Kategorie: Beschäftigtendatenschutz

Verarbeitung privater Kontaktdaten von Beschäftigten

Verarbeitung privater Kontaktdaten von Beschäftigten

Die Verarbeitung von privaten Kontaktdaten der Beschäftigten durch den Arbeitgeber ist grundsätzlich unzulässig. Generell dürfen personenbezogenen Daten der Beschäftigten nur dann verarbeitet werden, wenn es für die Durchführung des Beschäftigungsverhältnisses erforderlich ist.

Die Sächsische Datenschutz- und Transparenzbeauftragte stellt im aktuellen Tätigkeitsbericht für 2023 eine Auflistung der von den Verantwortlichen vorgetragenen Begründungen für eine Verwendung der Nummern zusammen:

  • Gewährleistung kurzfristiger Erreichbarkeit im Falle von Dienstplanänderungen oder im Vertretungsfall
  • Sicherstellung der Kommunikation mit dem Personal, soweit auf dienstliche Kommunikationsmittel nicht zurückgegriffen werden kann
  • Führung von sogenannten „Alarmlisten“, in welchen die privaten Kontaktdaten der Betroffenen Personen vorgehalten werden sollen

 

Keine Erforderlichkeit

Aber auch die Sächsische Datenschutz- und Transparenzbeauftragte sieht in diesen Fällen grundsätzlich keine Erforderlichkeit, auch nicht wenn Beschäftigte während ihrer Freizeit telefonisch erreicht werden sollen, um diese kurzfristig dienstlich einzusetzen.

 

Einwilligung ist keine Alternative

Nach Auffassung der Aufsichtsbehörden kommt im Beschäftigungsverhältnis eine wirksame Einwilligung regelmäßig nicht in Betracht, da von einer Freiwilligkeit regelmäßig nicht ausgegangen werden kann.

Nach Ansicht der Datenschutzbeauftragten wäre von Verantwortlichen außerdem darzulegen, welchen Vorteil die/der Beschäftigte erlangt oder welche gleichgelagerten Interessen der Dienstherr und die/der Beschäftigte verfolgen. So genüge zum Beispiel die generelle Aussage, dass mit dieser Datenverarbeitung die Funktionsfähigkeit der Verwaltung gewährleistet wird oder auf die Möglichkeit einer mit der Corona-Pandemie vergleichbaren Ausnahmesituation Bezug genommen wird, diesen Anforderungen nicht.

 

Empfehlung

Dienstherren oder Arbeitgeber/innen, die zur Erhaltung der Betriebsfähigkeit die Erreichbarkeit der Beschäftigten außerhalb von Dienst- und Arbeitszeiten zu verbessern beabsichtigen, ist zu raten, zur Vermeidung der Verarbeitung nicht erforderlicher Daten, dienstliche Endgeräte oder Rufnummern zur Verfügung zu stellen.

 

Rechtsanwalt Robert Harzewski

Verantwortlichkeit der internen Meldestelle

Verantwortlichkeit der internen Meldestelle

Eine interne Meldestelle kann gemäß § 14 Abs. 1 HinSchG durch die Bestellung einer bei dem jeweiligen Beschäftigungsgeber tätigen Person, einer Gruppe von Personen oder durch einen Dritten eingerichtet werden. Die Aufgaben einer internen Meldestelle können somit von einer internen Arbeitskraft oder einer externen Stelle wahrgenommen werden. Wird ein Dritter mit den Aufgaben der internen Meldestelle betraut, bleibt der beauftragende Beschäftigungsgeber dennoch verpflichtet, eigenverantwortlich angemessene Maßnahmen zu ergreifen, um eventuelle Verstöße zu beheben (§ 14 Abs. 1 Satz 2 HinSchG).

 

Aber wie sieht es eigentlich mit der datenschutzrechtlichen Verantwortlichkeit aus?

 

Je nach Ausgestaltung ist es möglich, die eigene datenschutzrechtliche Verantwortlichkeit für die Verarbeitung der personenbezogenen Daten in der Meldestelle auf den Dritten auszulagern. Bei der Beauftragung sollte daher auch die Verantwortlichkeit der internen Meldestelle mitgedacht werden, Art. 4 Nr. 8 Datenschutz-Grundverordnung (DSGVO).

 

Problem der Auftragsverarbeitung

Viele Verträge zur Auslagerung einer Meldestelle sehen eine Auftragsverarbeitung vor. Bei der Auftragsverarbeitung werden die personenbezogenen Daten im Auftrag und nur auf dokumentierte Weisung des Verantwortlichen verarbeitet. Fraglich ist, wie sich die gesetzlich geforderte Unabhängigkeit der internen Meldestelle mit dem Wesen einer Auftragsverarbeitung vereinbaren lässt. In jedem Fall bleibt in dieser Konstellation der beauftragende Beschäftigungsgeber für die Einhaltung der datenschutzrechtlichen Vorgaben und deren Nachweis verantwortlich.

 

Meldestelle als datenschutzrechtlich Verantwortlicher

Für verpflichtete Unternehmen könnte es ein großer Vorteil sein, mit der Auslagerung der internen Meldestelle auch die datenschutzrechtliche Verantwortlichkeit abzugeben. In diesem Fall wird die externe Meldestelle für die im Rahmen des Meldesystems aufkommenden personenbezogenen Daten datenschutzrechtlich verantwortlich, iSd Art. 4 Nr. 7 DSGVO. Der erforderliche Erlaubnistatbestand zur Datenverarbeitung durch die interne Meldestelle ergibt sich aus Art. 6 Abs. 1 1. HS lit. e DSGVO in Verbindung mit § 10 HinSchG. Es ist selbstverständlich, dass die Meldestelle die Grundsätze für die Verarbeitung personenbezogener Daten gemäß Art. 5 DSGVO sicherstellen muss. Insbesondere obliegt es ihr, die gebotenen technischen und organisatorischen Maßnahmen gemäß den Vorschriften von Art. 24 sowie Art. 32 der DSGVO zu gewährleisten.

 

Fazit

Grundsätzlich kann die ausgelagerte interne Meldestelle nach HinSchG in eigener datenschutzrechtlicher Verantwortung oder im Rahmen einer Auftragsverarbeitung gestaltet sein. Die Auslagerung der Verantwortlichkeit auf die Meldestelle hat jedoch zahlreiche Vorteile. Neben der Sicherstellung geeigneter technischer und organisatorischer Maßnahmen muss die externe Meldestelle dann auch die Informationspflichten (Art. 13 DSGVO) und Datenschutz-Folgenabschätzung (Art. 35 DSGVO) in eigener Verantwortung umsetzten. Dies stellt eine weitere nicht unerhebliche Entlastung für verpflichtete Unternehmen dar. Ein weiterer Vorteil ist, dass das beauftragende Unternehmen nicht selbst Adressat bei Betroffenenanfragen (z.B. einer Auskunft nach Ar.t 15 DSGVO), Beschwerden (Art. 77 DSGVO) oder gar Schadensersatzforderungen (Art. 82 DSGVO) ist.

 

Weitere Infromationen zu meinen Leistungen finden Sie unter Ihre interne Meldestelle.

Rechtsanwalt Robert Harzewski

interne Meldekanäle

Interne Meldekanäle

Interne Meldekanäle müssen Meldungen in mündlicher oder in Textform ermöglichen. Mündliche Meldungen müssen per Telefon oder mittels einer anderen Art der Sprachübermittlung möglich sein.

Eine Postkarte, ein E-Mail-Postfach oder der Kummerkasten sind gar keine gute Idee zur Umsetzung des neuen HinSchG. Vertrauliche Mitteilungen sollten nicht durchs ganze Unternehmen wandern.

 

 

Postkarte

interne Meldekanäle -wie umsetzen?

(Beim Klick auf die Bewegtbilder gelangen Sie auf die Website des Anbieters Vimeo in den USA. Die Datenschutzhinweise von Vimeo finden Sie unter https://vimeo.com/privacy.)

 

Alles wichtige zum Hinweisgeberschutzgesetz

Schauen Sie sich alle wichtigen Informationen zum neuen Hinweisgeberschutzgesezt im Video an.

 

 

Was ist eine Meldestelle?

Was muss eine Meldestelle können und wie läuft das Meldeverfahren ab?

Zu meiner Person

Gern würde ich mich und unsere künftige Zusammenarbeit ein wenig vorstellen. Kommen Sie bei Fragen gern auf mich zu.

Ihre interne Meldestelle- mein Angebot

Ich biete Ihnen  die vollständige Auslagerung Ihrer internen Meldestelle zum monatlichen Pauschalpreis ab 150 Euro zzgl. MwSt. an.

Weitere Infromationen zu meinen Leistungen finden Sie unter Ihre interne Meldestelle.

Rechtsanwalt Robert Harzewski

internal reporting office

internal reporting office

The most important steps for implementation in your company.

Soon you will have to provide your employees with an internal reporting office in accordance with the Whistleblower Protection Act. For companies with 250 employees, the internal reporting office is already mandatory from July 2, 2023. Before implementing a reporting system, you will need to make decisions about some important issues.

 

What happens in Vegas, stays in Vegas!

The internal reporting office according to the Whistleblower Protection Act is intended to provide your employees with a confidential way to report violations of laws or EU standards within the company. In this way, an internal reporting office that makes your employees feel taken seriously ensures that complaints do not reach the public. In this way, the internal reporting office can prevent reputational damage.

 

How to implement an internal reporting office according to the Whistleblower Protection Act

To set up an internal reporting office in accordance with the Whistleblower Protection Act in your company, you need to be clear about the following questions:

1. How do you implement the internal reporting office in your company?
2. With which personnel do you staff and operate the internal reporting office?
3. Can the internal reporting office be set up outside the company in accordance with the Whistleblower Protection Act?

 

1.How do you implement the internal reporting office according to the Whistleblower Protection Act in your company?

The Whistleblower Protection Act requires you to offer reporting channels allowing your employees to communicate information. These reporting channels of an internal reporting office should enable your employees to contact the internal reporting office in accordance with the Whistleblower Protection Act verbally or in text form and, if desired, also in person. It is important that employees can approach the internal reporting office confidentially, or even anonymously if they wish. For this reason, the reporting channels of the internal reporting office must be created in such a way that only the employees entrusted with operating the internal reporting office have access to the reports. A corresponding software solution can create the necessary conditions here. I will be happy to advise you on the implementation of a data protection-compliant solution for setting up an internal reporting office in accordance with the Whistleblower Protection Act.
The law leaves it up to you to set up your internal reporting office in accordance with the Whistleblower Protection Act within the company, or to have it carried out by a third party. Several companies can also jointly operate an internal reporting office in accordance with the Whistleblower Protection Act.

 

2.With which personnel do you staff and operate the internal reporting office in accordance with the Whistleblower Protection Act?

The internal reporting office under the Whistleblower Protection Act should be able to process legal challenges from many legal areas, such as criminal law, labor law, data protection, consumer protection, etc. The internal reporting office should also be able to handle information from other legal areas. As an entrepreneur, you can assign your own personnel to supervise the internal reporting office. Two requirements must be met: The person must be competent and able to perform the activity in the internal reporting office independently. As the entrepreneur, you are responsible for the expertise and must allow for further training and education within the required framework. Independent requires that the person who operates your internal reporting office in accordance with the Whistleblower Protection Act can make decisions without the influence of company management and colleagues. There must not be any conflicts of interest. If you have a suitable person in your company, the assignment of the internal reporting office according to the Whistleblower Protection Act will lead to an adjustment of the labour contract. This requires approval of he person in question.
Alternatively, you can also use external personnel to operate your internal whistleblower protection office, for example law firms or suitable service providers.

 

3.Can the internal whistleblower protection act reporting office also be set up outside the company?

Setting up an internal reporting office in accordance with the Whistleblower Protection Act can be challenging within your company. In particular, the internal reporting office ties up capacities that you urgently need for the operation of your company. For this reason, the Whistleblower Protection Act also offers the option of outsourcing the internal reporting office. In this case, a third party is responsible for the technical, organizational and content-related processing of the internal reporting office in accordance with the Whistleblower Protection Act.
I can offer you a corresponding all-in-one solution for your internal reporting office according to the Whistleblower Protection Act. As a lawyer, I am familiar with various legal topics and bound to secrecy. You can find my offer here.

 

Rechtsanwalt Robert Harzewski

interne Meldestelle nach Hinweisgeberschutzgesetz

interne Meldestelle nach Hinweisgeberschutzgesetz

Die wichtigsten Schritte zur Umsetzung in Ihrem Unternehmen

 
Schon bald müssen Sie in Ihrem Unternehmen Ihren Beschäftigten eine interne Meldestelle nach dem Hinweisgeberschutzgesetz zur Verfügung stellen. Ab 250 Beschäftigten ist die interne Meldestelle bereits ab dem 2. Juli 2023 verpflichtend. Dabei müssen Sie über einige wichtige Punkte Entscheidungen treffen.

 

What happens in Vegas, stays in Vegas!

Die interne Meldestelle nach Hinweisgeberschutzgesetz soll Ihren Beschäftigten eine vertrauliche Möglichkeit bieten, Verstöße gegen Compliance-Regeln, Gesetze oder EU-Normen innerhalb des Unternehmens zu melden. Damit sorgt eine interne Meldestelle, bei der sich Ihre Beschäftigten ernst genommen fühlen, dafür, dass die Beschwerden nicht an die Öffentlichkeit gelangen. So lassen sich durch die interne Meldestelle Reputationsschäden vermeiden.
Schritte zur Umsetzung einer internen Meldestelle nach Hinweisgeberschutzgesetz

Für die Einrichtung der internen Meldestelle nach Hinweisgeberschutzgesetz in Ihrem Unternehmen müssen Sie sich Klarheit verschaffen über folgende Fragen:

 

1. Wie setzen Sie die interne Meldestelle im Unternehmen um?
2. Mit welchem Personal besetzen und betreiben Sie die interne Meldestelle?
3. Kann die interne Meldestelle nach Hinweisgeberschutzgesetz auch außerhalb des Unternehmens eingerichtet werden?

 

 

1.Wie setzen Sie die interne Meldestelle nach Hinweisgeberschutzgesetz im Unternehmen um?

Das Hinweisgeberschutzgesetz verlangt von Ihnen, dass Sie Meldekanäle anbieten, über die Ihre Beschäftigten Hinweise kommunizieren können. Diese Meldekanäle einer internen Meldestelle sollen Ihren Beschäftigten ermöglichen, mündlich oder in Textform und, wenn gewünscht, auch im persönlich, Kontakt mit der internen Meldestelle nach Hinweisgeberschutzgesetz aufzunehmen. Wichtig ist dabei, dass die Beschäftigten an die interne Meldestelle vertraulich herantreten können, nach Wunsch auch anonym. Deshalb müssen die Meldekanäle der internen Meldestelle so geschaffen werden, dass nur die mit dem Betrieb der internen Meldestelle betrauten Mitarbeiter Zugriff auf die Meldungen haben. Eine entsprechende Software-Lösung kann hier die erforderlichen Voraussetzungen schaffen. Bei der Umsetzung einer datenschutzkonformen Lösung für die Einrichtung einer internen Meldestelle nach Hinweisgeberschutzgesetz berate ich Sie gerne.
Das Gesetz stellt Ihnen frei, Ihre interne Meldestelle nach Hinweisgeberschutzgesetz im Unternehmen einzurichten, oder aber durch einen Dritten durchführen zu lassen. Mehrere Unternehmen können auch gemeinsam eine interne Meldestelle nach Hinweisgeberschutzgesetz betreiben.

 

2.Mit welchem Personal besetzen und betreiben Sie die interne Meldestelle nach Hinweisgeberschutzgesetz?

Die interne Meldestelle nach Hinweisgeberschutzgesetz sollte in der Lage sein, Hinweise aus vielen juristischen Themengebieten zu bearbeiten, beispielsweise Strafrecht, Arbeitsrecht, Datenschutz, Verbraucherschutz etc. Als Unternehmer können Sie eigenes Personal mit der Betreuung der internen Meldestelle beauftragen. Zwei Voraussetzungen sind dabei zu beachten: Die Person muss fachkundig sein und die Tätigkeit in der internen Meldestelle unabhängig ausüben können. Für die Fachkunde sind Sie als Unternehmer verantwortlich und müssen im erforderlichen Rahmen Fort- und Weiterbildungen ermöglichen. Unabhängig bedeutet, dass die Person, die Ihre interne Meldestelle nach Hinweisgeberschutzgesetz betreibt, ohne Einflussnahme der Unternehmensleitung und der Kollegen entscheiden kann. Dabei darf es nicht zu Interessenskonflikten kommen. Haben Sie eine geeignete Person in Ihrem Unternehmen, so muss die Beauftragung mit der internen Meldestelle nach Hinweisgeberschutzgesetz personalseitig durch eine Vertragsänderung oder -ergänzung erfolgen. Dies setzt eine Zustimmung voraus, eine Übertragung der Aufgabe ist nicht ausgeschlossen.
Alternativ dazu können Sie auch externes Personal einsetzen, um Ihre interne Meldestelle nach Hinweisgeberschutzgesetz zu betreiben, beispielsweise Anwaltskanzleien oder geeignete Dienstleister.

 

3.Kann die interne Meldestelle nach Hinweisgeberschutzgesetz auch außerhalb des Unternehmens eingerichtet werden?

Die Einrichtung einer internen Meldestelle nach Hinweisgeberschutzgesetz kann innerhalb Ihres Unternehmens herausfordernd sein. Insbesondere bindet die interne Meldestelle Kapazitäten, die Sie für den Betrieb Ihres Unternehmens dringend benötigen. Deshalb bietet das Hinweisgeberschutzgesetz auch die Möglichkeit an, die interne Meldestelle auszulagern. Dann liegt die technische, organisatorische und inhaltliche Bearbeitung der internen Meldestelle nach Hinweisgeberschutzgesetz bei einem Dritten.

Eine entsprechende All-in-One-Lösung für Ihre interne Meldestelle nach Hinweisgeberschutzgesetz kann ich Ihnen anbieten. Als Rechtsanwalt bin ich mit verschiedenen rechtlichen Themengebieten vertraut und zur Verschwiegenheit verpflichtet. Hier finden Sie mein Angebot.

 

Rechtsanwalt Robert Harzewski

Hinweisgeberschutzgesetz

Hinweisgeberschutzgesetz

Mit dem neuen Hinweisgeberschutzgesetz (HinSchG) gibt es nun die gesetzliche Pflicht zum Einrichten einer internen Meldestelle für Unternehmen mit über 50 Beschäftigten. Bereits ab dem 02.07.2023 müssen Unternehmen mit 250 oder mehr Beschäftigten die gesetzlich erforderlichen „internen Meldestellen“ und die damit zusammenhängenden Meldekanäle eingerichtet haben. Verstöße gegen die wesentlichen Vorgaben des HinSchG können als Ordnungswidrigkeiten mit einer Geldbuße geahndet werden können.

 

Benötigen Sie noch eine Lösung für Ihr Unternehmen, dann kommen Sie gern auf mich zu. Unter Ihre interne Meldestelle finden Sie weitere Informationen zu meinem Angebot.

 

Ziel des Hinweisgeberschutzgesetzes

Das Hinweisgeberschutzgesetz zielt darauf ab, den bisher unzureichenden Schutz von Hinweisgebern zu verbessern und die EU-Whistleblower-Richtlinie (Richtlinie (EU) 2019/1937) in nationales Recht umzusetzen. Es soll sowohl den Schutz von Hinweisgebern als auch von Personen, die von einer Meldung betroffen sind, stärken und sicherstellen, dass ihnen keine Nachteile gemäß den Bestimmungen dieses Gesetzes drohen.
Bisher gab es in Deutschland kein umfassendes und einheitliches System zum Schutz von Hinweisgebern. In der Vergangenheit wurden Hinweisgeber daher immer wieder benachteiligt.
Zu melden sind künftig zum Beispiel Verstöße gegen Strafvorschriften und bußgeldbewährte Verstöße gegen den Arbeitsschutz, Gesundheitsschutz, das Mindestlohngesetz oder Vorgaben des Arbeitnehmerüberlassungsgesetzes.

 

Meldestellen

Nach § 12 HinSchG haben Unternehmen dafür zu sorgen, dass bei ihnen mindestens eine Stelle für interne Meldungen eingerichtet ist und betrieben wird, an die sich Beschäftigte wenden können (interne Meldestelle).

 

interen und externe Meldestellen

Hinweisgeber haben dabei die Möglichkeit, sich entweder an eine "interne Meldestelle" im Unternehmen oder an eine "externe Meldestelle" bei den Behörden zu wenden. Gemäß § 16 des Hinweisgeberschutzgesetzes müssen die Meldekanäle so gestaltet sein, dass nur die dafür zuständigen Personen und diejenigen, die bei der Bearbeitung der Meldungen unterstützen, Zugriff auf die eingehenden Meldungen haben. Unberechtigte Personen dürfen daher keinen Zugriff auf die Identität des Hinweisgebers oder den Inhalt des Hinweises erhalten.
Interne Meldekanäle müssen es zudem ermöglichen, Meldungen sowohl mündlich als auch schriftlich abzugeben. Mündliche Meldungen können telefonisch oder über andere sprachbasierte Kommunikationsmittel erfolgen. Auf Anfrage des Hinweisgebers muss innerhalb angemessener Zeit ein persönliches Treffen mit einer für die Entgegennahme der Meldung zuständigen Person der internen Meldestelle ermöglicht werden.

Unabhängige Tätigkeit; notwendige Fachkunde

Gemäß § 15 des Hinweisgeberschutzgesetzes müssen die Personen, die mit den Aufgaben einer internen Meldestelle betraut sind, unabhängig bei der Ausübung ihrer Tätigkeit sein. Sie dürfen neben ihrer Tätigkeit für die interne Meldestelle auch andere Aufgaben und Pflichten haben. Es muss jedoch sichergestellt werden, dass solche Aufgaben und Pflichten keine Interessenkonflikte verursachen.
Darüber hinaus ist das Unternehmen verpflichtet, sicherzustellen, dass die mit den Aufgaben einer internen Meldestelle betrauten Personen über die erforderliche Fachkompetenz verfügen.

 

Zeitplan für die Umsetzung

  • weniger als 50 Mitarbeitende: keine Verpflichtung für interne Meldestelle
  • zwischen 50 und 249 Mitarbeitenden: eine interne Meldestelle ab 17.12.2023
  • mehr als 250 Mitarbeitende: eine interne Meldestelle ab 02.07.2023

 

Hinweisgeberschutzgesetz und der Datenschutz

Das neue Gesetz bringt auch Berührungspunkte mit dem Datenschutz mit sich:

  • Nach § 2 Abs. 1 Nr. p) HinSchG müssen künftig auch Verstöße gegen den Datenschutz gemeldet werden.
  • Nach § 10 HinSchG sind die Meldestellen befugt, personenbezogene Daten und sogar besondere Kategorien von Daten zu verarbeiten, soweit dies zur Erfüllung ihrer in den §§ 13 und 24 HinSchG bezeichneten Aufgaben erforderlich ist.
  • Bei der Geltendmachung von Auskünften nach Art. 15 DSGVO sind ggfls. Informationen wie die Identität einer hinweisgebenden Person geheim zu halten.
  • Da nach Auffassung der DSK die Meldung von Missständen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, bedarf es im Einzelfall einer Datenschutz-Folgenabschätzung (DSFA).

Rechtsanwalt Robert Harzewski

Neue Regelungen im Beschäftigten-Datenschutz

Neue Regelungen im Beschäftigten-Datenschutz

Nach einem Urteil des Europäischen Gerichtshofs (EuGH) vom 30.03.2023 (Az. C-34/21) muss der deutsche Gesetzgeber den Beschäftigten-Datenschutz auf neue Füße stellen.

 

§ 26 BDSG nicht weiter anwendbar

Nachdem deutsche Arbeitgeber bisher den Umgang mit personenbezogenen Daten ihrer Mitarbeiter aus § 26 BDSG ableiteten, hat der EUGH dem einen Riegel vorgeschoben. Anhand der Parallelvorschrift des § 23 HDSIG bestimmte das Gericht sinngemäß, dass wenn § 26 BDSG etwas regelt, was gegen die DSGVO verstößt, § 26 BDSG nicht anwendbar ist.

 

Neue Regelungen im Beschäftigten-Datenschutz

Bis zum Herbst soll für ein neues Beschäftigtendatenschutzgesetz ein Entwurf erarbeitet werden. Ein Thema dabei wird die Vollüberwachung der Mitarbeiter sein, die immer wieder für Diskussionen sorgt, wenn sie etwa zur Sicherheit der Beschäftigten, Vereinfachung der Logistik oder Kontrolle von Ruhezeiten hilfreich erscheint. Hierzu stellt ein Eckpunktepapier aus dem Arbeitsministerium bereits klar, dass Arbeitgeber keine lückenlosen Bewegungs- und Leistungsprofile zur Bewertung von Beschäftigten erstellen dürfen. Daneben soll auch eine Lösung gefunden werden zu der manchmal doch nicht ganz so „freiwilligen“ Einwilligung der Arbeitnehmer zur Nutzung ihrer Daten, beispielsweise Fotos auf der Firmenhomepage. Wir dürfen also gespannt sein.

 

Praxistipp:

Bis zur Umsetzung eines neuen Beschäftigtendatenschutzgesetzes sollte die in den Datenschutzhinweisen für die Beschäftigten verwendete Rechtsgrundlage des § 26 BDSG durch Art. 6 Abs. 1 lit. b DSGVO ersetzt werden. Die Aufsichtsbehörde in Hamburg empfiehlt, dies nicht zu überstürzen, sondern die Positionierungen der Datenschutzkonferenz des Bundes und der Länder und ggfs. der Gerichte abzuwarten. (Pressemitteilung vom 03.04.2023)

Rechtsanwalt Robert Harzewski

3G am Arbeitsplatz

3G am Arbeitsplatz

Änderung des Infektionsschutzgesetzes

Nach der Zustimmung des Bundesrates gilt ab kommenden Mittwoch 3G am Arbeitsplatz. Mit der Änderung des Infektionsschutzgesetzes (§ 28 IfSG) müssen Arbeitgeber und Beschäftigte beim Betreten ihrer Arbeitsstätte entweder einen Impf- oder Genesenennachweis oder einen Testnachweis mit sich führen. Es ist mithin eine effiziente betriebliche Zutrittskontrolle erforderlich, die eine lückenlose Umsetzung der Nachweispflicht zum Status geimpft, genesen oder getestet sicherstellt.

Konkret heißt es in § 28 Abs. 3 IfSG (neu): Arbeitgeber […] sind verpflichtet, die Einhaltung der Verpflichtungen [..] durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren. Alle Arbeitgeber und jeder Beschäftigte […] sind verpflichtet, einen entsprechenden Nachweis auf Verlangen vorzulegen.

Dies bedeutet, dass die Nachweise selbst bei den Betroffenen verbleiben und nicht etwa vom Arbeitgeber aufzubewahren sind.

Umfang der Dokumentation

Zur Ausgestaltung der konkreten Dokumentation für 3G am Arbeitsplatz informiert das Bundesministerium für Arbeit und Soziales, dass es dem Grundsatz der Datenminimierung entsprechend ausreicht, am jeweiligen Kontrolltag den Vor- und Zunamen der Beschäftigten auf einer Liste "abzuhaken", wenn der jeweilige Nachweis durch den Beschäftigten erbracht worden ist.

Bei Beschäftigten, welche geimpft oder genesen sind, ist dagegen keine tägliche Dokumentation erforderlich. Hier genügt eine einmalige Erfassung, wobei bei Genesenen zusätzlich das Enddatum des Genesenenstatus zu dokumentieren ist.

 

Dokumentation vonVor- und NachnameStatus (geeimpft, getestet oder genesen)Datum der VorlageGültigkeitsdauer
Geimpftexxx
Genesenexxxx
Getestetxxx

Die erhobenen personenbezogenen Daten sind spätestens sechs Monate nach Ihrer Erhebung zu löschen.

Neben der datensparsamen Dokumentation ist darauf zu achten, dass eine Kenntnisnahme der erfassten Daten durch Kolleginnen und Kollegen ausgeschlossen ist. Verwenden Sie daher in keinem Fall offene Listen.

Die neue Regelung finden Sie in der Drucksache.

Die FAQs zu 3G am Arbeitsplatz des Bundesministeriums für Arbeit und Soziales finden Sie hier.

Alte Rechtslage

Arbeitgeberinnen und Arbeitgeber durften vor der Neuregelung zu 3G am Arbeitsplatz das Datum „Impfstatus“ ihrer Beschäftigten
ohne eine ausdrückliche gesetzliche Ermächtigung grundsätzlich nicht verarbeiten – auch nicht im Rahmen der COVID-19-Pandemie. Dies war nur in bestimmten Einzelfällen wie zum Beispiel im Gesundheitsbereich, bei Kindertageseinrichtungen oder im Fall von Lohnersatz nach dem Infektionsschutzgesetz möglich.

Weitere Informationen finden Sie hierzu im Beschluss der DSK vom 19.10.2021.

Rechtsanwalt Robert Harzewski

 

Datenschutzverstöße von Beschäftigten

Datenschutzverstöße von Beschäftigten

Das Landgericht Bonn (Urteil vom 11.11.2020, Aktenzeichen: 29 OWi 1/20) hat sich neben der Bußgeldzumessung auch zu Datenschutzverstößen geäußert, welche von Beschäftigten verursacht wurden.

 

Nur der Verletzungserfolg ist entscheidend

Hierzu führt es aus, dass Gegenstand der Sanktionierung für einen Datenschutzverstoß nicht die dafür ursächlichen Handlungen bestimmter natürlicher Personen ist. Es kommt mithin nur auf den Erfolg des Datenschutzverstoßes an. Im entsprechenden Bußgeldbescheid wurde daher nicht näher beschrieben, welche natürlichen Personen im Unternehmen der Betroffenen durch welche Handlungen den Datenschutzverstoß begangen haben.

 

Hintergrund Datenschutzverstöße von Beschäftigten

Nach dem deutschen Ordnungswidrigkeitenrecht gibt es keine unmittelbare Haftung von Unternehmen. Geldbußen setzen stets ein schuldhaftes Fehlverhalten einer vertretungsberechtigten Person, wie z.B. einem Geschäftsführer oder Vorstand, voraus. Das Verhalten irgendeines Mitarbeiters des Unternehmens reicht nach deutschem Recht daher nicht aus, um eine Bußgeld zu bekommen. Vielmehr kommt es auf das Fehlverhalten ganz bestimmter Personen in Führungs- oder Aufsichtspositionen an.

 

Deutsche Regeln stehen europäischen Haftungskonzept entgegen

Hierzu stellt das Gericht nun folgendes fest: Die deutschen Regelungen sind nicht mit dem europäischen Haftungskonzept in Einklang zu bringen. Für eine Einschränkung der Haftung durch Beschränkung auf individuelles Fehlverhalten von Leitungspersonen gem. § 30 OWiG ist daher kein Raum.

 

Auffassung der DSK

Auch nach Auffassung der DSK sollen Unternehmen dabei im Rahmen von Art. 83 DSGVO für Datenschutzverstöße ihrer Beschäftigten haften, wenn diese im konkreten Fall nicht im Exzess gehandelt haben. Nach der Entschließung der DSK soll für die Zuordnung der Verantwortlichkeit weder die Kenntnis der Geschäftsführung von dem konkreten Verstoß, noch eine Verletzung der Aufsichtspflicht erforderlich sein. Daher kann dem Verantwortlichen nicht nur jeder Datenschutzverstoß eines gesetzlichen Vertreters oder einer Leitungsperson, sondern der eines jeden Beschäftigten zugerechnet werden.

 
Rechtsanwalt Robert Harzewski