aktueller Eintrag

Viele Unternehmen bedienen sich Dienstleistern, wie Lettershops, Callcentern, IT Wartungsfirmen, externen Rechenzentren, externen Lohn- und Gehaltsabrechnung, Datenvernichtungsfirmen und Vielen mehr. Diese Dienstleistungen sind typischerweise Auftragsdatenverarbeitungen (ADV) gem. § 11 BDSG. Die ADV ist ein gesetzliches Privileg, dass es Unternehmen (Auftraggeber) erlaubt, personenbezogene Daten durch dritte Unternehmen (Auftragnehmer) verarbeiten zu lassen. Für die mit der ADV verbundene Übermittlung von personenbezogenen Daten an den Auftragnehmer bedarf es keines gesonderten Erlaubnistatbestandes. Liegt keine ADV gem. § 11 BDSG vor, müsste für die Übermittlung der Daten an den Dienstleister eine gesetzliche Erlaubnis oder eine Einwilligung jedes einzelnen Betroffenen vorliegen. Der Gesetzgeber hat das Privileg der ADV mit einer Reihe von Auflagen verbunden, für deren Einhaltung vor allem der Auftraggeber verantwortlich ist. Werden diese Auflagen nicht eingehalten, kann ein Verstoß gegen das BDSG vorliegen, der als Ordnungswidrigkeit geahndet werden kann. Zudem kann es sein, dass eine nicht ordnungsgemäß durchgeführte Auftragsdatenverarbeitung als Übermittlung im Sinne des Datenschutzrechtes angesehen werden kann, für dies  es möglicherweise keinen Erlaubnistatbestand gibt und die somit nicht zulässig ist bzw. war. Eine unzulässige Übermittlung von Daten kann für die übermittelnde und verantwortliche Stelle und für die empfangende verantwortliche Stelle weit reichende Folgen haben, z.B. dass die gesamte Datenverarbeitung unzulässig ist und beispielsweise Geldbußen, Schadensersatz und andere Folgen für alle beteiligten verantwortlichen Stellen haben kann. Auftraggeber und Auftragnehmer sollten daher stets darauf achten, dass die ADV entsprechend den rechtlichen Vorschriften durchgeführt wird. Anforderungen an die ADV sind: •             Weisungsbefugnis des Auftraggebers •             Weisungsgebundenheit des Auftragnehmers •             Schriftliche Beauftragung entsprechend den gesetzlichen Vorgaben •             Vorgaben für die technischen und organisatorischen Maßnahmen  des Auftragnehmers •             Kontrolle des Auftragnehmers durch den Auftraggeber Fehlen eine oder mehrere der genannten Anforderungen können die oben angeführten Folgen auftreten.

Folgende Regelungen sind in dem Gesetzesentwurf vorgesehen:

Daten von Bewerbern (§ 32, 32a, 32b Entwurf):

Arbeitgeber dürfen weiterhin Namen und Kontaktdaten sowie Qualifikationsdaten erheben. Besondere Regelungen gelten für Tendenzbetriebe (z.B. kirchliche Unternehmen). Unzulässig ist die Frage nach Schwerbehinderung und Erhebung von Daten aus sozialen Netzwerken mit privatem Charakter (z.B. Facebook). Die Bewerber-Recherche in Internetsuchmaschinen bleibt erlaubt, sofern das Unternehmen darauf hinweist, dass es diese Möglichkeit nutzt. Eignungstests und medizinische Untersuchungen bleiben erlaubt wenn dies für die zu besetzende Arbeitsstelle notwendig ist und der Bewerber eingewilligt hat. Er hat ein Recht darauf, dass ihm die Ergebnisse der medizinischen Tests mitgeteilt werden, wohingegen der potentielle Arbeitgeber nur eine Aussage zur Eignung vom Arzt bekommen darf.

Datenerhebung und -verarbeitung von Mitarbeitern (§ 32c Entwurf)

Daten von Mitarbeitern dürfen erhoben werden, wenn diese z.B. für die Durchführung des Arbeitsverhältnisses, eine Leistungs- und Verhaltenskontrolle oder die Beurteilung der fachlichen Qualifikation oder gesundheitlichen Eignung des Mitarbeiters erforderlich sind.

Verhinderung und Aufdeckung von Straftaten und schweren Pflichtverletzungen (§ 32d, e Entwurf)

Die Verarbeitung und Nutzung von personenbezogenen Daten der Mitarbeiter zur nachträglichen Aufklärung von Straftaten oder schweren Pflichtverletzungen sind zulässig. Allerdings muss zunächst die Möglichkeit der anonymisierten Datenverarbeitung genutzt werden. Erst bei einem konkreten und dokumentierten Verdacht dürfen die Daten wieder personenbeziehbar gemacht werden. Mitarbeiter haben das Recht über solche Maßnahmen nach deren Abschluss unterrichtet zu werden. Der Arbeitgeber darf Daten nur dann verdeckt erheben, wenn Tatsachen den Verdacht begründen, dass eine Straftat oder schwere Pflichtverletzung durch den Mitarbeiter begangen wurde. Die Maßnahmen müssen verhältnismäßig sein.  Die Maßnahmen müsse zeitlich begrenzt werden (nicht mehr als 24 h ununterbrochen oder nicht mehr als 4 Tage). Zudem dürfen keine Abhör- oder Beobachtungsgeräte verwendet werden. Verbotene Früchte sind in jedem Fall Daten „aus dem Kernbereich privater Lebensgestaltung“ . Zudem gelten unterschiedliche Dokumentations- und Unterrichtungspflichten.

Videobeobachtung von nichtöffentlichen Betriebsstätten (32 f Einwurf)

Eine offene Beobachtung ist nur zu bestimmten zwecken zulässig (z.B. Zuttittskontrolle, oder Schutz von Anlagen und Mitarbeitern, usw.) und auch nur dann, wenn sie erforderlich ist. Eine Überwachung von überwiegend privat genutzten Räumlichkeiten, insbesondere von Sanitär-, Umkleide- und Schlafräume ist ausnahmslos unzulässig. Heimliche Überwachungen sind verboten. Ausnahme: Zur Aufdeckung bzw. Verhinderung von Straftaten oder anderen schwerwiegenden Pflichtverletzungen.

Ortungssystem (GPS) (§32g Entwurf)

Ortungsdaten von Mitarbeitern dürfen ausschließlich während der Arbeitszeit erhoben, verarbeitet und genutzt werden, wenn dies erforderlich ist, um die Sicherheit des Mitarbeiters zu gewährleisten oder um seinen Einsatz zu koordinieren. Der Mitarbeiter muss darüber informiert werden und die Daten dürfen nur zu den vorgenannten Zwecken genutzt werden.

Biometrische Verfahren (§ 32h Entwurf)

Biometrische Daten der Mitarbeiter wie z. B. Fingerabdruck oder Iris-Scan dürfen nur zur Autorisierung oder Authentifikation (z.B. Zutrittskontrollen) erfolgen.

 Internet, E-Mail und Telefon (§ 32i Entwurf)

Sofern eine ausschließlich berufliche oder dienstliche Nutzung der betrieblichen Kommunikationsdienste gestattet ist, dürfen die Protokollierten Verbindungsdaten verwendet werden, um einen reibungslosen technischen Betrieb zu gewährleisten, zu Abrechnungszwecken oder für "anlassbezogenene oder stichprobenartige" Leistungs- oder Verhaltenskontrollen. Die Inhalte der Kommunikation dürfen jedoch nur eingesehen werden, wenn der Benutzer darüber generell informiert wurde (unter Angabe eines Zeitraums, in dem die Auswertungen stattfinden) und wenn die Kommunikationspartner eingewilligt haben. Gespeicherte E-Mails (z.B. in Outlook) dürfen in Abwesenheit auch von Kollegen oder Vorgesetzten eingesehen werden, sofern dies erforderlich ist. Für erkennbar private Mails gelten zusätzliche Einschränkungen.[GO2]  Für erkennbar private Mails gelten weiterhin die Datenschutzregelungen der Telekommunikations- und Telemediengesetzte.

Weiteres

Die Abschnitte 32j und 32k enthalten Vorschriften über Unterrichtungspflichten und Weitergabe von Änderungen an Dritte.

Einwilligung im Arbeitsverhältnis

Abschnitt 32l enthält die Vorgabe, dass Einwilligungen als Rechtsgrundlage für eine Verarbeitung personenbezogener Daten von Mitarbeitern nur noch eingeschränkt wirksam ist, und zwar nur dann, wenn sie in dem neuen BDSG-Abschnitt ausdrücklich genannt sind.

Immer wieder behaupten Servicedienstleister, sie würden ja gar keine personenbezogenen Daten verarbeiten.  Der Fall des Servicedienstleisters ist jedoch ausdrücklich im BDSG geregelt.  § 11 Abs. 5 BDSG formuliert wie folgt: Die Absätze 1 bis 4 (Anmerkung der Redaktion: zur Auftragsdatenverarbeitung) gelten entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Das Gesetz formuliert als Maßstab für die Notwendigkeit eines Vertrages mit den speziellen Datenschutzklauseln die schlichte Möglichkeit des Zugriffs auf personenbezogene Daten, selbst wenn dieser nicht beabsichtigt oder im Rahmen des Auftrags geplant ist. Im Ergebnis müssen somit alle Administratoren von Systemen die Datenschutzklauseln unterzeichnen. Der Zugriff von Administratoren auf personenbezogene Daten kann nie ausgeschlossen werden.

Grundsätzlich ist der Begriff Verfahrensverzeichnis im Bundesdatenschutzgesetz nicht zu finden. In Landesdatenschutzgesetzen wie z.B. § 8 DSG NRW wird er dagegen ausdrücklich genannt. Das BDSG spricht lediglich von einer Übersicht über automatisierte Verfahren in §§ 4g Abs. 2 i.V.m. § 4e BDSG. Trotzdem haben sich die Begriffe in den letzten Jahren auch für den betrieblichen Datenschutz etabliert:

Verarbeitungsübersicht	ist die detaillierte interne Übersicht über die einzelnen Verarbeitungen in den Unternehmen inklusive der Darstellung der Sicherheitsvorkehrungen und zugriffsberechtigten Personen
(Öffentliches) Verfahrensverzeichnis	ist die allgemeine Übersicht über die Verfahren der Datenverarbeitung, die vom Datenschutzbeauftragten jedermann verfügbar gemacht werden muss

Um darzustellen, warum eine solche Übersicht notwendig ist, muss man die Historie der Entstehung betrachten. Bis zur Gesetzesänderung 2001 mussten alle Verfahren automatisierter Verarbeitung bei der jeweiligen Aufsichtsbehörde angemeldet werden. Viele europäische Länder haben auch heute noch dieses Modell der generellen Meldepflicht. In Deutschland wurde mit der Einführung der Position des Datenschutzbeauftragten auf die generelle Meldepflicht verzichtet. § 4g Abs. 2 BDSG schreibt vor, dass dem Beauftragten für den Datenschutz eine Übersicht über die Verfahren automatisierter Verarbeitung (Verarbeitungsübersicht)zur Verfügung gestellt wird. Auch wenn der betriebliche Datenschutzbeauftragte einen gesetzlichen Anspruch auf die Aushändigung der Verarbeitungsübersicht hat, wird er diese in der Praxis selbst erstellen müssen. Laut § 4g Abs. 2 BDSG macht der Beauftragte für den Datenschutz die Angaben nach § 4e Nummern 1 bis 8 BDSG auf Antrag jedermann in geeigneter Weise verfügbar. Dieses sogenannte öffentliche Verfahrensverzeichnis findet man bei verschiedenen Unternehmen veröffentlicht auf Webseiten. Eine Pflicht zur Veröffentlichung besteht indes nicht. Es muss laut Gesetz nur in geeigneter Weise jedem verfügbar gemacht werden. Dies kann sich auch darauf beschränken, dass der Anfragende das Verzeichnis im Unternehmen einsieht.  Zweck dieser Verzeichnisse ist die Transparenz nach außen und innen.  Das öffentliche Verfahrensverzeichnis ermöglicht es einzelnen Betroffenen zu erkennen, ob und wie ihre Daten im Unternehmen verarbeitet werden. Die Verarbeitungsübersicht ermöglicht es dem Datenschutzbeauftragten, die besonderen Gefahren in der Sicherheit der Datenverarbeitung des betreuten Unternehmens zu erkennen.