Mit Sicherheit

ins neue Geschäftsjahr starten!

Datenschutz und Datensicherheit – Darauf kommt es an

Am 28.01.2019 findet der Europäische Datenschutztag statt. lexoffice hat das zum Anlass genommen und informiert zur Datenschutzgrundverordnung und zu Datensicherheit in der Buchhaltung. Mit lexoffice ist es für Selbstständige und Kleinunternehmer möglich, die Vorgaben der EU zu erfüllen und die eigenen Daten sicher aufzubewahren. Erfahren Sie jetzt mehr, was lexoffice bietet und worauf es beim Datenschutz ankommt.

DSGVO für Einsteiger

DSGVO – Infos für Einsteiger
Die neue Datenschutz-Grundverordnung der EU trat am im Mai 2018 in Kraft. Noch immer sind viele Unternehmer untätig geblieben, obwohl bei einer Verletzung der neuen Regelungen hohe Geldstrafen drohen. Worum es geht, erfahren Sie hier.

DSGVO Premium eBook

Kostenlos herunterladen
Kostenlos herunterladen: Praktische Tipps, Ratschläge von Experten, Muster und Vorlagen.

Sicher mobil arbeiten

Mit Sicherheit mobil
Unterwegs arbeiten und dabei freie WLAN Hotspots nutzen ist einfach praktisch. Und so wird es auch sicher.

WhatsApp ist bald nicht mehr werbefrei - Ärgernis oder sogar Chance?

Sichere Messenger?

Was passiert mit meinen Daten?
Ab 2019 schaltet WhatsApp Werbeanzeigen. Das hat neue Diskussionen entbrannt, wie risikoreich der Messenger ist. Gibt es Alternativen?

Checkliste: Datenschutz im Arbeitsverhältnis

DSGVO im Arbeitsverhältnis: Fragen & Antworten
Die Geltung der DSGVO im Arbeitsverhältnis ist nicht an die elektronische Verarbeitung gebunden. Daher spielt Datenschutz im Arbeitsverhältnis eine wichtige Rolle.

DSGVO in der Buchhaltung

Worauf kommt es an?
Datenschutzgrundverordnung (DSGVO) in der Buchhaltung unter die Lupe genommen: Im Interview erklärt Raik Mickler, Datenschutzbeauftragter der Haufe Group, worauf es ankommt und was Kleinunternehmer oder Selbstständige wissen müssen.

Datensicherheit in lexoffice

Zertifiziert und geprüft
lexoffice wurde mehrfach geprüft und legt größten Wert auf Sicherheit.

Sicherheit und Vertrauen

Sicherheit ist Vertrauen
Das Verhältnis von einem Steuerberater zu seinem Mandanten ist geprägt von Vertrauen. Wenn diese Schnittstelle digitalisiert und von einem Programm unterstützt wird, ist Datensicherheit das zentrale Thema. 

Datenschutz-Grundverordnung

Produktempfehlung Seminarvideo
Video und Seminarunterlagen als Download: Pflichten, Anforderungen und Readiness-Check zu den neuen rechtlichen Vorgaben.

Datenschutz und Datensicherheit - lexoffice informiert

DSGVO – Rechte und Pflichten

Die neue Verordnung stärkt EU-Bürger darin, über die eigenen Daten zu verfügen. Für Unternehmer bedeutet die Verordnung in erster Linie Pflichten. Jeder der Daten erhebt, z.B. die Kontaktdaten seiner Kunden oder Informationen von Websitebesuchern, muss besonders sorgsam damit umgehen.

Seit dem 25. Mai 2018 gilt die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Noch immer sind viele Unternehmer untätig geblieben, obwohl bei einer Verletzung der neuen Regelungen hohe Geldstrafen drohen. Worauf es ankommt, erfahren Sie hier.

Personenbezogene Daten

Die DSGVO regelt den Umgang von Unternehmen mit personenbezogenen Daten. Dazu gehören: Name, Adresse, Alter, Beruf, Staatsangehörigkeit, Religionszugehörigkeit, sexuelle Orientierung, Gesundheitszustand, Vermögensstand etc.

Schutzmaßnahmen  

Die DSGVO schreibt vor, dass Unternehmer sowohl in organisatorischer als auch in technischer Hinsicht angemessene Maßnahmen ergreifen müssen, um den Schutz von personenbezogenen Daten sicherzustellen.

Verstöße

Datenschutzverstöße sind keine Kavaliersdelikte. Bei Verstößen gegen die Datenschutz-Grundverordnung sind Geldbußen bis zu einer Höhe von 4% des Umsatzes (oder maximal 20 Mio. Euro) möglich. Dass auch Kleinunternehmern derart hohe Geldbußen drohen, ist unwahrscheinlich. Allerdings werden auch für sie die Strafen deutlich höher ausfallen als bisher.

Erhöhte Aufmerksamkeit 

Hinzu kommt, dass das Thema Datenschutz durch die umfassende Berichterstattung in den Fokus der Öffentlichkeit gerückt ist. Anfragen von Personen nehmen zu, die wissen möchten, was mit ihren Daten geschieht. Auch die Abmahnanwälte stehen schon in den Startlöchern.

Rechte und Pflichten 

Diese Rechte und Pflichten gelten.

(1) Personenbezogene Daten dürfen nur mit Zustimmung der Person gespeichert oder verarbeitet werden. Als Unternehmer müssen Sie von jeder Person die Erlaubnis einholen.

(2) Jede Person darf Auskünfte über die eigenen Daten einfordern. Als Unternehmer müssen Sie auf folgende Fragen antworten: Welche Daten haben Sie von mir? Wie kamen Sie an meine Daten? Wozu speichern Sie meine Daten? An wen geben Sie die Daten weiter?

(3) Wenn die personenbezogenen Daten, die Sie von der Person erhoben haben, fehlerhaft sind, kann die Person verlangen, dass die Daten berichtigt werden.

(4) Wenn Sie die Daten nicht mehr für den eigentlichen Zweck benötigen, für den Sie sie erhoben haben, sind Sie zum Löschen der Daten verpflichtet. Dies gilt auch, wenn eine Einwilligung zur Datenspeicherung widerrufen wird.

(5) Stehen einer Löschung die gesetzlichen Aufbewahrungspflichten entgegen, dann müssen Sie die Daten sperren. Das ist z. B. bei Rechnungen der Fall. Haben Sie die Daten an Dritte weitergegeben, ist es wichtig, diese über die Löschung zu informieren.

Empfehlung 

In Anbetracht der hohen Summe des Bußgeldes sei jedem Kleinunternehmer dringend geraten, Maßnahmen zu ergreifen, damit es zu keinem wirtschaftlichen Schaden durch Datenschutz-Verstöße kommt. Sie sollten unbedingt darauf achten, nur Softwarelösungen einzusetzen, die die DSGVO-Standards unterstützen.

Nutzen Sie auch für Ihre Buchhaltung künftig eine Software, die eine einfache und sichere Datenverwaltung erlaubt, wie z.B. lexoffice vom Marktführer Lexware. Damit organisieren Sie die Daten Ihrer Kunden, erstellen Sie Angebote, schreiben Rechnungen und erledigen dabei ganz automatisch Ihre Buchhaltung.

< zurück zur Übersicht

DSGVO in der Buchhaltung – was ist wichtig?

Am 28. Januar ist Europäischer Datenschutztag. lexoffice hat diesen Termin zum Anlass genommen, das Thema Datenschutzgrundverordnung (DSGVO) in der Buchhaltung etwas genauer unter die Lupe zu nehmen und hat dazu einen Experten befragt. Raik Mickler, Datenschutzbeauftragter und Legal Counsel der Haufe Group, erklärt im folgenden Interview, worauf es beim Thema Datenschutz in der Buchhaltung besonders ankommt.

Herr Mickler, dass sich die DSGVO 2018 geändert hat, hat vermutlich jeder mitbekommen. Aber bin ich als Kleinunternehmer oder Selbstständiger von ihr ebenfalls betroffen?

„Auf jeden Fall! Denn die DSGVO regelt, wie ein Unternehmen mit personenbezogenen Kundendaten umzugehen hat. Und da jeder Betrieb – egal, ob Selbstständiger, Start-up, Freiberufler, Kleinstbetrieb, Mittelständler oder Großkonzern – auf irgendeine Art Kontakt mit seinen Kunden hat, greift hier die DSGVO.“

Jetzt weiterlesen

< zurück zur Übersicht

DSGVO Premium eBook

Im kostenlosen Premium eBook beantworten Experten die wichtigsten Fragen und geben konkrete Hilfestellung zur DSGVO. Zum eBook gehören ebenfalls kostenlose Muster und Vorlagen, die Ihnen helfen, das Gesetz anzuwenden.

lexoffice E-Book Download zur DSGVO

Das sind die Inhalte:

  • Darum geht es bei der DSGVO
  • So wenden Sie die neuen Regelungen im Betrieb an
  • Ratschläge von Datenschutzbeauftragten
  • Antworten auf die wichtigsten Fragen zur DSGVO
  • Textvorlagen und Muster

Hier kostenlos downloaden

< zurück zur Übersicht

Sicherheit in lexoffice

Ihre Vorteile auf einen Blick: 

  • Hochsicherheitsrechenzentren geprüft und in Deutschland 
  • Abgetrennte Server in zutrittsgeschützten Umgebungen
  • SSL-Verschlüsselung
  • mehrere Hardware-gestützte Firewalls
  • Automatische Sicherheits-Scans
  • Sicherheit durch Backups, redundante Systeme und Verteilung auf mehrere Rechenzentren

Jetzt mehr erfahren

< zurück zur Übersicht

Mobil arbeiten – Offene und freie WLAN Hotspots sicher nutzen

Die Annehmlichkeiten mobilen Arbeitens werden schnell deutlich, wenn man die inspirierende Atmosphäre eines Coworking Spaces, die gemütliche Behaglichkeit eines Cafés oder die urbane Coolness eines modernen Stadthotels für eigene Projekte nutzen kann. Die Sicherheit und der Schutz der eigenen Daten sind dabei aber unerlässlich. Die wichtigsten Werkzeuge für sicheres mobiles arbeiten sind VPN Tools, der TOR Browser sowie aufmerksames und bedachtes Handeln.

Jetzt weiterlesen

< zurück zur Übersicht

Steuerberater – mit Sicherheit von der Digitalisierung profitieren

Von der Digitalisierung profitieren Steuerberater und Mandanten. Die eigenen Daten aber aus der Hand zu geben ist besonders für technische Laien ein großer Schritt und erfordert ein gehöriges Maß an Vertrauen. Fakten schaffen dieses Vertrauen: Sicherer als bei jeder lokalen Installation werden die in lexoffice eingegebenen Daten in mehreren nach DIN ISO 27001 geprüften hochsicheren Rechenzentren gesichert. Zusätzlich wird die Datensicherheit regelmäßig von einer unabhängigen Wirtschaftsprüfunsgesellschaft gemäß IDW PS 880, IDW RS FAIT 1 und GoBD überprüft und bestätigt.

Jetzt weiterlesen im Blog

< zurück zur Übersicht

Produktempfehlung: Datenschutz-Grundverordnung – Neue Anforderungen für Unternehmen

Produkt: Seminarvideo mit Vortragsfolien als Download

Inhalte: 

  • Überblick über die Neuerungen
  • Anwendungsbereiche
  • Folgen und Sanktionen
  • Pflichten aus Sicht Unternehmensführung
  • Anforderungen
  • Readiness-Check

Jetzt mehr erfahren

< zurück zur Übersicht

WhatsApp-Alternativen – Sichere Messenger

Das wird „das Internet“ bzw. die Community der User*innen nicht so schnell in Vergessenheit geraten lassen: Als WhatsApp noch ein Start-up war, versprach man allen Nutzer*innen für immer einen werbefreien Messenger, wohl auch um die Displays aller Mobilgeräte überhaupt für sich zu erobern. Deswegen und weil die App so intuitiv nutzbar und für alle Plattformen verfügbar ist, werden inzwischen täglich über 60 Milliarden Messages geschrieben.

Die Übernahme durch Facebook wurde dann 2014 besiegelt. Warum also jetzt auf einmal Werbung und nicht schon damals? Ganz einfach: Ex-WhatsApp-Chef Brian Acton und sein Mitgründer hatten sich vertraglich zusichern lassen, dass WhatsApp in den ersten fünf Jahren nach der Übernahme kein Geld abwerfen muss. Diese Frist endet jetzt. Leider, muss man sagen.

Was bedeutet das für meine Daten? Jetzt ist ein guter Zeitpunkt darüber nachzudenken und Alternativen ins Auge zu fassen.

Jetzt weiterlesen im Blog

< zurück zur Übersicht

Checkliste: Datenschutz im Arbeitsverhältnis, Praxisfragen und Antworten

Thema/ClusterFrageAntwortRechtsgrundlage
BewerbungsverfahrenMuss man in dem Anzeigentext einer Stellenanzeige auf die Datenerhebung im Unternehmen hinweisen?Im Rahmen der Stellenanzeige nur, das und wie die Daten aus der Antwort auf die Stellenanzeige verarbeitet werden.Art. 13 DSGVO
Wie macht man die Bewerber auf unsere Datenschutzrichtlinien aufmerksam, wenn sie sich nicht über ein Bewerbungsportal bewerben, sondern nur per E-Mail?Zweckmäßigerweise indem man ihm eine Antwort-E-Mail schickt, sich für die Bewerbung bedankt und der E-Mail einen Link beifügt, mit dem er sich über die entsprechenden Datenschutzrichtlinien informieren kann.Art. 13 DSGVO
Muss man dem Bewerber vor der Bearbeitung seiner Bewerbung (Erfassung, Weiterleitung an Entscheidungsgremium etc.) einen Datenschutzhinweis senden und eine Einwilligungserklärung abfordern?Ja. Das ergibt sich aus Art. 13 der DSGVOArt. 13 DSGVO
Genügt es bei Initiativbewerbungen oder auch bei Bewerbungen, die uns auf eine Anzeige schriftlich zugehen, dem Bewerber nach Eingang der Bewerbung eine Mitteilung über die Speicherung der Daten zuzusenden?Bei Initiativbewerbungen genügt das auf jeden Fall. Bei Anzeigen sollte es bereits im Anzeigentext einen Hinweis darauf geben, wo der Mitarbeiter sich über die Verarbeitung der erhobenen Daten informieren kann.Art. 13 DSGVO
Wie konkret muss für Bewerber dargelegt werden, mit welchen Institutionen man zusammenarbeitet bzw. welche Institutionen die Bewerbungsunterlagen einsehen können? Reicht hier die Angabe „Unternehmen der Unternehmensgruppe bzw. deren verbundenen Unternehmen“?Eine so allgemein gehaltene Information dürfte den Anforderungen des Art. 13 DSGVO nicht genügen. Die Unternehmen sollten daher konkret bezeichnet werden. Im Übrigen ist es wiederum eine Frage der Erforderlichkeit, ob derartige andere fremde Unternehmen, wenn sie auch zur selben Unternehmensgruppe gehören, in Bewerbungsunterlagen Einblick nehmen dürfen und müssen. Im Zweifelsfall hilft es hier, sich von vornherein die Einwilligung des Mitarbeiters geben zu lassen.Art. 13 DSGVO
Wir suchen des Öfteren Projektmitarbeiter, die sowohl für uns als auch für weitere Institutionen arbeiten. Daher benötigen die anderen Institutionen Zugriff auf die Bewerbungsunterlagen. Ist dies erlaubt, indem man Zugriff auf das Laufwerk mit den jeweiligen Bewerbungsunterlagen erteilt? Selbstverständlich nur Leserechte, jedoch kann man nie vermeiden, dass andere Personen sich die Daten auf den PC ziehen können. Muss man hierfür auch haften?Gegenüber dieser Vorgehensweise bestehen erhebliche Bedenken. Anderen Institutionen den uneingeschränkten Zugriff auf Bewerbungsunterlagen eigener Mitarbeiter zu gewähren, bedarf schon ganz erheblicher Gründe, damit dies zulässig ist. Denkbar ist es, dass anderen Unternehmen bestimmte Informationen über Qualifikationen von Mitarbeitern gegeben werden, wenn diese für die Durchführung der Tätigkeit bei einem anderen Unternehmen erforderlich sind. Es ist aber immer eine Frage des Einzelfalls. Wenn es keine andere Möglichkeit gibt, um die Durchführung des Arbeitsverhältnisses zu gewährleisten, kann so etwas im Ausnahmefall zulässig sein.Art. 13 DSGVO
Bei Aufnahme einer Bewerbung in einen Bewerberpool (da sehr gute Bewerbung, aber derzeit keine Vakanz frei) brauchen wir eine schriftliche Einwilligung des Bewerbers. Würde eine formlose E-Mail des Bewerbers an uns ausreichen? Oder sollten wir hier besser ein Formblatt von uns verwenden? Oder muss beides vorliegen?§ 26 Abs. 2 BGSG sagt, die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Das ist natürlich sehr schwammig. Will man es ganz korrekt machen, ist die Schriftform erforderlich. Wenn eine E-Mail des Mitarbeiters vorliegt, insbesondere wenn die Bewerbung online erfolgt ist, wird allerdings niemand ernsthaft einen datenschutzrechtlichen Verstoß behaupten, sodass dies ausreichend sein dürfte.§ 26 Abs. 2 BGSG
Muss ich die Bewerber in einer Absage darüber informieren, dass seine Bewerbungsunterlagen gelöscht/vernichtet werden?Nein. Der Arbeitgeber muss nur über das Recht auf Löschung informieren, er muss darüber hinaus die Daten löschen, wenn sie nicht mehr benötigt werden. Der Arbeitgeber muss aber nicht darüber informieren, dass sie gelöscht werden, weil das seine gesetzliche Pflicht ist.§ 26 BDSG
Dürfen die Daten, die in der Bewerbermaske z. B. zum Werdegang erhoben werden, später zu den Stammdaten eines eingestellten Mitarbeiters genommen und dort archiviert werden?Die Speicherung des beruflichen Werdegangs kann ausnahmsweise als zulässig anzusehen sein, sofern ein Bezug zum aktuellen Arbeitsverhältnis besteht, z. B. wenn sich die Verwendbarkeit und Einsetzbarkeit des Mitarbeiters für andere Bereiche daraus ableiten lässt.§ 26 BDSG
FührungszeugnisWir haben in unseren Arbeitsverträgen stehen: „Die Einstellung erfolgt vorbehaltlich der Vorlage eines aktuellen Führungszeugnisses.“ Ist dies noch zulässig? Wir lassen uns das Führungszeugnis nur vorlegen, legen dieses nicht in der Personalakte ab. Der Mitarbeiter nimmt das Führungszeugnis dann wieder mit. Info hierzu noch: Nur bei bestimmten Tätigkeiten bei Kunden ist das Führungszeugnis von unseren Kunden vorgeschrieben.Soweit ein polizeiliches Führungszeugnis gesetzlich vorgeschrieben ist, darf der Arbeitgeber dieses auch verlangen. Das ist beispielsweise im Bereich der Kinder- und Jugendhilfe der Fall. Der Kunde selbst hat nicht das Recht, ein polizeiliches Führungszeugnis vorzuschreiben, wenn er nicht wiederum einer gesetzlichen Vorschrift unterliegt, die das verlangt. Weil der Kunde das „aus Neugier“ verlangt, ist der Arbeitgeber nicht berechtigt, diese Daten bei seinem Arbeitnehmer zu erfragen. Zulässig sind weiterhin Fragen nach einschlägigen Vorstrafen, die die Tätigkeit betreffen. In einem polizeilichen Führungszeugnis ist aber alles Mögliche enthalten, insbesondere auch mögliche Vorstrafen, die mit dem Arbeitsverhältnis nichts zu tun haben.
IntelligenztestWas wird unter allgemeinen Intelligenztests verstanden? Dürfen keine „Einstellungstests“ mit allgemeinen Fragen z. B. bei Ausbildungsbewerbern durchgeführt werden?Allgemeine Intelligenztests sind solche, die darauf abzielen, den IQ des Mitarbeiters zu ermitteln. Diese sind nicht zulässig. Einstellungstests, mit denen Fähigkeiten für die in Aussicht genommene Tätigkeit erfragt bzw. attestiert werden sollen, sind weiterhin zulässig. Es muss sich eben nur um Informationen handeln, die für den Arbeitgeber für die Entscheidung, wen er einstellt, im Hinblick auf die in Aussicht genommene Tätigkeit auch erforderlich sind. Bloße Neugier oder der Wunsch, „den Klügsten“ einzustellen, genügen aber nicht.
Abschluss des ArbeitsvertragsIst es sinnvoll, die Informationen über die Datenverarbeitung mit in den Arbeitsvertrag aufzunehmen oder sollte man ein extra Blatt für den Datenschutz aushändigen und unterschreiben lassen? Welche Informationen müssen mitgeteilt werden?Welche Informationen mitgeteilt werden müssen, richtet sich nach Art. 13 DSGVO. Es ist nicht notwendig, die Informationen in den Arbeitsvertrag aufzunehmen und da sie sehr umfangreich sind, ist dies auch nicht zweckmäßig. Sie können dem Mitarbeiter auch in einem eigenen Formblatt mitgeteilt werden.Art. 13 DSGVO
ArbeitnehmerüberlassungIst es notwendig, eine Datenschutzvereinbarung mit unseren Zeitarbeitsfirmen und Personalvermittlern abzuschließen?Es ist ratsam, in den entsprechenden Verträgen klarzustellen, dass Mitarbeiterdaten, die Arbeitgeber von ihren Zeitarbeitsfirmen und Personalvermittlern erhalten, nur für die Zwecke der Durchführung des Beschäftigungsverhältnisses verwendet werden dürfen. Jedoch sind Arbeitgeber auch ohne eine solche Vereinbarung verpflichtet, personenbezogene Daten von Leiharbeitnehmern, die sie selbst bearbeiten, entsprechend den Regeln der Datenschutzgrundverordnung zu behandeln.§ 26 BDSG
Weitergabe von DatenDürfen personenbezogene Daten dem Integrationsamt weitergegeben werden, sofern die Zustimmung zur Kündigung beantragt wird?Ja, soweit diese Daten erforderlich sind für das Integrationsamt, um über die Kündigung zu entscheiden.
Dürfen Daten an den Steuerberater zur Bearbeitung versendet werden?Ja, soweit sie erforderlich sind, damit der Steuerberater die ihm übertragenen Aufgaben erfüllen kann. Wenn der Steuerberater Auftragsverarbeiter ist, ist mit ihm eine entsprechende Vereinbarung abzuschließen.
Darf HR Daten in Form von Mitarbeiternamen und zugehöriger Gehaltsdaten an die Abteilung Controlling weiterleiten (Excel-Liste, die unternehmensintern per Mail verschickt wird)?Das richtet sich nach § 26 Abs. 1 BGSG. Es ist dann zulässig, wenn die Abteilung Controlling diese Daten benötigt, um ihren Aufgaben nachzugehen. Entscheidend ist dann, wozu das Controlling die Daten nutzt.§ 26 Abs. 1 BGSG
Information der Beschäftigten zum DatenschutzMüssen wir den Arbeitnehmern die Datenschutzrichtlinie in mehreren Sprachen zur Verfügung stellen?Die DSGVO verlangt es, die Mitarbeiter in verständlicher Sprache zu informieren. Daraus kann man – muss man aber nicht – herleiten, dass sie in ihrer Muttersprache informiert werden müssen, wenn sie der deutschen Sprache nicht mächtig sind.
Wie soll eine Mitarbeiterinformation aussehen, wenn für jedes Datum der einzelne Zweck angegeben werden muss? Das führt zu einer Flut von Mitarbeiterinformationen, die kaum zu bewältigen sind.Nach Art. 13 DSGVO reicht es aus, dass dem Mitarbeiter angegeben wird, für welche Zwecke, die jedoch genau beschrieben sein müssen, personenbezogene Daten erhoben werden. Dabei muss nicht jedes einzelne Datum mitgeteilt werden, sondern nur der Zweck, wofür personenbezogene Daten erhoben werden. Eine genaue Information ist nach Art. 15 DSGVO dann erforderlich, wenn die betroffene Person dies verlangt.Art. 13 DSGVO
Einwilligung in DatenverarbeitungMuss ich als Arbeitgeber den Mitarbeiter bei der Einstellung etwas zum Datenschutz unterschreiben lassen? Wenn ja, was? Frage analog ehemals § 5 BDSG.Sie müssen ihn grundsätzlich nichts unterschreiben lassen, denn die Zulässigkeit der Erhebung von Beschäftigtendaten richtet sich nach § 26 BDSG. Wenn Sie allerdings die Einwilligung des Mitarbeiters wünschen zur Bearbeitung bestimmter personenbezogener Daten, die nicht von § 26 BDSG gedeckt wird, ist eine Einwilligung, die zusammen mit dem Arbeitsvertrag unterschrieben wird, in der Regel unwirksam. Sinnvoll kann es sein, dass der Mitarbeiter unterschreibt, dass er die nach der Datenschutz-Grundverordnung erforderlichen Informationen und Belehrungen erhalten hat.Art. 7 DSGVO

§ 26 BDSG

Muss die Einwilligung schriftlich erfolgen und was sollte sie beinhalten?Das richtet sich nach § 26 BGSG. Danach ist die Einwilligung grundsätzlich schriftlich zu erteilen. Sie kann jedoch ausnahmsweise auch mündlich erteilt werden, ohne dass der Gesetzgeber sagt, wann das genau zulässig ist. In der Einwilligung muss genau enthalten und konkret umschrieben sein, worin der Mitarbeiter einwilligt. Darüber hinaus muss der Mitarbeiter darüber belehrt werden, dass er die Einwilligung widerrufen kann.§ 26 BGSG
Besondere Personengruppen -arbeitnehmerähnliche SelbstständigeFallen auch Lehrbeauftragte an Hochschulen (kein Arbeitsverhältnis, selbstständig tätige oder nebenberuflich tätige) unter den Beschäftigtendatenschutz? Oder wäre in diesem Fall eine Einwilligung auf jeden Fall einzuholen?Wenn sie arbeitnehmerähnliche Selbstständige sind, was bei einer rein nebenberuflichen Tätigkeit regelmäßig nicht der Fall ist, würden sie unter § 26 BDSG fallen.

Ansonsten gilt aber auch für die Verarbeitung personenbezogener Daten von Selbstständigen die DSGVO – aber nicht § 26 BDSG.

§ 26 BDSG
Besondere Personengruppen – PraktikantenWie ist der Geltungsbereich für Praktikanten (Schüler, Studenten)?Ja, § 26 BDSG gilt auch für Praktikanten, soweit der Arbeitgeber von ihnen personenbezogene Daten verarbeitet.

Die DSGVO gilt für jede Verarbeitung personenbezogener Daten, also auch für Schüler, Studenten und Praktikanten.

§ 26 BDSG
Verantwortlicher für den DatenschutzNamen und Kontaktdaten des Verantwortlichen: Bedeutet dies z. B. bei Neuaufnahme eines neuen Beschäftigten, wer diese Daten aufgenommen hat und Ansprechpartner ist?Verantwortlicher ist in der Regel der Arbeitgeber. Soweit er diese Aufgabe delegiert, ist auch der entsprechende Mitarbeiter, der die Verantwortung für den Arbeitgeber wahrnimmt, zu benennen.Art. 4 Nr. 7 DSGVO
Wer ist verantwortlich für die Verarbeitung von Daten durch den Betriebsrat?Der Betriebsrat ist kein Dritter, sondern gilt auch als Stelle des Arbeitgebers. Grundsätzlich ist der Betriebsrat zur Einhaltung der datenschutzrechtlichen Regelungen selbst verpflichtet. Im Betriebsverfassungsgesetz finden sich auch an verschiedenen Stellen ausdrückliche Hinweise auf Schweigepflichten des Betriebsrates.

Wenn der Arbeitgeber feststellt, dass der Betriebsrat datenschutzrechtliche Verstöße begeht, hat er allerdings den Betriebsrat aufzufordern, diese einzustellen.

Art. 4 Nr. 7 DSGVO
Einbindung ExternerMuss mit einer extern bestellten Fachkraft für Arbeitssicherheit ein Vertrag über Auftragsverarbeitung abgeschlossen werden?Auftragsverarbeiter ist eine Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Voraussetzung dafür ist also zunächst, dass die Fachkraft personenbezogene Daten verarbeitet, was sicherlich häufig der Fall sein wird. Allerdings wird eine freiberufliche Fachkraft für Arbeitssicherheit häufig nicht Daten im Auftrag verarbeiten, sondern eigenständig personenbezogene Daten erheben. Gleichwohl halte ich es für sinnvoll, dass die Fragen des Datenschutzes in dem Auftrag für die externe Fachkraft für Arbeitssicherheit geregelt werden. Erforderlich ist es auch, die Arbeitnehmer darüber zu informieren, dass solche Daten erhoben und verarbeitet werden.Art. 30 Abs. 2 DSGVO
BetriebsvereinbarungenAuf welcher Grundlage können Betriebsvereinbarungen zum Datenschutz abgeschlossen werden? Ist diese Betriebsvereinbarung dann freiwillig oder mitbestimmt?Der Betriebsrat hat kein allgemeines Mitbestimmungsrecht im Bereich des Datenschutzes. Sein Mitbestimmungsrecht beschränkt sich auf den Tatbestand des § 87 Abs. 1 Nr. 6 BetrVG, also auf die automatisierte Erhebung oder Verarbeitung von Leistungs- oder Verhaltensdaten. Daher sind Betriebsvereinbarungen zum Datenschutz, die darüber hinausgehen, regelmäßig freiwillige Betriebsvereinbarungen. Der Charme von Betriebsvereinbarungen zum Datenschutz besteht darin, dass diese Betriebsvereinbarung selbst schon die Berechtigung für die Verarbeitung von personenbezogenen Daten darstellen kann. Auf die gesetzliche Grundlage kommt es dann nicht mehr an.Art. 88 Abs. 1 DSGVO
Totmann-Anlage im Bereich Arbeitssicherheit mit GPS: Wie muss hier eine Sicherstellung des Datenschutzes vereinbart werden? Reicht hier eine Betriebsvereinbarung aus?Eine Betriebsvereinbarung würde grundsätzlich die Rechtsgrundlage liefern, muss allerdings berücksichtigen, dass sich die Verarbeitung der Daten auf die erforderlichen Daten beschränkt und dass das Persönlichkeitsrecht der Mitarbeiter gewahrt wird. Eine solche Betriebsvereinbarung sollte daher vor allem eine klare Regelung der Verwendung der bearbeiteten und erhobenen Daten beinhalten und auch die Löschung regeln. Wenn es sich nur um Fragen der Arbeitssicherheit handelt, und dies allein der Zweck der erhobenen Daten ist, spricht nichts dagegen, eine entsprechende Betriebsvereinbarung mit einer Löschungsregelung abzuschließen, die dann bereits die Grundlage für die Erhebung dieser Daten darstellt.Art. 88 Abs. 1 DSGVO
Rechte des BetriebsratsDarf der Betriebsrat Informationen über die Krankheitstage einzelner Arbeitnehmer erhalten? Was hat höhere Priorität – individueller Datenschutz oder Rechte aus dem Betriebsverfassungsgesetz?Der Betriebsrat hat – aber nur im Rahmen seiner betriebsverfassungsrechtlichen Aufgaben – Anspruch auf die Zurverfügungstellung sämtlicher Daten der Mitarbeiter. Krankheitstage der Mitarbeiter sind ihm spätestens dann mitzuteilen, wenn die Grenze zur Durchführung des betrieblichen Eingliederungsmanagements erreicht sind. Der Betriebsrat ist Bestandteil des Arbeitgebers und kein Dritter.
Datenspeicherung durch BetriebsratDarf der Betriebsrat personenbezogene Daten speichern, die ihm im Zusammenhang mit Anhörungen vorgelegt werden?Der Betriebsrat hat selbst für die Einhaltung der Regelungen des Datenschutzes in seinem Verantwortungsbereich Sorge zu tragen. Daher darf auch der Betriebsrat personenbezogene Daten bei sich nur so lange speichern, wie zu seiner Arbeit als Betriebsrat erforderlich ist. Ist das Anhörungsverfahren abgeschlossen, z. B. ist der Mitarbeiter nach einer Kündigung ausgeschieden, gibt es für den Betriebsrat keinen Grund mehr, die entsprechenden Daten weiterhin zu speichern.Art. 4 Nr. 7 DSGVO
KrankheitDarf der Arbeitgeber bei ungeplanter Abwesenheit des Mitarbeiters, sofern der Mitarbeiter keine Möglichkeit hat, eine Abwesenheitsnotiz einzustellen,

a) eine Abwesenheitsnotiz für diesen einstellen?

b) Und wenn ja, wie sollte zulässigerweise eine solche Abwesenheitsnotiz formuliert werden?

Der Arbeitgeber darf sich ja sicherlich in einem solchem Fall nicht in der 1. Person Singular äußern.

Und c) benötigt er für einen solchen Schritt die Zustimmung des Mitarbeiters?

Diese Frage betrifft die Abwesenheitsnotiz im Zusammenhang mit einem E-Mail-Account. Es bestehen keine Bedenken, solange der Arbeitgeber sich darauf beschränkt, mitzuteilen, dass Mitarbeiter X derzeit nicht anwesend ist. Das müsste auch ohne Zustimmung des Mitarbeiters zulässig sein, weil es erforderlich ist, Kunden und andere Mitarbeiter zu informieren, dass die E-Mail nicht sogleich beantwortet wird. Der Grund der Abwesenheit darf natürlich durch den Arbeitgeber nicht angegeben werden.§ 46 Nr. 14 BDSG
Frage nach Befinden der ArbeitnehmerDer Arbeitgeber hat eine gesetzliche Fürsorgepflicht gegenüber dem Arbeitnehmer. Also muss der Arbeitgeber auch die Möglichkeit haben, sich nach dem Befinden des Arbeitnehmers zu erkundigen. Ist das zulässig?Wenn der Arbeitgeber Anhaltspunkte dafür hat, dass es dem Mitarbeiter aus welchen Gründen auch immer nicht gut geht, hat er selbstverständlich das Recht, sich danach zu erkundigen, was dem Mitarbeiter fehlt. Vor allem braucht der Mitarbeiter auch nicht zu antworten, wenn er nicht will. Eine andere Frage ist es dann, was der Arbeitgeber mit der Information macht. Hier werden die datenschutzrechtlichen Grenzen zu beachten sein. Das Fertigen einer Aktennotiz ist dann nur ausnahmsweise zulässig.§ 46 Nr. 14 BDSG
Information über KrankenstandDarf man dem Geschäftsführer wöchentlich den Krankenstand melden? Dabei werden die Namen genannt und Anzahl der Fehltage in der Vorwoche sowie die Krankenquote insgesamt.Da der Geschäftsführer gewissermaßen „der Arbeitgeber“ ist, weil er ihn als Organ vertritt, hat er das Recht, sich regelmäßig über Krankheit bedingte Fehlzeiten im Rahmen der Kontrolle der einzelnen Arbeitsverhältnisse zu informieren.§ 46 Nr. 14 BDSG
BetriebsarztWas darf bei betriebsärztlichen Einstellungsuntersuchungen gefragt werden?

Zurückliegende Krankheiten, Erkrankungen in der Familie?

Abgesehen davon, dass der Betriebsarzt der ärztlichen Schweigepflicht unterliegt und der Arbeitnehmer auch nicht verpflichtet ist, gegenüber dem Betriebsarzt irgendwelche Angaben zu machen, sofern sich das nicht aus irgendwelchen tariflichen Regelungen ergibt, darf der Betriebsarzt auch nur das erfragen, was er zur Beurteilung benötigt, um entscheiden zu können, ob der Mitarbeiter die angestrebte Tätigkeit aus gesundheitlichen Gründen ausüben kann.
VideoüberwachungWir haben eine dauerhafte Videoüberwachung, da dies für die Sicherheit im Kraftwerk notwendig ist. Eine Betriebsvereinbarung ist vorhanden. Ist das auch nicht in Ordnung, wenn es zur Sicherheit dient?Wenn die Videoüberwachung wirklich für die Gewährleistung der Sicherheit erforderlich ist und andere Mittel außer einer dauerhaften Videoüberwachung nicht zur Verfügung stehen, und diese zudem durch eine entsprechende Betriebsvereinbarung mitbestimmt ist, bestehen hier keine Bedenken gegen die Zulässigkeit. Wichtig ist, dass die Zweckbestimmung eingehalten wird: Die Videoüberwachung dient alleine der Gewährleistung der Arbeitssicherheit, nicht jedoch zur Überwachung des Arbeitsverhaltens der Arbeitnehmer. Im letzteren Fall wäre eine dauerhafte Videoüberwachung unzulässig.§ 4 BDSG
Sind Videoüberwachungen ohne Einwilligung an öffentlichen Stellen im Unternehmen erlaubt – wie z. B. im Eingangsbereich oder Kaffeeautomatenbereich, Flur etc.?Öffentliche Stellen im Unternehmen sind solche, die für die Allgemeinheit zugänglich sind. Dann ist eine Videoüberwachung mit entsprechender Kennzeichnung zulässig, wenn es dafür einen nachvollziehbaren Grund, z. B. hinsichtlich der Kontrolle oder Sicherheit gibt. Wenn das Unternehmen überhaupt nur von Mitarbeitern betreten werden kann, handelt es sich nicht um öffentliche Stellen. Dann gelten wiederum die strengen Regeln des § 26 Abs. 1 BGSG, wonach die dauerhafte Überwachung mit Videokameras erforderlich sein muss.§ 4 BDSG
Wie weit muss auf eine Videoüberwachung des Betriebsgeländes hingewiesen werden? Reicht es direkt vor dem Betriebsgelände?Wenn es den öffentlich zugänglichen Bereich des Betriebsgeländes betrifft bzw. einen Außenbereich, in dem regelmäßig keine Mitarbeiter dauerhaft arbeiten, dann dürften Hinweise bei Betreten des Betriebsgeländes ausreichend sein.§ 4 BDSG
GPS-OrtungIst eine GPS-„Überwachung“ zwecks Disposition, Diebstahlschutz der Servicewagen inkl. teurem Spezialwerkzeug und zwecks Erleichterung bei der Abrechnung der Arbeit beim Kunden (auch eine Erleichterung für die Mitarbeiter, da weniger Schreibarbeit) zulässig?Es hört sich einerseits sehr vernünftig an, andererseits stellt die dauerhafte Überwachung durch GPS einen nicht unerheblichen Eingriff in das Persönlichkeitsrecht des Mitarbeiters dar, weil von ihm ein vollständiges Bewegungsprofil aufgezeichnet werden kann. Soweit das zur Sicherung des Eigentums erforderlich ist, dürfte es aber zulässig sein. Soweit es nur darum geht, dem Mitarbeiter Schreibarbeit zu ersparen, ist eine Einwilligung des Mitarbeiters erforderlich. Wichtig ist auch hier die Zweckbindung der erhobenen Daten. Diese dürfen lediglich zur Sicherung des Eigentums verwendet werden, nicht jedoch, um ggf. dem Mitarbeiter Verfehlungen wie z. B. zu lange Pausen nachzuweisen.
FotografierenWie verhält es sich mit dem Datenschutz bei Firmenveranstaltungen und Fotoaufnahmen? Müssen wir von jedem Gast eine Einverständniserklärung einholen?Eine Einwilligung ist jedenfalls dann erforderlich, wenn derartige Aufnahmen später in irgendeiner Weise gespeichert oder veröffentlicht werden sollen. Im Übrigen ist das auch eine Frage des Persönlichkeitsrechts der Fotografierten.Art. 7 DSGVO
ZeiterfassungMuss ich genau definieren, wofür ich die Zeiterfassung verwende, also z. B. eine allgemeine Formulierung, die beinhaltet, dass die Daten auch für den Zweck der Durchsetzung arbeitsrechtlicher Ansprüche des Arbeitgebers gespeichert werden? Hintergrund ist das Herausfinden von unerlaubten Kernzeitverletzungen, Kontrolle der erbrachten Ist-Arbeitszeiten am Jahresende?Die möglichen Verwendungszwecke müssen konkret beschrieben sein, damit der Mitarbeiter erkennen kann, zu welchem Zweck diese Daten zusätzlich verwendet werden können. Die vorgeschlagene Formulierung erscheint zu weitgehend. Rechtssicherheit gibt es in diesem Bereich jedoch auch nicht. Ein sinnvoller Kompromiss wäre es, diese allgemeine Formulierung durch Beispiele, wie die in der Frage genannten, zu ergänzen.
GehaltsabrechnungMuss ich den Beschäftigten mitteilen, welche Daten im Gehaltsprogramm gespeichert werden oder reicht die Aussage, „alle für die Durchführung des Arbeitsverhältnisses erforderlichen“?Nach Art. 13 DSGVO genügt es, dass der Zweck, für den die Daten verarbeitet werden, dem Arbeitnehmer mitgeteilt wird.Art. 13 DSGVO
Betriebliches VorschlagswesenMuss ich als Arbeitgeber im Rahmen eines betrieblichen Vorschlagswesens, wo ja auch der Name des Mitarbeiters erfasst und gespeichert wird, eine Einwilligung einholen?Nein, ansonsten würde das ganze betriebliche Vorschlagswesen einschließlich der Prämierung nicht funktionieren. Im Übrigen kann man allein in der Einreichung eines Verbesserungsvorschlages schon die Einverständniserklärung des Mitarbeiters sehen, dass die erforderlichen Daten (also lediglich Name des Einreichers, ggf. noch seiner Abteilung) für die Zwecke der Bearbeitung des Verbesserungsvorschlages verarbeitet werden. Es schadet aber auch nicht, auf dem Vordruck für die Einreichung des VV darauf hinzuweisen, dass diese Daten gespeichert werden und der Mitarbeiter mit der Einreichung des VV damit einverstanden ist.
EntsendungBei der Entsendung von Mitarbeitern ins Ausland müssen bei der Anmeldung jeweils personenbezogene Daten angegeben werden. Fällt die Entsendung auch unter § 26 BDSG im Sinne der Durchführung des Arbeitsverhältnisses?Hier besteht sogar bereits eine gesetzliche Pflicht, diese Daten zu melden. Daher liegt schon die Erlaubnis nach Art. 6 Abs. 1c DSGVO vor.Art. 6 DSGVO
ProfilingWas genau versteht der Datenschutz unter Profiling? Nach unserem Kenntnisstand versteht es sich als ein rein automatisiertes Verfahren, z. B. volle digitale Verarbeitung von z. B. Lohnsteuerdaten. Wie können wir den Betriebsrat davon überzeugen, dass das Wort „Profiling“ in den Informationen an die Mitarbeiter mitenthalten sein sollte?Profiling ist definiert als jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Ob das arbeitsrechtlich überhaupt zulässig ist, ist nicht geklärt.Art. 14 DSGVO
Internetnutzung durch ArbeitnehmerKann ich eine grundsätzlich verbotene private Nutzung von betrieblich bereitgestelltem Internetzugang durch eine Einwilligungserklärung weiterhin erlauben?Im Zusammenhang mit der privaten Nutzung von Internet ist es zulässig, dass der Arbeitnehmer darin einwilligt, dass der Arbeitgeber jedenfalls durch Stichproben (nicht durch dauerhafte technische Überwachung) kontrolliert, dass die Privatnutzung während der Arbeitszeit nicht ausufert bzw. dass der E-Mail- Verkehr sich in vertretbaren Grenzen abspielt.
E-MailZum Thema Stellvertretung und Zugriff auf E-Mail-Accounts: Wenn die private Nutzung des betrieblichen E-Mail-Accounts, die Nutzung des Internets und der Firmen-Laufwerke/Netzwerk Mitarbeitern nicht erlaubt ist, darf dann der Arbeitgeber/IT-Abteilung ohne Weiteres auf die Daten zugreifen? Ist der Arbeitgeber verpflichtet, regelmäßig zu überprüfen, ob die Mitarbeiter sich daran halten? Wie verhält sich das Ganze, wenn es zwar ein Verbot gibt, dennoch die private Nutzung geduldet wird?Wenn die Privatnutzung verboten ist, hat der Arbeitgeber grundsätzlich das Recht, auch auf den entsprechenden E-Mail-Account zuzugreifen. Stellt er dabei allerdings fest, dass hier private Daten enthalten sind, darf er diese privaten Daten nicht näher anschauen, z. B. erkennbar private E-Mails lesen. Der Arbeitgeber ist nicht verpflichtet, regelmäßig zu überprüfen, ob sich die Mitarbeiter daran halten. Wenn allerdings die Duldung der Privatnutzung über das bloße Nichtkontrollieren hinausgeht, kann der Arbeitgeber jedenfalls keinem Mitarbeiter den Vorwurf machen, er hätte gegen seine Pflichten verstoßen, das Internet nicht privat zu nutzen. Wenn die Privatnutzung verboten ist, hat der Arbeitgeber grundsätzlich das Recht, auch auf den entsprechenden E-Mail-Account zuzugreifen. Stellt er dabei allerdings fest, dass hier private Daten enthalten sind, darf er diese privaten Daten nicht näher anschauen, z. B. erkennbar private E-Mails lesen. Der Arbeitgeber ist nicht verpflichtet, regelmäßig zu überprüfen, ob sich die Mitarbeiter daran halten. Wenn allerdings die Duldung der Privatnutzung über das bloße Nichtkontrollieren hinausgeht, kann der Arbeitgeber jedenfalls keinem Mitarbeiter den Vorwurf machen, er hätte gegen seine Pflichten verstoßen, das Internet nicht privat zu nutzen.
Sofern es – nach Verhältnismäßigkeitsprüfung – notwendig ist, auf das Postfach des ungeplant abwesenden Mitarbeiters von Arbeitgeberseite zuzugreifen, benötige ich zuvor eine Einwilligung oder genügt eine vorherige oder nachträgliche Information (die Privatnutzung des E-Mail-Accounts ist untersagt)?Bei untersagter Privatnutzung und der Information des Mitarbeiters darüber, dass auch auf seinen E-Mail-Account bei Abwesenheit zugegriffen werden wird, braucht der Arbeitgeber keine Einwilligung des Mitarbeiters, weil das zur Durchführung des Arbeitsverhältnisses wegen der Abwesenheit des Mitarbeiters erforderlich ist.§ 26 BDSG
NamensschilderWelchen Einfluss hat die DSGVO/BDSG auf das Tragen von Namensschildern? Kann ich Mitarbeiter überhaupt noch dazu anhalten, Namensschilder zu tragen (wie es v.a. in Krankenhäusern üblich ist)? Was müsste ich berücksichtigen, um hier datenschutzkonform agieren zu können?Das bloße Tragen von Namensschildern ist noch keine Verarbeitung personenbezogener Daten. Deswegen dürfte es nicht unter die Datenschutz-Grundverordnung fallen. Die Anweisung, Namensschilder zu tragen, ist am allgemeinen Persönlichkeitsrecht des Mitarbeiters zu messen. Wenn es einen nachvollziehbaren vernünftigen Grund dafür gibt, dass solche Namensschilder getragen werden – wie z. B. im Krankenhaus – ist diese Anweisung zulässig.
TelefonnummerBenötige ich eine Einwilligung für eine private Telefonnummer, wenn ich dadurch den Betroffenen über einen Schichtausfall (bei Stromausfall) informieren möchte?Nein, denn das ist zur Durchführung des Arbeitsverhältnisses erforderlich. Eine andere Frage ist, ob der Mitarbeiter zur Herausgabe seiner Telefonnummer verpflichtet ist.§ 26 Abs. 1 BDSG
GeburtstagslisteDürfen Geburtstagslisten der Mitarbeiter am Schwarzen Brett ohne explizite Einwilligungserklärung veröffentlicht werden?Nein.
Aushängen eines DienstplansMuss für den Dienstplan, der ggf. ausgehängt wird, auch eine Einwilligung des Mitarbeiters erfolgen?Nein, wenn der Aushang eines Dienstplanes für die Durchführung des Arbeitsverhältnisses erforderlich ist. Er wird daher durch § 26 Abs. 1 BGSG gedeckt.§ 26 Abs. 1 BDSG
Mitteilungen an KundenDürfen Qualifikationen von Mitarbeitern an Kunden herausgegeben werden, wenn die Qualifikation essenziell für das Recht ist, z. B. an einer elektrischen Anlage zu arbeiten? Oder ist eine Bestätigung des Arbeitgebers ausreichend, nur mit qualifiziertem Personal zu arbeiten?In einem solchen Fall ist es vertretbar, auch den Nachweis der Qualifikation herauszugeben, insbesondere wenn der Kunde selbst auch die Verpflichtung hat, sich zu vergewissern, dass die Qualifikation vorliegt. Das wird dann durch § 26 Abs. 1 BDSG gedeckt, weil die Weitergabe dieser Daten für die Durchführung des Arbeitsverhältnisses erforderlich ist.§ 26 Abs. 1 BDSG
ZeugniserstellungWie wirkt sich das BDSG auf die Zeugniserstellung aus?Wenn der Mitarbeiter ein qualifiziertes Zeugnis verlangt, so hat er darauf einen Anspruch. Dieses Zeugnis muss den allgemeinen Anforderungen an ein qualifiziertes Zeugnis genügen. Der Arbeitgeber ist also von Gesetzes wegen verpflichtet, bestimmte Daten über den Mitarbeiter in dem Zeugnis wiederzugeben. Es besteht also eine gesetzliche Verpflichtung, diese Daten im Zeugnis wiederzugeben. Und schließlich ist es auch Sache des Arbeitnehmers selber, zu bestimmen, wenn er die darin enthaltenen Daten zugänglich macht. Auch bisher ist es schon so, dass Informationen über den Mitarbeiter nicht in ein Zeugnis gehören, wenn sie für die Leser des Zeugnisses nicht von Bedeutung sind.§ 26 BDSG
Recht auf VergessenwerdenWenn jemand einen DS-Request gestellt hat und alle Daten gelöscht werden sollen, welche Daten darf ich als Arbeitgeber dann behalten, z. B. für Dokumentationszwecke, dass der Request erfüllt wurde? Oder muss wirklich alles zu 100 % gelöscht werden?Sie müssen nicht alles löschen, sondern Sie haben das Recht, Daten, die Sie noch benötigen, auch weiterhin zu speichern. Dabei ist zu berücksichtigen, dass es oft ausreicht, Daten anonymisiert zu speichern.Art. 17 DSGVO
Recht auf Löschung von DatenKann der Mitarbeiter die Löschung seiner personenbezogenen Daten verlangen, wenn diese für die Gehaltsabrechnung benötigt werden?Nein, denn der Arbeitgeber hat das Recht zur Verarbeitung dieser Daten, weil hierzu eine gesetzliche Verpflichtung besteht. Das Recht auf Löschung besteht nach Art. 17 Abs. 1 DSGVO auch nicht uneingeschränkt, sondern vor allem dann, wenn die Daten nicht mehr benötigt werden.Art. 17 Abs. 1 DSGVO
Aufbewahrung von Daten nach Beendigung des ArbeitsverhältnissesNach Beendigung des Arbeitsverhältnisses: Kann man sich bzgl. der Aufbewahrungspflichten und der anschließenden Löschung an den gesetzlichen Aufbewahrungsfristen orientieren? Würde also heißen, dass man Daten zur betrieblichen Altersvorsorge frühestens nach 30 Jahren löschen darf?Die gesetzlichen Aufbewahrungspflichten sind die Mindestaufbewahrungszeiträume. Solange eine gesetzliche Aufbewahrungspflicht besteht, dürfen entsprechende von der Aufbewahrungspflicht erfasste Daten immer gespeichert werden. Ob Arbeitgeber darüber hinaus speichern dürfen, hängt davon ab, ob sie als Arbeitgeber ein berechtigtes Interesse daran haben, über diese Daten zu verfügen. Daten zur betrieblichen Altersversorgung müssen darüber hinaus auch noch länger gespeichert werden, insbesondere wenn eine Anwartschaft in jungen Jahren erworben worden ist.Art. 17 Abs. 1 DSGVO
Darf im Hinblick auf das Vorbeschäftigungsverbot für Befristungen die Speicherung von ausgeschiedenen Mitarbeitern lebenslang erfolgen?Das hängt davon ab, ob dem Arbeitgeber ein Fragerecht zugebilligt wird, den Mitarbeiter danach zu fragen, ob er bei diesem Arbeitgeber bereits einmal beschäftigt war. Wenn man dieses Fragerecht annimmt, dann ist es nicht erforderlich, den Umstand einer Vorbeschäftigung „lebenslang“ zu speichern. Wenn man eine Speicherung für zulässig hält, dann beschränkt sich diese jedoch auf den Namen des Mitarbeiters. Weitere Daten dürfen dann nicht gespeichert werden.Art. 17 Abs. 1 DSGVO
AufbewahrungspflichtenWie lange hebe ich eine Personalakte eines ausgeschiedenen Mitarbeiters auf?Das kommt darauf an, was drin steht. Grundsätzlich nur solange wie nötig. Ggf. ist zu unterscheiden, was in der Personalakte gespeichert ist. Es ist denkbar, dass es Daten gibt, die für den Arbeitgeber noch länger von Bedeutung sind. Andere, wie z. B. Abmahnungen, haben mit dem Ende des Arbeitsverhältnisses ihre Bedeutung verloren. Hier kann es sinnvoll sein, mit dem Mitarbeiter eine Vereinbarung zu treffen, welche Daten auch in seinem Interesse noch länger gespeichert werden, um ggf. bei Nachfragen, z. B. aus rentenversicherungsrechtlichen Gründen, ihm noch helfen zu können. Das ist ein Bereich, in dem eine Einwilligung des Mitarbeiters bedeutsam sein kann.Art. 13 DSGVO
Überwachung der ArbeitgeberpflichtenWer überprüft die Einhaltung der Datenschutzgrundverordnung? Wer kommt in die Unternehmen und kontrolliert die Einhaltung der neuen Vorschriften?Die Überwachung der Einhaltung der Vorschriften der Datenschutz-Grundverordnung obliegt den jeweiligen Aufsichtsbehörden der Länder, also den Landes-Datenschutzbehörden. In der Regel werden die Datenschutz- Aufsichtsbehörden nur auf konkrete Beschwerden hin tätig. Derartige Beschwerden gibt es in der Praxis aber durchaus. Sie stellen auch ein Mittel dar, um als Arbeitnehmer auf den Arbeitgeber Druck auszuüben.

< zurück zur Übersicht