Datenschutz im Betrieb

Dr. Axel von Walter ist Rechtsanwalt, u.a. Fachanwalt für IT-Recht und Partner bei der BEITEN BURKHARDT Rechtsanwaltsgesellschaft mbH. Er ist Lehrbeauftragter an der Ludwig-Maximilians-Universität München.

Einleitung

Neue Aufgaben für HR-Fach- und Führungskräfte

Besonders betroffen von den neuen Regelungen: das Personalwesen
Sensibilität im Umgang mit Bewerberdaten
Aufgaben im laufenden Beschäftigungsverhältnis
Aufgaben nach Beendigung des Beschäftigungsverhältnisses
Zur Rolle des Betriebsrats
Instruktion von Mitarbeitern

Der Datenschutzbeauftragte

Die Pflicht zur Benennung eines Datenschutzbeauftragten
Benennung und Abberufung eines Datenschutzbeauftragten
Anforderungen an den Datenschutzbeauftragten
Die Stellung des Datenschutzbeauftragten im Unternehmen
Aufgaben und Pflichten des Datenschutzbeauftragten
Alternative Rollen im Unternehmen neben oder statt dem Datenschutzbeauftragten
Musterschreiben: Benennung eines Datenschutzbeauftragten

Dokumentationspflichten und das Verarbeitungsverzeichnis

Die Nachweis- und Dokumentationspflichten in der DS-GVO
Das Verarbeitungsverzeichnis
Erstellung und Pflege des Verarbeitungsverzeichnisses



Die Rechte der betroffenen Personen

Informationspflichten
Individualrechte des Betroffenen zur Sicherung der informationellen Selbstbestimmung
Das Vorgehen bei Betroffenen-Anfragen
Musterschreiben und Formulare

Beschäftigtendatenschutz

Begriff und Zweck des Beschäftigtendatenschutzes
Rechtliche Grundlagen des Beschäftigtendatenschutzes
Beschäftigtenbegriff
Begriff der personenbezogenen Daten
Begriff der Verarbeitung
Erlaubnistatbestande zur Verarbeitung von Beschäftigtendaten
Beschäftigtendatenschutz im Bewerbungsverfahren
Beschäftigtendatenschutz im Arbeitsverhältnis
Einhaltung der Grundsatze der DS-GVO
Rechtsfolgen bei Verstosen gegen den Beschäftigtendatenschutz

Einwilligung im Beschäftigungsverhältnis

Rechtliche Grundlagen der Einwilligung im Beschäftigtenverhältnis
Freiwilligkeit der Einwilligung im Beschäftigtenverhältnis
Schriftform der Einwilligung
Pflicht zur Aufklarung über den Zweck der Datenverarbeitung
Widerrufsrecht
Alternativen zur Einwilligung im Beschäftigungsverhältnis

Die Betriebsvereinbarung und andere Kollektivvereinbarungen

Betriebsvereinbarungen und Tarifvertrage als datenschutzrechtliche Erlaubnisgrundlage nach der DS-GVO
Kann durch eine Kollektivvereinbarung das Schutzniveau der DS-GVO abgesenkt werden?
Doppelfunktion von Betriebsvereinbarungen in der Praxis
Inhaltliche Anforderungen der DS-GVO an Betriebsvereinbarungen
Handlungsempfehlungen für die Formulierung einer Betriebsvereinbarung nach der DS-GVO
Verhandlungstaktik bei der Anpassung von Betriebsvereinbarungen

Arbeitnehmerüberlassung



Digitale Personalakte

Personalakte — eine Begriffsdefinition
Grundsatze bei der Führung von Personalakten
Schritt für Schritt zur digitalen Personalakte

Datenschutz und elektronische Kommunikation

Die Verwendung von E-Mail und Internet am Arbeitsplatz
Regelungsmöglichkeiten für den Arbeitnehmer
Kontrollmöglichkeiten
Handlungsempfehlungen und Checkliste

Interne Untersuchungen und Aufdeckung von Pflichtverletzungen

Einleitung
Insbesondere: Videoüberwachung
Aktuelle Entscheidungen

Auftragsverarbeitung

Einführung
Der Auftragsverarbeiter
Auswahl des Auftragsverarbeiters
Vertrag zwischen Verantwortlichem und Auftragsverarbeiter
Unterauftragnehmer
Form
Internationale Auftragsverarbeitung
Einstandspflichten, Haftung und Sanktionen
Fortgeltung bestehender Vertrage
Checkliste: ADV-Vertrag

Konzerndatenschutz

Grundlagen
Rechtsgrundlage für die konzerninterne Übermittlung und weitere Verarbeitung von personenbezogenen Daten
Gemeinsame Verantwortlichkeit gem. Art. 26 DS-GVO
Fallgruppen
Datenübermittlung an Konzernunternehmen in Drittländern
Checkliste

Outsourcing

Generelle Voraussetzungen
Übermittlung an Outsourcing-Unternehmen in Drittländer
Auswahl des Outsourcing-Anbieters
Fragenkatalog für Outsourcing-Projekte

Internationaler Datenverkehr

Die „Zwei Stufen"-Prüfung bei internationalen Datentransfers
Datentransfer in Drittländer auf Grundlage eines Angemessenheitsbeschlusses
EU-US Privacy Shield
Datenübermittlung auf Grundlage von Standarddatenschutzklauseln gem. Art. 46 Abs. 2c und d DS-GVO
Verbindliche interne Datenschutzvorschriften gem. Art. 47 DS-GVO
Genehmigte Verhaltensregeln und Zertifizierungsmechanismen
Genehmigungsbedürftige vertragliche Regelungen
Gesetzliche Erlaubnistatbestände

Löschkonzept

Im Fokus: Löschverpflichtung
Das Prinzip der Speicherbegrenzung und die Löschverpflichtung
Technische und organisatorische Maßnahmen zur Speicherbegrenzung
Das Löschkonzept
Beispiel: Löschregeln im Personalbereich

Direktmarketing

Bestehende Kundenbeziehung
Einwilligung
Rechtfertigung durch gesetzlichen Erlaubnistatbestand
Keine Sonderregelungen bei Geschäftskontakten

Industrie 4.0 im Kontext des Datenschutzes

Beschäftigtendatenschutz
Datentransfers in Drittstaaten
Datensicherheit
Exkurs: Data Ownership

Verarbeitung personenbezogener Daten Minderjähriger im Internet

Strengere Schutzanforderungen bei Kindern
Allgemeine Anforderungen an die Einwilligung
Wirksamkeit von alten Einwilligungserklärungen
Besondere Anforderungen an die Einwilligung bei Kindern
Entbehrlichkeit der Einwilligung bei notwendiger Datenverarbeitung

IT-Sicherheit im Unternehmen

Ausgangslage
Typisches Angriffsszenario
Datenverarbeitung als wesentlicher Teil der IT-Sicherheit
Rechtlicher Rahmen
Praktische Umsetzung/Checkliste

Datenschutz-Folgenabschätzung

Zielsetzung
Erforderlichkeit der Datenschutz-Folgenabschätzung
Durchführung der Datenschutz-Folgenabschätzung
Einbeziehung des Datenschutzbeauftragten
Einbeziehung der Betroffenen
Konsultation der Aufsichtsbehörde
Altfalle: Bewertung von vorhandenen Verarbeitungsprozessen
Überprüfung und Wiederholung der Datenschutz-Folgenabschätzung
Sanktionen

Datenschutzrisikomanagement

Einführung
Rahmenbedingungen eines Compliance- und Datenschutz- Management-Systems
Bestandsaufnahme als Vorbereitungsmaßnahme
Umsetzung

Datenschutzaudit und Zertifizierung

Das Datenschutz-Management-System
Audit, Übung, Wartung
Strategie definieren, Maßnahmen planen
Strategien und Maßnahmen implementieren
Umsetzung kontrollieren
Etablierung von Datenschutzorganisation und Datenschutz-Kultur
Projektmanagement
Datenschutzsiegel

Datenschutzschulung und Sensibilisierung

Relevante Schulungsinhalte
Durchführung der Schulungsmaßnamen und Sensibilisierung der Mitarbeiter

Die Autoren
Abkürzungsverzeichnis
Literaturverzeichnis
Stichwortverzeichnis