Datenschutz im Betrieb - Die DS-GVO in der Personalarbeit

Am 25. Mai 2018 trat die EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft. Sie gilt in der gesamten EU und bringt nicht nur eine Vereinheitlichung, sondern auch eine deutliche Verschärfung des europäischen Datenschutzrechts mit sich. Dies stellt Unternehmen vor die Herausforderung, innerhalb kurzer Zeit interne Prozesse und Datenschutz-Funktionen an das neue Recht anzupassen. Angesichts erhöhter Anforderungen, Bußgelder und Haftungsrisiken ist dabei große Sorgfalt geboten.

Dieses Buch ist ein Praxisleitfaden zur Umsetzung der Anforderungen der DS-GVO, insbesondere in der Personalarbeit im Betrieb, und zum korrekten Umgang mit personenbezogenen Daten im Unternehmen nach dem reformierten Recht.

Inhalte:

• Beschäftigtendatenschutz rechtssicher umsetzen
• Dokumentations- und Informationspflichten
• Betriebliches Datenschutzmanagement: Konzernprivileg, Arbeitsverträge, Betriebsvereinbarungen

• Minderung von Haftungsrisiken: Sanktionen, Bußgelder und strafrechtliche Konsequenzen

  Autorentext
  Dr. Axel von Walter ist Rechtsanwalt, u.a. Fachanwalt für IT-Recht und Partner bei der BEITEN BURKHARDT Rechtsanwaltsgesellschaft mbH. Er ist Lehrbeauftragter an der Ludwig-Maximilians-Universität München.

  Inhalt

  Einleitung

Neue Aufgaben für HR-Fach- und Führungskräfte

• Besonders betroffen von den neuen Regelungen: das Personalwesen
• Sensibilität im Umgang mit Bewerberdaten
• Aufgaben im laufenden Beschäftigungsverhältnis
• Aufgaben nach Beendigung des Beschäftigungsverhältnisses
• Zur Rolle des Betriebsrats
• Instruktion von Mitarbeitern Der Datenschutzbeauftragte

• Die Pflicht zur Benennung eines Datenschutzbeauftragten
• Benennung und Abberufung eines Datenschutzbeauftragten
• Anforderungen an den Datenschutzbeauftragten
• Die Stellung des Datenschutzbeauftragten im Unternehmen
• Aufgaben und Pflichten des Datenschutzbeauftragten
• Alternative Rollen im Unternehmen neben oder statt dem Datenschutzbeauftragten
• Musterschreiben: Benennung eines Datenschutzbeauftragten Dokumentationspflichten und das Verarbeitungsverzeichnis

• Die Nachweis- und Dokumentationspflichten in der DS-GVO
• Das Verarbeitungsverzeichnis

• Erstellung und Pflege des Verarbeitungsverzeichnisses

Die Rechte der betroffenen Personen

• Informationspflichten
• Individualrechte des Betroffenen zur Sicherung der informationellen Selbstbestimmung
• Das Vorgehen bei Betroffenen-Anfragen
• Musterschreiben und Formulare Beschäftigtendatenschutz

• Begriff und Zweck des Beschäftigtendatenschutzes
• Rechtliche Grundlagen des Beschäftigtendatenschutzes
• Beschäftigtenbegriff
• Begriff der personenbezogenen Daten
• Begriff der Verarbeitung
• Erlaubnistatbestande zur Verarbeitung von Beschäftigtendaten
• Beschäftigtendatenschutz im Bewerbungsverfahren
• Beschäftigtendatenschutz im Arbeitsverhältnis
• Einhaltung der Grundsatze der DS-GVO
• Rechtsfolgen bei Verstosen gegen den Beschäftigtendatenschutz Einwilligung im Beschäftigungsverhältnis

• Rechtliche Grundlagen der Einwilligung im Beschäftigtenverhältnis
• Freiwilligkeit der Einwilligung im Beschäftigtenverhältnis
• Schriftform der Einwilligung
• Pflicht zur Aufklarung über den Zweck der Datenverarbeitung
• Widerrufsrecht
• Alternativen zur Einwilligung im Beschäftigungsverhältnis Die Betriebsvereinbarung und andere Kollektivvereinbarungen

• Betriebsvereinbarungen und Tarifvertrage als datenschutzrechtliche Erlaubnisgrundlage nach der DS-GVO
• Kann durch eine Kollektivvereinbarung das Schutzniveau der DS-GVO abgesenkt werden?
• Doppelfunktion von Betriebsvereinbarungen in der Praxis
• Inhaltliche Anforderungen der DS-GVO an Betriebsvereinbarungen
• Handlungsempfehlungen für die Formulierung einer Betriebsvereinbarung nach der DS-GVO

• Verhandlungstaktik bei der Anpassung von Betriebsvereinbarungen Arbeitnehmerüberlassung

Digitale Personalakte

• Personalakte ‒ eine Begriffsdefinition
• Grundsatze bei der Führung von Personalakten
• Schritt für Schritt zur digitalen Personalakte Datenschutz und elektronische Kommunikation

• Die Verwendung von E-Mail und Internet am Arbeitsplatz
• Regelungsmöglichkeiten für den Arbeitnehmer
• Kontrollmöglichkeiten
• Handlungsempfehlungen und Checkliste Interne Untersuchungen und Aufdeckung von Pflichtverletzungen

• Einleitung
• Insbesondere: Videoüberwachung
• Aktuelle Entscheidungen Auftragsverarbeitung

• Einführung
• Der Auftragsverarbeiter
• Auswahl des Auftragsverarbeiters
• Vertrag zwischen Verantwortlichem und Auftragsverarbeiter
• Unterauftragnehmer
• Form
• Internationale Auftragsverarbeitung
• Einstandspflichten, Haftung und Sanktionen
• Fortgeltung bestehender Vertrage
• Checkliste: ADV-Vertrag Konzerndatenschutz

• Grundlagen
• Rechtsgrundlage für die konzerninterne Übermittlung und weitere Verarbeitung von personenbezogenen Daten
• Gemeinsame Verantwortlichkeit gem. Art. 26 DS-GVO
• Fallgruppen
• Datenübermittlung an Konzernunternehmen in Drittländern
• Checkliste Outsourcing

• Generelle Voraussetzungen
• Übermittlung an Outsourcing-Unternehmen in Drittländer
• Auswahl des Outsourcing-Anbieters
• Fragenkatalog für Outsourcing-Projekte Internationaler Datenverkehr

• Die "Zwei Stufen"-Prüfung bei internationalen Datentransfers
• Datentransfer in Drittländer auf Grundlage eines Angemessenheitsbeschlusses
• EU-US Privacy Shield
• Datenübermittlung auf Grundlage von Standarddatenschutzklauseln gem. Art. 46 Abs. 2c und d DS-GVO
• Verbindliche interne Datenschutzvorschriften gem. Art. 47 DS-GVO
• Genehmigte Verhaltensregeln und Zertifizierungsmechanismen
• Genehmigungsbedürftige vertragliche Regelungen
• Gesetzliche Erlaubnistatbestände Löschkonzept

• Im Fokus: Löschverpflichtung
• Das Prinzip der Speicherbegrenzung und die Löschverpflichtung
• Technische und organisatorische Maßnahmen zur Speicherbegrenzung
• Das Löschkonzept
• Beispiel: Löschregeln im Personalbereich Direktmarketing

• Bestehende Kundenbeziehung
• Einwilligung
• Rechtfertigung durch gesetzlichen Erlaubnistatbestand
• Keine Sonderregelungen bei Geschäftskontakten Industrie 4.0 im Kontext des Datenschutzes

• Beschäftigtendatenschutz
• Datentransfers in Drittstaaten
• Datensicherheit
• Exkurs: Data Ownership Verarbeitung personenbezogener Daten Minderjähriger im Internet

• Strengere Schutzanforderungen bei Kindern
• Allgemeine Anforderungen an die Einwilligung
• Wirksamkeit von alten Einwilligungserklärungen
• Besondere Anforderungen an die Einwilligung bei Kindern
• Entbehrlichkeit der Einwilligung bei notwendiger Datenverarbeitung IT-Sicherheit im Unternehmen

• Ausgangslage
• Typisches Angriffsszenario
• Datenverarbeitung als wesentlicher Teil der IT-Sicherheit
• Rechtlicher Rahmen
• Praktische Umsetzung/Checkliste Datenschutz-Folgenabschätzung

• Zielsetzung
• Erforderlichkeit der Datenschutz-Folgenabschätzung
• Durchführung der Datenschutz-Folgenabschätzung
• Einbeziehung des Datenschutzbeauftragten
• Einbeziehung der Betroffenen
• Konsultation der Aufsichtsbehörde
• Altfalle: Bewertung von vorhandenen Verarbeitungsprozessen
• Überprüfung und Wiederholung der Datenschutz-Folgenabschätzung
• Sanktionen Datenschutzrisikomanagement

• Einführung
• Rahmenbedingungen eines Compliance- und Datenschutz- Management-Systems
• Bestandsaufnahme als Vorbereitungsmaßnahme
• Umsetzung Datenschutzaudit und Zertifizierung

• Das Datenschutz-Management-System
• Audit, Übung, Wartung
• Strategie definieren, Maßnahmen planen
• Strategien und Maßnahmen implementieren
• Umsetzung kontrollieren
• Etablierung von Datenschutzorganisation und Datenschutz-Kultur
• Projektmanagement
• Datenschutzsiegel Datenschutzschulung und Sensibilisierung

• Relevante Schulungsinhalte
• Durchf…