont werden, dass von Seiten der Arbeitnehmer keine hohen Erwartungen an den Schutz der Privatsphäre gestellt werden können. Unternehmen sollten ihren Arbeitnehmern als “Basic Message” vermitteln: “Wenn Sie nicht möchten, dass das Unternehmen Zugriff auf gewisse Informationen erhält, speichern Sie diese bitte nicht in unseren Systemen“.
  • Rechtfertigung der Datenverarbeitung: Rechtmäßige Datenverarbeitungen müssen beispielsweise gem. Art. 6 Abs. 1 oder 9 Abs. 2 DSGVO gerechtfertigt sein. Weitere Legitimationsgründe können sich aus Art. 88 DSGVO in Verbindung mit nationalen Datenschutzgesetzen oder Tarifverträgen ergeben. Arbeitgeber sollten in der Lage sein, nachzuweisen, dass sie Beschäftigtendaten in Übereinstimmung mit dem geltenden Datenschutzrecht verarbeiten. Die nationalen Gerichte werden zukünftig die Rechtfertigungsgründe analysieren müssen. Art. 24 DSGVO legt die Beweislast eindeutig dem Arbeitgeber auf. Dies erfordert eine genaue Dokumentation der jeweiligen Zwecke und der Art und Weise von Datenverarbeitungen. Überdies werden Arbeitgeber nachweisen müssen, dass sie die Arbeitnehmer über ihre internen Richtlinien informiert haben. Bei der Abwägung ob berechtigte Interessen für die Verarbeitung von Daten aus einer Überwachungsmaßnahme vorliegen, müssen die Folgen der Überwachung für den betroffenen Arbeitnehmer und der Nutzen der Überwachungserkenntnisse für den Arbeitgeber einbezogen werden.
  • Datenminimisierung: Bei der Bestimmung der Rechtmäßigkeit von Datenverarbeitungen muss ferner untersucht werden, ob die Möglichkeit bestanden hätte, ein Überwachungssystem mit weniger einschneidenden Maßnahmen, als den direkten Zugriff auf den Kommunikationsinhalt des Arbeitnehmers, einzuführen. Insbesondere sollte eine Einzelfallabwägung dahingehend vorgenommen werden, ob das Ziel des Arbeitgebers auch ohne direkten Zugang zu dem gesamten Inhalt der Kommunikation des Arbeitnehmers hätte erreicht werden können.

Fazit

Das Urteil des EGMR ist streng. Das kommt jedoch nicht völlig unerwartet. Die nationalen Gerichte einiger EU Mitgliedstaaten, wie beispielsweise von Deutschland, wenden bereits ähnlich strenge Standards an. Viele Kriterien, die das Gericht aufgestellt hat, spiegeln bereits die Anforderungen der DSGVO wieder. Dies gilt insbesondere in Bezug auf Transparenzanforderungen.

Englische Zusammenfassung

Eine ausführliche Zusammenfassung der Entscheidung mit Empfehlungen für Arbeitgeber finden Sie auch hier auf unserem englischsprachigen Datenschutz-Blog. Dort finden Sie ebenfalls eine Checkliste, mit der Sie die Zulässigkeit von Kontrollmaßnahmen nach den vom EGMR aufgestellten Grundsätzen sicherstellen können.

4
Sep
2017
Tim Wybitul

Bundesarbeitsgericht: Kündigung trotz Freispruch wirksam

Hilfestellung des Bundesarbeitsgerichts (BAG) für Compliance-Kündigungen

Stellen Arbeitgeber fest,  das Beschäftigte im Unternehmen Straftaten begehen, stellen sie mittlerweile häufig Strafantrag. Oftmals sprechen Compliance-Erwägungen und Abschreckungsgedanken für einen solchen Schritt. Zumal Informationen aus dem Strafverfahren später vielleicht einmal in einem Kündigungsschutzverfahren hinfreich sein können oder eine zulässige Nachkündigung stützen können. Ein neues Urteil des BAG stellt klar, dass eine Kündigung des Arbeitsverhältnisses auch dann wirksam sein kann, wenn der Beschäftigte im Strafverfahren freigesprochen wird.

Einen kurzen Überblick zu der Entscheidung in der F.A.Z-Kolumne “Mein Urteil” finden Sie hier.