open search
close
Datenschutz

Datenschutz-Folgenabschätzung, Teil 1: Wozu braucht man das als Arbeitgeber?

Print Friendly, PDF & Email

Schon der Begriff liest sich umständlich und schwer aussprechbar: Datenschutz-Folgenabschätzung. Dennoch ist das ein Verfahren, welches für Arbeitgeber künftig eine erhebliche Rolle spielen wird. Das gilt umso mehr angesichts der in anderen EU-Ländern bereits veröffentlichten Black Lists für Verarbeitungsprozesse, bei denen eine solche Folgenabschätzung künftig zwingend vorgeschrieben sein wird. Diese Listen umfassen etwa im Fall der jüngst erschienen polnische Liste Verfahren, die am Arbeitsplatz häufig durchgeführt werden, wie beispielsweise eine automatische Arbeitszeiterfassung oder eine Überwachung der Nutzung von Informationstechnologie und E-Mails.

Die neue gesetzliche Regelung

Die Datenschutz-Folgenabschätzung entspricht der bereits nach jetzigem und bald bisherigem Recht erforderlichen sogenannten Vorabkontrolle, § 4d Abs. 5 BDSG, bei der Verarbeitung sensibler Daten. Der Anwendungsbereich ist allerdings vergrößert, und hat angesichts der nun bestehenden Dokumentationspflicht für Arbeitgeber und den erheblichen Sanktionen nach Art. 83 Abs. 4 a Datenschutzgrundverordnung (DS-GVO) erheblich an Bedeutung gewonnen. Nach der künftigen Rechtslage ist eine Folgenabschätzung immer dann durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, auf Grund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben wird, Art. 35 Abs. 1 S. 1 DS-GVO. Das ist nach dem weiteren Wortlaut der Verordnung insbesondere in folgenden Fällen erforderlich:

1. Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

2. Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem. Art. 9 Abs. 1 DS-GVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DS-GVO oder

3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 DS-GVO).

Das Gesetz sieht ferner vor, dass die Aufsichtsbehörde eine sogenannte Black List von Verarbeitungsvorgängen zu erstellen hat, für die eine Folgenabschätzung durchzuführen ist, und das diese Liste zu veröffentlichen ist. Daneben besteht die Möglichkeit sogenannte White Lists zu erstellen (Art. 35 Abs. 4, 5 DS-GVO).


Listen der belgischen und der polnischen Datenschutzbehörden – Orientierung auch für deutsche Arbeitgeber

Eben dies haben in der jüngsten Zeit die belgische Datenschutzbehörde und zuletzt die polnische Datenschutzbehörde getan.

Nur der Vollständigkeit halber sei daraufhin gewiesen, dass auch die sogenannte EU Art. 29 Working Party bereits im April 2017 eine Stellungnahme zu Folgenabschätzungen veröffentlicht hat. Schon im Mai 2016 wurde ein sogenanntes Whitepaper zur Datenschutz-Folgenabschätzung des unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein (ULD) und weiterer deutscher Experten veröffentlicht.

Die polnische Black List, die in einer nicht-offiziellen Übersetzung ins Englische verfügbar ist, nennt unter anderem folgende Fälle, für die eine Folgenabschätzung erforderlich ist:

  • Systems for monitoring work time and information flow in tools years by employees (e. g. in E-Mail or in the internet)
  • Work time monitoring systems; entrance control systems for specific rooms processing biometric data of (clients or) employees in order to identify or verify an individual in access control systems
  • Services offering jobs that match offers to specific preferences of employers
  • Whistleblowing systems (zitiert nach klattorneys.pl)

Ganz anders liest sich die Veröffentlichung der belgischen Datenschutzbehörde vom 28.02.2018. Sie enthält eine Black List für Fälle, in denen eine Folgenabschätzung erforderlich ist (Seite 42 ff.) sowie eine White Liste für Fälle, in denen keine Folgenabschätzung erforderlich ist (S. 46 ff.) darin sind die folgenden Verfahren genannt:

  • Verfahren unter Nutzung von biometrischen Daten zur Identifikation von betroffenen Personen, die sich an einem öffentlichen oder öffentlich zugänglichen Ort befinden
  • Verwendung von sensiblen Daten für einen anderen Zweck als denjenigen, für den sie zunächst erhoben wurden außer im Falle einer Einwilligung oder um einer rechtlichen Verpflichtung zu genügen
  • Verwendung von sensiblen Daten oder von sehr persönlichen Daten außerhalb der Liste des Art. 9 DS-GVO (genannt sind als Beispiele Armut, Arbeitslosigkeit, aber auch private oder häusliche Aktivitäten und Ortsdaten, sofern diese systematisch unter verschiedenen Datenverantwortlichen geteilt werden)
  • Systematische Auswertung von Telefondaten und sonstigen Kommunikationsdaten, Metadaten oder Ortsdaten über einzelne Personen, oder Rückschluss auf diese ermöglichend (übersetzt v. Verf.)

Keine Folgenabschätzung ist hingegen für die in der White List genannten Fälle erforderlich, unter anderem:

  • Verarbeitung personenbezogener Daten, die erforderlich ist, um Gehälter an eigene Angestellte oder freie Mitarbeiter zu überweisen, sofern die Daten nur hierfür verwendet werden, nur an die hierfür zuständigen Personen übermittelt werden und nicht länger als nötig gespeichert werden
  • Verarbeitung von personenbezogenen Daten im Rahmen der Personalverwaltung für Angestellte oder freie Mitarbeiter, sofern sich die Verarbeitung nicht auf Gesundheitsdaten erstreckt, oder auf andere sensible Daten, auf Verurteilungen oder auf Daten, die eine persönliche Bewertung zum Zweck haben, und wenn die Daten nicht länger gespeichert werden als für die HR-Datenverarbeitung erforderlich und nur im Rahmen rechtlicher Verpflichtungen. (übersetzt v. Verf.)

Für deutsche Arbeitgeber sind diese Veröffentlichungen nicht unmittelbar bindend. Sie geben aber einen guten ersten Einblick , was auch von Seiten der deutschen Behörden zu erwarten ist. Arbeitgeber, die sich auf die Anwendbarkeit der neuen Rechtslage vorbereiten, tun also gut daran, bereits jetzt eine Folgenabschätzung etwa für elektronische Zeiterfassung, Whistleblowing-Systeme oder andere Systeme der intensiven und dauerhaften Überwachung am Arbeitsplatz durchzuführen.

Ein Beitrag dazu, wie eine Folgenabschätzung im ersten, internen Schritt nach Art. 35 DS-GVO und ggf. im zweiten Schritt bei Konsultation der Behörde gemäß Art. 36 DS-GVO durchzuführen ist, folgt in Kürze auf diesem Blog.

Dr. Jessica Jacobi 

Rechtsanwältin
Fachanwältin für Arbeitsrecht
Partner
Dr. Jessica Jacobi ist seit 2003 Partnerin der Sozietät. Gemeinsam mit ihrem Team berät sie nationale und internationale Arbeitgeber in allen Fragen des deutschen Arbeitsrechts, wie z.B. bei der Reorganisation von Unternehmen, bei Massenentlassungen und in schwierigen Individualstreitigkeiten inklusive interner Ermittlungen. Sie ist ein aktives Mitglied der International Practice Group für Data Privacy bei unserem internationalen Kanzleinetzwerk Ius Laboris und berät häufig z.B. bei der Einführung neuer technischer Systeme und deren Verhandlung mit dem Betriebsrat, bei Auskunftsansprüchen von Arbeitnehmern nach Art. 15 DS-GVO und bei internationalen Datenübertragungen. Sie ist Autorin einer Vielzahl von Veröffentlichungen und tritt regelmäßig als Referentin auf.
Verwandte Beiträge
Datenschutz Neueste Beiträge

Geschäftsführer-Haftung nach der DS-GVO?

Urteile über Schadensersatzansprüche nach der DS-GVO erfreuen sich großer Aufmerksamkeit. Die potentielle Höhe dieser Ansprüche sowie der bisweilen geforderte „abschreckende Charakter“ tragen hierzu bei. Nun hat das OLG Dresden einen weiteren Grund geliefert: Nach einem aktuellen Urteil (30.11.2021 – 4 U 1158/21) haften die Organe von Gesellschaften neben der Gesellschaft als Gesamtschuldner. Setzt sich diese Auffassung durch, kann dies erhebliche praktische Auswirkungen haben. Ausgangsfall und…
Betriebsratswahl 2022 Neueste Beiträge

Betriebsratswahl: Welche Vorgaben macht eigentlich der Datenschutz?

Für die Durchführung der Betriebsratswahl ist der Betriebsrat, genauer der Wahlvorstand, verantwortlich. Unterstützung erfährt er hierbei durch den Arbeitgeber. Um die Wählerliste und Vorschlaglisten zu erstellen, sind verschiedene Personaldaten nötig. Doch welche Informationen muss der Arbeitgeber eigentlich herausgeben? Was für die Verarbeitung personenbezogener Daten im Zusammenhang mit der Betriebsratswahl gilt und welche Vorgaben aus der DS-GVO und dem BDSG darüber hinaus zu berücksichtigen sind, lesen…
Neueste Beiträge

Herausgabe einer Kopie personenbezogener Daten … Was jetzt genau?

Ein Antrag auf Zurverfügungstellung einer Kopie personenbezogener Daten ist im arbeitsgerichtlichen Verfahren nur berücksichtigungsfähig, wenn dieser hinreichend bestimmt ist. Dies hat das Bundesarbeitsgericht in einer aktuellen Entscheidung herausgestellt. Der Umfang des datenschutzrechtlichen Auskunftsrechts nach Art. 15 DSGVO gerät zunehmend in den Blickpunkt der Arbeitsgerichte. Dies ist nicht verwunderlich. So nutzen etliche Arbeitnehmer den Anspruch – insbesondere auf Zurverfügungstellung einer Kopie der von ihnen verarbeiteten personenbezogenen…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.