JOCHEN BRANDT 1000111 1001010 0100110 01001010101DATENSCHUTZ0001101011 01010110011 01001101001 000101011 001101001 00101010 010011000 001100011 10010101BERATUNG000100110 0110110

00100111 00100111 000101011000 1100110011010010 0101110110110 10000110101TRAINING101

25. SAP/NT Konferenz Neuerungen im Datenschutz

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

Neues zum Fernmeldegeheimnis 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Wann gilt das Fernmeldegeheimnis? • Es gilt immer, wenn der Arbeitgeber die private Nutzung erlaubt oder duldet. • Arbeitnehmer sind dann „Kunden“ und damit Dritte, denen gegenüber der Arbeitgeber ein geschäftsmäßiger Anbieter ist. • Wirtschaftliche Bedingungen spielen dabei keine Rolle. • Bei E-Mails endet das Fernmeldegeheimnis aber immer dann, wenn der Arbeitnehmer Verfügungsgewalt über die E-Mail hat. 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

6

Neues zum Fernmeldegeheimnis 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Warum ist das Fernmeldegeheimnis wichtig? • Sobald das Fernmeldegeheimnis gilt, gelten gleichzeitig strengere Bedingungen für den Arbeitgeber. • Falls private und geschäftliche E-Mails nicht getrennt sind, darf der Arbeitgeber nicht ohne weiteres auf alle E-Mails zugreifen. • Auch die Verbindungsnachweise oder Protokolle der Internetnutzung sind dann geschützt. • Verstöße gegen das Fernmeldegeheimnis werden strenger geahndet als Verstöße gegen den Datenschutz 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

7

Informationen zum Fernmeldegeheimnis Art. 10 Grundgesetz, Fernmeldegeheimnis: Das Fernmeldegeheimnis ist laut GG unverletzlich. Dieser Schutz hat somit Verfassungsrang. Beschränkungen können nur aufgrund eines Gesetzes angeordnet werden. Umgesetzt wird das Fernmeldegeheimnis im § 88 Telekommunikationsgesetz (TKG). Dem Fernmeldegeheimnis unterliegen nicht nur den Inhalt der Kommunikation, sondern auch die näheren Umstände (Beteiligte und erfolglose Verbindungsversuche). Das Fernmeldegeheimnisses hat hohe Bedeutung: Der Bruch des Fernmeldegeheimnisses ist mit hohen Freiheitsstrafen belegt (§ 206 StGB). Anders als beim BDSG werden Verstöße nicht nur auf Antrag verfolgt. Dieses hohe Risiko sollte zu einem äußerst vorsichtigen Umgang mit den Daten führen, die dem Fernmeldegeheimnis unterliegen. Auch die Anforderungen an die organisatorischen Schutz dieser Daten ist sehr hoch (§ 109 TKG) Eingeschränkt wird das Fernmeldegeheimnis aber durch ein Urteil des Bundesverfassungsgerichtes vom 02.03.2006. Nach diesem Urteil unterliegen Daten, die sich im Machtbereich des Betroffenen befinden nicht mehr dem Fernmeldegeheimnis. E-Mails auf der eigenen Festplatte stehen beispielsweise nicht mehr unter dem Schutz des Fernmeldegeheimnisses.

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 2 von 20

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

Folgende Konstellationen sind möglich: 1.

Der Arbeitgeber erlaubt oder duldet private Kommunikation Ist dies der Fall, so unterliegt erst einmal die gesamte private Nutzung dem Schutz von TKG und TMG. Gibt es keine organisatorische oder technische Trennung zwischen privater und dienstlicher Nutzung so unterliegen alle erfassten Daten den Schutzbestimmungen.

2.

Der Arbeitgeber untersagt jede private Kommunikation streng Hier gelten TKG und TMG nicht.

3.

Der Arbeitgeber erlaubt private Kommunikation, schafft aber eine strenge organisatorische Abgrenzung zwischen privater und geschäftlicher Nutzung Dann werden die Bereiche unterschiedlich behandelt. Der private Bereich unterliegt dem TKG und dem TMG, der geschäftliche nicht.

4.

Der Arbeitgeber erlaubt die private Nutzung und wird so Provider. Allerdings lässt er sich im Gegenzug Kontroll- Speicher- und Zugriffsrechte einräumen Durch die Einwilligung der Betroffenen werden so Kontrollen möglich. Dies Vorgehen wird von den Aufsichtsbehörden empfohlen.

Datenschutz mit dem Arbeitgeber als Provider: Hier gilt also das Fernmeldegeheimnis, folglich dürfen Verbindungsnachweise nur zur Gebührenberechnung und zur Sicherung des ordnungsgemäßen Betriebes der Anlagen erhoben werden. Diese Daten sind dann auch kurzfristig zu löschen (spätestens nach 6 Monaten). Der Zugriff auf fremde E-Mail-Accounts ist dann verboten, auch im Krankheitsfalle. Auf dem Server des Arbeitgebers unterliegen sie dem Fernmeldegeheimnis. Hat sie der Inhaber des Accounts bereits auf seinen Rechner geladen, unterliegen sie dem BDSG.

Datenschutz wenn der Arbeitgeber kein Provider ist: Prinzipiell gilt in diesem Fall keinerlei Schutz durch das Fernmeldegeheimnis, da der Arbeitnehmer kein Dritter mehr ist sondern Teil der verantwortlichen Stelle. Zum Vergleich: auch Geschäftspost wird regelmäßig von der Poststelle geöffnet und unterliegt nicht dem Briefgeheimnis. Problematisch sind bei persönlichen Accounts, die Rechte der Absender der Mails und dienstliche Mails mit persönlichem Inhalt. So dürfte in diesem Fall beispielsweise die Personalabteilung keine Informationen persönlicher Natur an die Arbeitnehmer schicken. Wie schützen Persönlichkeitsrechte den Arbeitnehmer? Das Recht am persönlich und vertraulich gesprochenen Wort schützt den Arbeitnehmer vor verdeckter Telefonüberwachung ebenso wie vor einer heimlichen Einsichtnahme in E-Mails. Da auch eine „Totalüberwachung“ einen zu großen Eingriff in die Persönlichkeitsrechte darstellt, wäre z.B. eine komplette Protokollierung des Arbeitsablaufes am PC ebenfalls nicht zulässig

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 3 von 20

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

Neues zum Fernmeldegeheimnis 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Ein wichtiges Urteil oder eine Kuriosität? • In einem Urteil wird vom LAG Berlin-Brandenburg die Ansicht vertreten, dass ein Arbeitgeber niemals Anbieter ist. • Dieses Urteil (4.Sa 2132/10 16.02.2011) wird scharf kritisiert, u.a. auch von den Aufsichtsbehörden für Datenschutz. • Trotz dieses Urteils bleibt die bisher geschilderte Rechtslage bestehen. 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

8

Die Entscheidung LArbG Berlin-Brandenburg vom 16.02.2011 Aktenzeichen: 4 Sa 2132/10 Leitsätze 1. Ein Arbeitgeber wird nicht allein dadurch zum Dienstanbieter i.S.d. Telekommunikationsgesetzes, dass er seinen Beschäftigten gestattet, einen dienstlichen E-MailAccount auch privat zu nutzen. 2. Belassen die Beschäftigten bei Nutzung des Arbeitsplatzrechners die eingehenden E-Mails im Posteingang bzw. die versendeten im Postausgang, so unterliegt der Zugriff des Arbeitgebers auf diese Daten nicht den rechtlichen Beschränkungen des Fernmeldegeheimnisses. Kritik am Urteil Das Urteil berücksichtigt unter anderem den Wortlaut des TKG nicht in vollem Umfang. Hier ein Auszug aus dem Urteil: Nach § 3 Ziff. 6 TKG ist „Dienstanbieter“ jeder, der ganz oder teilweise geschäftsmäßig Telekommunikationsleistungen erbringt oder an der Erbringung solcher Dienste mitwirkt. Die Beklagte zu 1) erbringt weder geschäftsmäßig Telekommunikationsleistungen noch wirkt sie an diesen mit. Anmerkung J. Brandt: Hat das Gericht hier die Definition von geschäftsmäßig aus dem TKG berücksichtigt? § 3 Nr. 10 TKG: "geschäftsmäßiges Erbringen von Telekommunikationsdiensten" das nachhaltige Angebot von Telekommunikation für Dritte mit oder ohne Gewinnerzielungsabsicht; ... Außerdem nimmt das Gericht auf die „herrschende Meinung“ Bezug. Diese „herrschende Meinung“ besteht aber lediglich aus einem viel kritisierten Urteil des LAG Niedersachsens. Argumentation für den Betriebsrat Der Betriebsrat sollte den Arbeitgeber darauf hinweisen, dass • Aufsichtsbehörden für den Datenschutz dieses Urteil für kritikwürdig halten, • eine strafrechtliche Bewertung noch aussteht und evtl. Verstöße gegen die §§ 202a StGB (Ausspähung von Daten) und 206 StGB (Verletzung des Post- und Fernmeldegeheimnis) vorliegen könnten. Der Betriebsrat möchte aufgrund dieser unsicheren Rechtslage das Urteil nicht als Grundlage für betriebliche Regelungen verwenden. Zumal hier einzelnen Beschäftigten Gefängnisstrafen drohen könnten.

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 4 von 20

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

Datenverarbeitung im Konzern 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

• Unternehmen werden häufig auf gesplittet: – aus steuerlichen Gründen – aus wirtschaftlichen Gründen – aus organisatorischen Gründen – um die Mitbestimmung zu umgehen? • Dies kann im Steuerrecht und im BetrVG nachvollzogen werden. • Aber nicht beim Datenschutz… 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

10

Datenverarbeitung im Konzern 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

• Für den Datenschutz ist immer die kleinste rechtlich selbstständige Einheit verantwortlich = verantwortliche Stelle. • Konzernstrukturen oder ähnliches werden im BDSG nicht berücksichtigt. • Jede Datenweitergabe an Dritte muss gemäß § 4 BDSG erlaubt sein. Dies gilt also auch innerhalb eines Konzerns. • Nur bei der Datenverarbeitung im Auftrag ist eine Rechtfertigung gemäß § 4 nicht erforderlich (§ 11 BDSG). Hier gelten strenge Bedingungen. 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

11

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 5 von 20

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

Datenverarbeitung im Konzern 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Rechtmäßigkeit der Datenverarbeitung gemäß BDSG Ausgangspunkt § 4 Abs. 1 BDSG

00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

12

Datenverarbeitung im Konzern 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

...und falls der Arbeitgeber die berühmte Frage stellt: Für den Datenschutz, nirgends! Wo steht denn bitte, dass es erlaubt ist ?

Wo steht denn bitte, dass das verboten ist ?

...ist nämlich die entscheidende Frage!

00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

11

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 6 von 20

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

Datenverarbeitung im Konzern 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

…und so muss der Arbeitgeber dem Betriebsrat nachweisen, dass er eine Rechtsgrundlage für die Übermittlung von Beschäftigtendaten zwischen den rechtlich selbstständigen Konzernteilen hat.

00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

14

Datenverarbeitung im Konzern 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Mögliche Rechtsgrundlagen •

Die Einwilligung des Betroffenen (Fragwürdig bei Arbeitnehmern).



Ein entsprechendes Bundesgesetz bzw. eine Verordnung.



Eine Erlaubnis aus dem § 28 Abs. 1 Nr. 2 BDSG nach einer Abwägung. Diese Lösung wird zur Zeit von einigen Aufsichtsbehörden generell in Zweifel gezogen.



Eine Erlaubnis aus § 32 Abs. 1 BDSG. (Rechtslage noch nicht geklärt wahrscheinlich nur in Ausnahmen möglich).



Eine Betriebsvereinbarung, die aber die Datenschutzrechte der Arbeitnehmer wahrt.

00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

15

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 7 von 20

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

Datenverarbeitung im Konzern 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Ausnahme: Datenverarbeitung im Auftrag • Sie ist eine Hilfsfunktion für die Erfüllung der Aufgaben und Geschäftszwecke der verantwortlichen Stelle. • Der Auftraggeber bleibt voll für die Daten verantwortlich. • Der Auftraggeber ist gegenüber den Betroffenen weiterhin verantwortlich. • Der Auftragnehmer hat die Daten von den Daten anderer Auftraggeber streng zu trennen. • Eine gemeinsame Verarbeitung mit den Daten anderer Konzernteile ist selbstverständlich auch nicht zulässig. 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

16

Datenverarbeitung im Auftrag Hier bleibt die verantwortliche Stelle weiterhin für die Datenverarbeitung verantwortlich. Die Möglichkeit einer Datenverarbeitung im Auftrag beschränkt sich nicht nur auf Konzerne, auch andere Anbieter können diese Aufgabe übernehmen. Bei der Datenverarbeitung im Auftrag handelt es sich lediglich um die Übergabe einer Teilaufgabe an einen Dritten. Beispiele: Daten werden von einem anderen Unternehmen als Backup gespeichert oder komplexe Berechnungen laufen in einem externen Rechenzentrum, da die Kapazität der eigenen Rechner nicht ausreicht. Pflichten bei Datenverarbeitung im Auftrag: Der Auftraggeber bleibt Herr der Daten. Der Auftraggeber muss dem Auftragnehmer detaillierte Anweisungen für die Abarbeitung geben. Der Auftragnehmer ist, rechtlich betrachtet, kein Dritter, sondern quasi Bestandteil der Firma des Auftraggebers. Der Auftraggeber hat dafür zu sorgen, dass die Verarbeitung ordnungsgemäß abläuft. Er haftet weiterhin dem Betroffenen gegenüber. Das BDSG gibt einige konkrete Anforderungen, die die Verträge zur Datenverarbeitung im Auftrag erfüllen müssen (siehe § 11 Abs. 2). Hier kann der Betriebsrat die Erfüllung dieser Anforderungen kontrollieren. Der Auftragnehmer nichts anderes mit den Daten machen darf als der Auftraggeber. Daher dürfen bei einer Auftragsdatenverarbeitung innerhalb eines Konzerns, die Daten der einzelnen Konzernunternehmen nicht miteinander verknüpft werden, solange personenbezogene Daten betroffen sind. Hinweis: Unter Umständen ist auch eine Fernwartung als Datenverarbeitung im Auftrag zu bewerten (§ 11 Abs. 5 BDSG).

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 8 von 20

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

Datenverarbeitung im Konzern 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Ist das Thema nicht etwas abstrakt? • Daten werden der Kontrolle der Betroffenen entzogen. • Auch der örtliche Betriebsrat verliert die Kontrolle • Durch die Konzernverflechtung ist der Zugriff durch den Arbeitgeber aber weiterhin gesichert. • Die vor Ort ordentlich getrennten Daten, können im Konzern verbunden werden. • Durch das Verteilen der Verarbeitung kann es zu einer unklaren Verantwortlichkeit kommen. • Durch eine Auslandsbeteiligung werden die Probleme natürlich vergrößert (schwächerer Datenschutz und kein BetrVG). 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

17

Datenverarbeitung im Konzern 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Was kann der Betriebsrat erreichen? • Sobald der Betriebsrat die Verflechtungen der Datenverarbeitung im Konzern kontrolliert, verhindert er zunächst einmal Wildwuchs. • Durch die eben geschilderte unklare Rechtslage hat der Betriebsrat gute Argumente gegen eine konzernübergreifende Datenverarbeitung. • Die rechtlich sicherste Lösung ist zurzeit eine Betriebsvereinbarung. • So hat der Betriebsrat schon einmal den Fuß in der Tür… 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

18

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 9 von 20

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

GPS als Überwachungstool? 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

GPS - Global Positioning System Die Möglichkeit Fahrzeuge oder andere Geräte, sogar Handys zu verfolgen ist nützlich: • Beim Diebstahl der Geräte. • Um Außeneinsätze zu koordinieren. • Aber eben auch um Mitarbeiter zu kontrollieren. Wie kann der Betriebsrat hier argumentieren? 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

20

GPS als Überwachungstool? 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

• GPS aber auch jedes andere Ortungssystem nimmt dem Außendienstler, egal ob Techniker oder Vertriebler, ein Stück Freiheit. • Zunächst lässt sich zeitnah feststellen, wann er wo ist. Problematischer aber ist die Möglichkeit die Fahrten und Aufenthaltsorte auf lange Sicht zu dokumentieren. • Letztendlich lässt sich der Kollege mit der Frage konfrontieren: • Wo waren Sie am 23.03.2012 um 10:30 Uhr? 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

21

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 10 von 20

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

GPS als Überwachungstool? 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Es stellt sich also die Frage: • Was darf der Arbeitgeber wissen? • Wie immer im Datenschutz und bei der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG geht es um eine Interessenabwägung. • Also stehen die wirtschaftlichen Interessen des Arbeitgebers, dem Recht des Arbeitnehmers gegenüber, dem Arbeitgeber einen möglichst geringen Einblick in sein Verhalten zu erlauben. 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

22

GPS als Überwachungstool? 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Arbeitgeberinteressen

Arbeitnehmerinteressen

00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

20

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 11 von 20

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

GPS als Überwachungstool? 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Was sagen die Aufsichtsbehörden: Aus dem Tätigkeitsbericht 2010 des ULD Schleswig Holstein ... „Bei der Gestaltung der Betriebsvereinbarung war darauf zu achten, dass die Daten nicht für eine Leistungs- und Verhaltenskontrolle der Beschäftigten eingesetzt würden. Ein zulässiger, weil gesetzlich vorgesehener Zweck ist das Führen des elektronischen Fahrtenbuches. Als berechtigt anerkannt und in der Betriebsvereinbarung geregelt wurden die Einsatzkoordinierung für den Notfall (Notrufleitanbindung und Störungseinsatzsteuerung) sowie die Sicherung des Eigentums (Diebstahlschutz). Für diese Zwecke ist jedoch nur die kurzfristige und nicht dauerhafte Erfassung des Aufenthaltsortes des Fahrzeuges und keine Erhebung von Betriebsdaten erforderlich.“... 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

24

GPS als Überwachungstool? 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Was sagen die Aufsichtsbehörden: Aus dem Tätigkeitsbericht 2010 des ULD Schleswig Holstein... „Die Betriebsvereinbarung war um die folgenden Punkte zu ergänzen: • die Installation einer technischen Einrichtung zur Begrenzung der Datenerhebung während der Privatfahrten („Privat-Schalter“), • die Nennung der zugriffsberechtigten Personen anhand des Zwecks des Einsatzes des Systems und die Pflicht zur restriktiven Vergabe der Zugriffsrechte, • die Begrenzung der Speicherfristen auf das für den jeweiligen Zweck erforderliche Maß und • die Pflicht zur Aggregierung der erhobenen Daten mit dem Ziel der Vermeidung einer Profilbildung“. 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

25

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 12 von 20

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

GPS als Überwachungstool? 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Worauf soll der Betriebsrat achten: • Kurze Speicherdauer • Möglichst wenig Daten erheben • Genaue Definition der erlaubten Daten • Verbot der Leistungs- und Verhaltenskontrolle • Beweisverwertungsverbot • Kontrollrechte für den Betriebsrat 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

26

Welche Fragen könnte der Betriebsrat (sich) stellen: Welcher Zweck soll der GPS Einsatz erfüllen? Welche technischen Möglichkeiten haben die eingesetzten Geräte? Welche Daten sollen wofür verwendet werden? Welche Erlaubnis im Sinne des § 4 BDSG gibt es für die Verwendung der Daten? Gibt es Möglichkeiten den Zweck mit weniger Daten zu erreichen? Wer soll Zugriff auf die Daten erhalten? Welche Kontrollmöglichkeiten ergeben sich?

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 13 von 20

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

Verhandlungsziele für den Betriebsrat: Verbot Leistungs- und Verhaltenskontrolle Beweisverwertungsverbot bei Verstößen gegen die Betriebsvereinbarung Genaue Festlegung der erfassten Daten. Genaue Definition der Zwecke wofür die Daten erhoben werden. Beispielsweise: Auffinden gestohlener Fahrzeuge, Koordination des täglichen Ablaufs und Organisation von Notfalleinsätzen. Ein umfassendes Berechtigungskonzept in dem festgelegt wird wer zu welchem Zweck Zugriffsrechte bekommt. Die Speicherdauer sollte so kurz wie möglich sein und den genannten Zwecken entsprechen. Beispielsweise müssen Daten, die der täglichen Koordination dienen am nächsten Tag gelöscht werden. Sollten Speicherzeiten von mehr als einer Woche aus zwingenden Gründen unvermeidbar sein, sollte nach Regelungen gesucht werden, die Zugriffe nur im Ausnahmefall erlauben. Falls die private Nutzung erlaubt ist muss die Möglichkeit bestehen das GPS ab zu schalten. Es sollte erkennbar sein ob das GPS aus oder eingeschaltet ist. Kurze und genau festgelegte Löschfristen. Daten, die länger gespeichert werden sollten möglichst anonymisiert werden, oft reichen auch statistische Daten aus. Notfalls kann auch eine Pseudonymisierung vorgenommen werden.

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 14 von 20

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

Datenschutz goes EU 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Verordnung statt Richtlinie – ein wichtiger Unterschied •

Eine Verordnung wirkt direkt, sie bedarf keiner Umsetzung in nationales Recht.



Eine EU Richtlinie muss in nationales Recht umgesetzt werden, sie wirkt nicht direkt.



Eine Verordnung würde also das BDSG ablösen.



Nationale Regelungen wären nur in den Bereichen zulässig, bei denen die EU-Verordnung eine Öffnungsklausel vorsieht, beispielsweise im Beschäftigungsverhältnis

00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

28

Datenschutz goes EU 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Welchen Weg geht eine Verordnung? • Es gibt drei Akteure: EU-Kommission, EU-Parlament und den Ministerrat. • Die Eu-Kommission legt Entwurf einer Verordnung vor. • EU-Parlament und der Ministerrat müssen dieser Verordnung zustimmen. • Hier sind komplizierte Verhandlungen erforderlich. • Schon im Ministerrat müssen die Interessen von 27 Regierungen unter einen Hut gebracht werden. • Auch Regierungen von Drittstaaten und Lobbyverbände versuchen Einfluss zu nehmen. 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

29

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 15 von 20

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

Datenschutz goes EU 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Zum zeitlichen Hintergrund • Im November 2011 wurden auf einer Tagung erstmals einer breiteren Öffentlichkeit Grundzüge einer Datenschutzverordnung der EU vorgestellt. • Am 24.01.12 ist der erste Entwurf einer Datenschutzverordnung der EU veröffentlicht worden. • Seit dem wird diese Verordnung diskutiert und auch bei Kritik im Einzelnen grundsätzlich begrüßt. • Die Verordnung soll vermutlich im Jahr 2014 in Kraft treten und zwei Jahre später Anwendung finden. 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

30

Datenschutz goes EU 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Vier Highlights für Betriebsräte •

Die Einwilligung im Arbeitsverhältnis wird ausgeschlossen.



Nationale Kompetenz für den Arbeitnehmerdatenschutz.



Stärkung des organisatorischen und technischem Datenschutzes.



Datenschutz by Default.

00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

31

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 16 von 20

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

Datenschutz goes EU 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Vier Lowlights für Betriebsräte •

One Shop Stop.



Vereinfachung der Datenverarbeitung im Konzern.



Die starke Stellung der EU Kommission.



Schwächung des betrieblichen Datenschutzbeauftragtem.

00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

32

Datenschutz goes EU 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Zusammenfassung •

Es gibt in dem Entwurf sehr gute Ansätze



Aber auch Schwachpunkte



Der Druck, den Entwurf weiter zu verschlechtern ist stark



Also ist es nötig Gegendruck auf zu bauen…

00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

33

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 17 von 20

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

Zur EU Datenschutzverordnung ein Artikel aus Computer und Arbeit 3/2012 S. 25 f

Viel Licht und viel Schatten – die geplante EU-Verordnung zum Datenschutz Ende Januar hat die EU-Justizkommissarin Viviane Reding den Entwurf für eine EUDatenschutzverordnung vorgestellt. Die CuA hat hierüber in der Ausgabe 2/2012 berichtet.1 Natürlich ist zu erwarten, dass sich im Laufe der Verhandlungen zu dieser umfassenden Reform noch etwas ändert. Sollte die Verordnung der Europäischen Union im Jahre 20162 jedoch so in Kraft treten, wäre im deutschen Datenschutz nichts mehr, wie es war. Warum dies so ist und von welchen Änderungen Betriebs- und Personalräte besonders betroffen sind, erklärt dieser Beitrag. Im Gegensatz zu einer EU-Richtlinie bedarf eine Verordnung der Europäischen Union keiner Umsetzung in nationales Recht. EU-Verordnungen gelten also in jedem Mitgliedsstaat direkt. Abweichungen auf nationaler Ebene sind nicht zulässig. Es sei denn, dass so etwas in der Verordnung ausdrücklich geregelt ist. In letzter Konsequenz würden damit praktisch alle deutschen Normen zum Datenschutz unwirksam. Folgen soll übrigens noch eine extra EUVerordnung für Polizei und Staatsanwaltschaften. Wer den Entwurf in die Hand nimmt, wird zunächst von seinem Umfang überwältigt. In 91 Artikel und 139 Erwägungsgründen soll der europäische Datenschutz geregelt werden.3 Es gibt zahlreiche positive Ansätze und so begrüßt der Bundesdatenschutzbeauftragte Peter Schaar, diesen Entwurf prinzipiell; macht aber auch Verbesserungsbedarf geltend.4 Tatsächlich gibt es viel Positives aber auch viel Negatives zu entdecken. Hier einige wichtige Punkte aus Sicht der Interessenvertretungen.

Das Positive zuerst Wichtig ist der Ansatz, dass durch die Verordnung datenschutzfreundliche Strukturen geschaffen werden sollen. So muss der für die Verarbeitung Verantwortliche - aus Sicht der Belegschaftsvertretungen also der Arbeitgeber - Verfahren einrichten, die sicherstellen, dass Betroffene ihre Rechte - vor allem ihre Informationsrechte - wahren können. Der Arbeitgeber muss durch die Anwendung datenschutzfreundlicher Technik sicherstellen, dass die Rechte der Betroffenen gewahrt bleiben. Ebenso gibt es eine Anforderung, datenschutzfreundliche Voreinstellungen zu wählen. Diese drei Pflichten geben den Interessenvertretern die Möglichkeit, im Rahmen ihrer Kontrollrechte auf die Umsetzung dieser Punkte zu drängen. Hier sind die Anforderungen deutlich präziser gefasst als im Bundesdatenschutzgesetz (BDSG). In eine ähnliche Richtung zielt auch die Pflicht, bei vielen Verarbeitungen eine Risikoabschätzung vor der Inbetriebnahme eines Systems durchzuführen. Diese Risikoabschätzung wäre für Betriebs- und Personalräte eine gute Informationsquelle, beispielsweise bei Verhandlungen über Betriebs- bzw. Dienstvereinbarungen. Positiv aus Arbeitnehmersicht dürfte die strenge Regelung zur Einwilligung sein. Hier wird die Möglichkeit zur Einwilligung immer ausgeschlossen, wenn ein Machtgefälle zwischen der verarbeitenden Stelle und dem Betroffenen besteht. Hieraus lässt sich folgern, dass eine Einwilligung niemals eine Rechtsgrundlage für eine Datenverarbeitung im Beschäftigungsverhältnis darstellen kann. Außerdem gibt es in vielen Punkten strengere Einzelregelungen, beispielsweise werden die Bußgelder drastisch erhöht.

1

Siehe CuA 2/2012, 35 Man rechnet mit einer Verabschiedung im Jahre 2014; danach ist eine Übergangsfrist von etwa zwei Jahren geplant 3 http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_de.pdf 2

4

www.bfdi.bund.de/DE/Oeffentlichkeitsarbeit/Pressemitteilungen/2012/EUDatenschutzPaket.html?nn=40 8920

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 18 von 20

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

Das Negative folgt zugleich Trotz der zahlreichen Fortschritte, die durch diese Verordnung gemacht werden, gibt es gerade aus deutscher Sicht deutliche Rückschritte. Betriebliche Datenschutzbeauftragte Da ist zunächst der betriebliche Datenschutzbeauftragte zu nennen. Zwar wird er nun europaweit eingeführt, die Schwelle, an der eine Ernennung erforderlich ist, wird aber von zehn (bisher so im BDSG geregelt) auf 250 Mitarbeiter in der EU-Verordnung angehoben. In Deutschland bedeutet dies, dass nur 0,3% aller Unternehmen einen Datenschutzbeauftragten benötigen. Viele „datenintensive“ Branchen würden so fast komplett ohne einen Datenschutzbeauftragten auskommen. Dies gilt für viele Auftragsdatenverarbeiter aber auch für Call-Center. Bei der letzten deutlich moderateren Anhebung des Schwellenwerts von 5 auf 10 Mitarbeiter wurde leider die Erfahrung gemacht, dass oft die Folgerung „ohne Datenschutzbeauftragten brauchen wir uns auch nicht an die Datenschutzregeln zu halten“ gezogen wurde. Fast noch schwerwiegender, im Zusammenhang mit dem betrieblichen Datenschutzbeauftragten ist eine andere Tatsache: Laut EU-Verordnung soll dieser nur eine Amtszeit von zwei Jahren haben, da wird jeder Kündigungsschutz zur Farce. Dies ist eine erhebliche Schwächung gegenüber dem im BDSG bestehenden Kündigungsschutz. Hier bedarf es Heldenmut, sich mit dem Arbeitgeber über Datenschutz zu streiten. Spätestens nach zwei Jahren gibt es dann die Quittung, die Bestellung wird nicht verlängert und über kurz oder lang ist dann eine Kündigung möglich. Damit verliert der Datenschutzbeauftragte seinen Schutz sowie ein Stück Unabhängigkeit und die Interessenvertreter unter Umständen einen Verbündeten oder Berater. Eine Neigung zur Zusammenarbeit mit der Interessenvertretung wird durch die wieder erhöhte Abhängigkeit sicher nicht befördert. One shop one stop Eine weitere Verschlechterung ergibt sich aus dem dringenden Wunsch, den Datenschutz für die Unternehmen einfacher zu gestalten. Deshalb soll ein Konzern mit mehreren Unternehmen in Europa nur eine Aufsichtsbehörde als Ansprechpartner haben. Sie soll alle den Konzern betreffenden Entscheidungen fällen. Grundsätzlich soll es immer die Aufsichtsbehörde sein, in deren Land die Konzernleitung ihren Sitz hat. Dies führt dazu, dass es für die Betroffenen in anderen Ländern schwieriger wird, ihre Rechte gegenüber dem Konzern geltend zu machen. Zwar können sie sich bei „ihrer“ Aufsichtsbehörde - also aus ihrem Land - beschweren, aber da diese Aufsichtsbehörde keine echten Befugnisse bei diesem Konzern hat, wird sie wohl zum zahnlosen Tiger werden. Es gibt zwar zahlreiche und komplizierte Regelungen zur Zusammenarbeit und der fachlichen Abstimmung mit den Aufsichtsbehörden. Die Wirksamkeit solcher Verfahren wird jedoch abzuwarten sein. Eine Verschlechterung des Schutzes ist also durchaus wahrscheinlich. An dieser Stelle wird aus Gründen der Praktikabilität die Umsetzung der Grundrechte deutlich erschwert. Mithin stellt die Verordnung den Datenschutz hier von den Füssen auf den Kopf: Nicht mehr der Schutz des Betroffenen, sondern die einfache Handhabung für den Datenverarbeiter ist das Primäre. Auch für die Interessenvertretungen hat diese Regelung negative Folgen. In vielen Fällen führt nun eine Behörde die Aufsicht, der die deutsche Mitbestimmungskultur fremd ist. Bisher hatten die deutschen Aufsichtsbehörden auch immer einen Blick auf betriebliche Vereinbarungen und die Wahrung der Mitbestimmungsrechte. Dies wird nun eher seltener zu erwarten sein. Auch ein zu beachtender negativer Punkt: Die EU-Datenschutzverordnung wird die Datenverarbeitung im Konzern erheblich erleichtern, es wird eine Art Konzernprivileg geben. Auch Regelungen für eine gemeinsame Datenverarbeitung unabhängig vom Konzernzusammenhang wird erleichtert. Diese beiden Punkte werden es den Belegschaftsvertretungen erheblich erschweren, die Übersicht zu behalten, wo welche Beschäftigtendaten verarbeitet werden. Gerade die strenge Regelung der Übermittlung von Daten in andere Konzernteile hat den Interessenvertretern die Möglichkeit gegeben, Einfluss zu nehmen.

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 19 von 20

000101011 001101001 00101010 010011000Brandtschutz1001010100 0101011000 001101001 01010001010 00100111 000101011000 110010110010 0101110110110100110101Jochen Brandt101000 01000111

Ein bisschen deutsches Recht ist doch möglich … Die EU-Verordnung erlaubt nationale Regelungen für den Beschäftigtendatenschutz. Ein Beschäftigtendatenschutzgesetz wäre also möglich. Unser Gesetzgeber kann sich folglich nach seinen - bisher eher misslungenen - Versuchen nicht auf die EU-Verordnung zurückziehen. Allerdings gibt es auch hier eine Einschränkung: Die EU-Kommission erhält das Recht, selbst Verordnungen zum Beschäftigtendatenschutz zu erlassen. Sie würden dann das nationale Recht wieder beschränken. Noch ist allerdings das letzte Wort nicht gesprochen. Die Verhandlungen zwischen den Regierungen, aber auch im EU-Parlament, haben jetzt erst begonnen. Hoffen wir auf Verbesserungen. Autor Jochen Brandt, Diplom-, Wirtschafts- und Arbeitsjurist (HWP), arbeitet als selbstständiger Datenschutztrainer und -berater für Betriebsräte; [email protected], www.brandtschutz.de

Und Tschüss… 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

Bei Fragen stehe ich gerne zur Verfügung Jochen Brandt [email protected] Bitte nehmen Sie bei Fragen Bezug auf diese Veranstaltung. 00100111 00100111 000101011000 1100110011010010 0101110110110 10001101011010 00101011 001101001 00101010 010011000 001100011 00100111 00101011000 10010

25. SAP/NT Konferenz - Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

34

001000 1000111 111100 1110011010110 111001111 0000000011110 00010 001000100 11101001001 01100010011 10010 0110001000

Neuerungen im Datenschutz © Jochen Brandt / Email: [email protected]

Seite 20 von 20