Der Landesbeauftragte für Datenschutz und Informationsfreiheit hat eine neue Auflage des Ratgebers für Beschäftigtendatenschutz veröffentlicht.
Auf 51 Seiten werden seitens der Aufsichtsbehörde den Unternehmen umfangreiche Informationen zum Datenschutz sowie praktische Tipps in konkreten Fällen kostenfrei zur Verfügung gestellt.
Inhalt
Schon in der Einleitung über die Entstehungsgeschichte des Arbeitnehmerdatenschutzes finden sich farblich hervorgehobene Praxistipps, welche sich bei der Betrachtung der relevanten Regelungen der DSGVO und des BDSG fortsetzen. Nach Erläuterung der allgemeinen Datenschutzrechtlichen Grundlagen unter Hervorhebung der Informationspflichten werden sodann anhand von 13 verschiedenen, praxisorientierten Fällen häufig vorkommende Fallkonstellationen beispielhaft dargestellt und Lösungswegen sowie die Empfehlungen der Behörde erläutert.
Dabei wird auf den empfehlenswerten Abschluss von Betriebsvereinbarungen ebenso hingewiesen, wie auf die Tatsache, dass aufgrund der notwendigen Freiwilligkeit und ihrer jederzeitigen Widerrufbarkeit auf Einwilligungen im Beschäftigungsverhältnis nach Möglichkeit verzichtet werden sollte.
Im Rahmen der Vertragsanbahnung mit Bewerbern wird der Umgang mit Bewerberdaten und Background-Checks werden ebenso thematisiert wie die Beantwortung der Anfragen der Bundesnetzagentur. Bei den bereits bestehenden Beschäftigungsverhältnissen kommt nicht nur der Einsatz von GPS-Trackern in Dienstfahrzeugen und der konzerninterne Datenaustausch zur Sprache. Auch Videoüberwachung und Beschäftigtenumfragen sowie die private Nutzung von beruflichen E-Mail-Accounts stehen im Fokus.
Am Ende des Ratgebers wird noch auf die notwendige Datenlöschung verwiesen.
Die immer wieder eingestreuten Praxis- und DSGVO-Tipps weisen auf häufig vorkommende Schwachstellen im Umgang mit dem Datenschutz hin, die wir so aus unserer täglichen Erfahrung bestätigen können. In der einen oder anderen Form erkennen wir in jedem Fall die Fragen, die uns von den Personalverantwortlichen in den Unternehmen gestellt werden, wieder. Insgesamt handelt es sich bei dem Dokument um einen lesenswerten und informativen Ratgeber, der insbesondere den Personalverantwortlichen in den Unternehmen empfohlen werden kann.
Céline Lürmann
Rechtsanwältin
Consultant für Datenschutz
Die SPD befürwortet ein Daten-Für-Alle-Gesetz.
Hintergrund ist wohl, trotz strenger datenschutzrechtlicher Bestimmungen am digitalen Fortschritt ebenso teilnehmen zu können wie Diktaturen und Staaten mit nicht angemessenem Datenschutzniveau.
Daten bedeuten Macht und entsprechend soll das Datenmonopol der digitalen Konzerne wie Google, Facebook und Co. mit einem solchen Gesetz aufgelöst werden, indem sie gezwungen werden, „ihre“ Daten der Allgemeinheit zur Verfügung zu stellen.
Als „kollektive“ Daten und damit Allgemeingut sollen sie dann „zum Wohl des Einzelnen und für unsere Gemeinschaft“ genutzt werden, um Innovationen bspw. auf dem Gebiet der Künstlichen Intelligenz zu fördern und europäische Unternehmen wettbewerbsfähig zu halten („Prinzip von Open Data“).
Statt „exklusive[r] Eigentumsrechte“ soll es „darum gehen, den Zugang zu Daten zu verbreitern.“
Das Recht auf informationelle Selbstbestimmung „macht den Einzelnen grundsätzlich zum Herrn der ihn betreffenden Daten“ (Gola/Schomerus, BDSG, 11. Auflage § 1 Rn 10). Die „Eigentumsverhältnisse“ sind eigentlich somit klar.
Auch wenn das „grundlegende Recht auf Datenschutz der Einzelnen“ durchgehend betont wird:
Konzerne wie Facebook verdienen nicht deshalb so viel Geld, weil sie vollständig anonymisierte und damit eben keine personenbezogenen Daten verarbeiten; Skandale wie Cambridge Analytics haben dies immer wieder gezeigt. Im besten Fall handelt es sich um zunächst einmal pseudonymisierte Daten, die sich aufgrund ihrer Menge und der Hinzuspeicherung von Daten aus einer Vielzahl von Quellen leicht zu personenbezogenen Daten verdichten können.
Mit dem Konstrukt der „kollektiven Daten“ aus dem Bestand der digitalen Großkonzerne wirkt die Idee eines Daten-Für-Alle-Gesetzes auf den ersten Blick daher eher wie ein latenter Vorwurf an den Datenschutz (zwar nett, aber im Zeitalter von Post Privacy veraltet) und ein Hofieren der Innovationskraft von Google, Facebook und Co., an der man teilhaben möchte.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Wohnungsmangel ist v.a. in vielen großen Städten Realität. Vermieter und ihre Immobilienmakler können daher unter einer Vielzahl von Interessenten auswählen, von denen sie eine Menge personenbezogener Daten bereits auch schon vor Besichtigungstermin anfordern (z.B. Namensangaben, Geburtsdatum, Kontaktdaten, Anschrift, Familienstand inkl. Namen und Geburtsdatum von Ehepartnern und Kindern, Kinderwunsch, Heiratsabsichten, Schwangerschaft, Angaben zum bestehenden Arbeitsverhältnis wie Dauer (Eintrittsdatum, befristet/unbefristet), Art der Beschäftigung, Angaben zum Arbeitgeber, betriebliche Anschrift etc.), u.a. auch sensible Daten, wie Personalausweisdaten, -kopien, -scans, Vorstrafen sowie Angaben zu Vermögensverhältnissen (z.B. Lohn- und Gehaltsnachweise, Schufa-Auskunft, Angaben zu vorherigen Vermietern, Mietschuldenfreiheitsbescheinigung, Unterhaltsverpflichtungen, Insolvenzverfahren, Räumungsklagen).
Abgesehen vom Grundsatz der Datenminimierung werden dabei auch datensicherheitstechnische Vorgaben zum Schutz dieser vielen Daten in erheblichem Umfang missachtet.
Doch was dürfen Vermieter und ihre Immobilienmakler wirklich an Daten erheben?
Die Aufsichtsbehörden haben eine Orientierungshilfe hierzu herausgegeben (Stand 30.01.2018):
Zur Durchführung eines Besichtigungstermins dürfen Vermieter und ihre Immobilienmakler allenfalls
- Namensangaben
- Kontaktadresse
erheben, um den Zeitpunkt der Wohnungsbesichtigung mitzuteilen.
Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f) DSGVO.
Teilt bei oder nach dem Besichtigungstermin ein Mietinteressent mit, dass er die Wohnung anmieten möchte, dürfen weitere Daten erhoben werden:
- Anzahl der einziehenden Personen
- Namensangaben der einziehenden Personen nur, wenn diese ebenso Vertragspartei des Mietvertrages werden
- Angaben zu Vermögensverhältnissen: Beschränkung auf Angaben zu einem laufenden Verbraucherinsolvenzverfahren oder zu Räumungsklagen wegen Mietzinsrückständen innerhalb der letzten 5 Jahre
- Angaben zum Beruf: Funktion, Job-Titel; nach der Dauer darf nicht gefragt werden
- Höhe des Netto-Einkommens: Beschränkung auf Betragsgrenzen
Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b) DSGVO.
Hat der Vermieter seine Wahl aufgrund der oben angegebenen Daten auf einige wenige Mietinteressenten eingegrenzt, dürfen weitere Daten erhoben werden:
- Lohn- und Gehaltsnachweise, geschwärzt um die nicht erforderlichen Angaben, wie bspw. Religionszugehörigkeit etc.
- Selbstauskunft zur Bonität: Beschränkt auf einen Nachweis eigens für den spezifischen Fall der Eingehung eines Mietverhältnisses; der Abschluss des Mietvertrags darf zudem nur noch vom positiven Ergebnis dieser Bonitätsprüfung abhängen.
- Angaben können durch die Vorlage des Personalausweises überprüft werden; die Anfertigung von Personalausweis-Kopien/-Scans ist jedoch unzulässig.
Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b) DSGVO.
Die Erhebung weiterer als der eben genannten Daten aufgrund einer Einwilligung des Mietinteressenten gemäß Art. 6 Abs. 1 lit. a) DSGVO ist dem Vermieter / Immobilienmakler nicht möglich. Aufgrund des klaren Ungleichgewichts zwischen Vermieter und Mietinteressent, würde der Mietinteressent die Einwilligung nicht freiwillig abgeben, sondern aus einer Zwangslage heraus. Und eine solche Einwilligung ist nicht wirksam und die darauf basierende Datenverarbeitung wäre unzulässig.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.