open search
close
Datenschutz

Datenschutz-Folgenabschätzung, Teil 1: Wozu braucht man das als Arbeitgeber?

Print Friendly, PDF & Email

Schon der Begriff liest sich umständlich und schwer aussprechbar: Datenschutz-Folgenabschätzung. Dennoch ist das ein Verfahren, welches für Arbeitgeber künftig eine erhebliche Rolle spielen wird. Das gilt umso mehr angesichts der in anderen EU-Ländern bereits veröffentlichten Black Lists für Verarbeitungsprozesse, bei denen eine solche Folgenabschätzung künftig zwingend vorgeschrieben sein wird. Diese Listen umfassen etwa im Fall der jüngst erschienen polnische Liste Verfahren, die am Arbeitsplatz häufig durchgeführt werden, wie beispielsweise eine automatische Arbeitszeiterfassung oder eine Überwachung der Nutzung von Informationstechnologie und E-Mails.

Die neue gesetzliche Regelung

Die Datenschutz-Folgenabschätzung entspricht der bereits nach jetzigem und bald bisherigem Recht erforderlichen sogenannten Vorabkontrolle, § 4d Abs. 5 BDSG, bei der Verarbeitung sensibler Daten. Der Anwendungsbereich ist allerdings vergrößert, und hat angesichts der nun bestehenden Dokumentationspflicht für Arbeitgeber und den erheblichen Sanktionen nach Art. 83 Abs. 4 a Datenschutzgrundverordnung (DS-GVO) erheblich an Bedeutung gewonnen. Nach der künftigen Rechtslage ist eine Folgenabschätzung immer dann durchzuführen, wenn „eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, auf Grund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge“ haben wird, Art. 35 Abs. 1 S. 1 DS-GVO. Das ist nach dem weiteren Wortlaut der Verordnung insbesondere in folgenden Fällen erforderlich:

1. Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

2. Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gem. Art. 9 Abs. 1 DS-GVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DS-GVO oder

3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (Art. 35 Abs. 3 DS-GVO).

Das Gesetz sieht ferner vor, dass die Aufsichtsbehörde eine sogenannte Black List von Verarbeitungsvorgängen zu erstellen hat, für die eine Folgenabschätzung durchzuführen ist, und das diese Liste zu veröffentlichen ist. Daneben besteht die Möglichkeit sogenannte White Lists zu erstellen (Art. 35 Abs. 4, 5 DS-GVO).


Listen der belgischen und der polnischen Datenschutzbehörden – Orientierung auch für deutsche Arbeitgeber

Eben dies haben in der jüngsten Zeit die belgische Datenschutzbehörde und zuletzt die polnische Datenschutzbehörde getan.

Nur der Vollständigkeit halber sei daraufhin gewiesen, dass auch die sogenannte EU Art. 29 Working Party bereits im April 2017 eine Stellungnahme zu Folgenabschätzungen veröffentlicht hat. Schon im Mai 2016 wurde ein sogenanntes Whitepaper zur Datenschutz-Folgenabschätzung des unabhängigen Landeszentrums für Datenschutz in Schleswig-Holstein (ULD) und weiterer deutscher Experten veröffentlicht.

Die polnische Black List, die in einer nicht-offiziellen Übersetzung ins Englische verfügbar ist, nennt unter anderem folgende Fälle, für die eine Folgenabschätzung erforderlich ist:

  • Systems for monitoring work time and information flow in tools years by employees (e. g. in E-Mail or in the internet)
  • Work time monitoring systems; entrance control systems for specific rooms processing biometric data of (clients or) employees in order to identify or verify an individual in access control systems
  • Services offering jobs that match offers to specific preferences of employers
  • Whistleblowing systems (zitiert nach klattorneys.pl)

Ganz anders liest sich die Veröffentlichung der belgischen Datenschutzbehörde vom 28.02.2018. Sie enthält eine Black List für Fälle, in denen eine Folgenabschätzung erforderlich ist (Seite 42 ff.) sowie eine White Liste für Fälle, in denen keine Folgenabschätzung erforderlich ist (S. 46 ff.) darin sind die folgenden Verfahren genannt:

  • Verfahren unter Nutzung von biometrischen Daten zur Identifikation von betroffenen Personen, die sich an einem öffentlichen oder öffentlich zugänglichen Ort befinden
  • Verwendung von sensiblen Daten für einen anderen Zweck als denjenigen, für den sie zunächst erhoben wurden außer im Falle einer Einwilligung oder um einer rechtlichen Verpflichtung zu genügen
  • Verwendung von sensiblen Daten oder von sehr persönlichen Daten außerhalb der Liste des Art. 9 DS-GVO (genannt sind als Beispiele Armut, Arbeitslosigkeit, aber auch private oder häusliche Aktivitäten und Ortsdaten, sofern diese systematisch unter verschiedenen Datenverantwortlichen geteilt werden)
  • Systematische Auswertung von Telefondaten und sonstigen Kommunikationsdaten, Metadaten oder Ortsdaten über einzelne Personen, oder Rückschluss auf diese ermöglichend (übersetzt v. Verf.)

Keine Folgenabschätzung ist hingegen für die in der White List genannten Fälle erforderlich, unter anderem:

  • Verarbeitung personenbezogener Daten, die erforderlich ist, um Gehälter an eigene Angestellte oder freie Mitarbeiter zu überweisen, sofern die Daten nur hierfür verwendet werden, nur an die hierfür zuständigen Personen übermittelt werden und nicht länger als nötig gespeichert werden
  • Verarbeitung von personenbezogenen Daten im Rahmen der Personalverwaltung für Angestellte oder freie Mitarbeiter, sofern sich die Verarbeitung nicht auf Gesundheitsdaten erstreckt, oder auf andere sensible Daten, auf Verurteilungen oder auf Daten, die eine persönliche Bewertung zum Zweck haben, und wenn die Daten nicht länger gespeichert werden als für die HR-Datenverarbeitung erforderlich und nur im Rahmen rechtlicher Verpflichtungen. (übersetzt v. Verf.)

Für deutsche Arbeitgeber sind diese Veröffentlichungen nicht unmittelbar bindend. Sie geben aber einen guten ersten Einblick , was auch von Seiten der deutschen Behörden zu erwarten ist. Arbeitgeber, die sich auf die Anwendbarkeit der neuen Rechtslage vorbereiten, tun also gut daran, bereits jetzt eine Folgenabschätzung etwa für elektronische Zeiterfassung, Whistleblowing-Systeme oder andere Systeme der intensiven und dauerhaften Überwachung am Arbeitsplatz durchzuführen.

Ein Beitrag dazu, wie eine Folgenabschätzung im ersten, internen Schritt nach Art. 35 DS-GVO und ggf. im zweiten Schritt bei Konsultation der Behörde gemäß Art. 36 DS-GVO durchzuführen ist, folgt in Kürze auf diesem Blog.

Dr. Jessica Jacobi 

Rechtsanwältin
Fachanwältin für Arbeitsrecht
Partner
Dr. Jessica Jacobi ist seit 2003 Partnerin der Sozietät. Gemeinsam mit ihrem Team berät sie nationale und internationale Arbeitgeber in allen Fragen des deutschen Arbeitsrechts, wie z.B. bei der Reorganisation von Unternehmen, bei Massenentlassungen und in schwierigen Individualstreitigkeiten inklusive interner Ermittlungen. Sie ist ein aktives Mitglied der International Practice Group für Data Privacy bei unserem internationalen Kanzleinetzwerk Ius Laboris und berät häufig z.B. bei der Einführung neuer technischer Systeme und deren Verhandlung mit dem Betriebsrat, bei Auskunftsansprüchen von Arbeitnehmern nach Art. 15 DS-GVO und bei internationalen Datenübertragungen. Sie ist Autorin einer Vielzahl von Veröffentlichungen und tritt regelmäßig als Referentin auf. Sie ist Mitglied der Fokusgruppe "Datenschutz".
Verwandte Beiträge
Datenschutz Neueste Beiträge

Datenschutzrechtlicher Anspruch auf Entfernung einer Abmahnung aus der Personalakte

Datenschutzrechtliche Fragestellungen gewinnen im Rahmen arbeitsrechtlicher Auseinandersetzungen in der Praxis weiter an Bedeutung. Gestritten wird vor allem um die Reichweite und Grenzen des Auskunftsanspruchs nach Art. 15 DS-GVO. Die Entwicklungen rund um andere im Datenschutzrecht verankerte Betroffenenrechte sollte dabei jedoch nicht aus den Augen gelassen werden. Im Zusammenhang mit dem Entfernungsanspruch einer Abmahnung aus der Personalakte wird in der Instanzgerichtsbarkeit derzeit virulent die Anwendbarkeit der…
Datenschutz Neueste Beiträge Video

Datenübertragungen in die USA wieder möglich?

Die EU-Kommission hat am 10. Juli 2023 das EU-US Data Privacy Framework akzeptiert. Die Entscheidung setzt – hoffentlich – der Unsicherheit ein Ende, die nach den „Schrems I“- und „Schrems II“-Entscheidungen des EuGH aus 2015 bzw. 2020 geherrscht hat. Europäische und deutsche Arbeitgeber haben nun eine sichere Rechtsgrundlage für die Übertragung von Arbeitnehmer- und anderen Daten in die USA. Das betrifft auch den Einsatz von…
Mitbestimmung Neueste Beiträge

Mitbestimmung bei IT-Systemen: Voraussetzung des zwingenden Personenbezugs!?

Der Betriebsrat hat ein Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen ( § 87 Abs. 1 Nr. 6 BetrVG). Nach ständiger Rechtsprechung des BAG reicht es aus, dass die technische Einrichtung dazu „objektiv geeignet“ ist. Dies führt dazu, dass in der betrieblichen Praxis nahezu jedes IT-System der Mitbestimmung unterliegt, bisweilen…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert