Mehr lesen
Am 25. Mai 2018 trat die EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft. Sie gilt in der gesamten EU und bringt nicht nur eine Vereinheitlichung, sondern auch eine deutliche Verschärfung des europäischen Datenschutzrechts mit sich. Dies stellt Unternehmen vor die Herausforderung, innerhalb kurzer Zeit interne Prozesse und Datenschutz-Funktionen an das neue Recht anzupassen. Angesichts erhöhter Anforderungen, Bußgelder und Haftungsrisiken ist dabei große Sorgfalt geboten.
Dieses Buch ist ein Praxisleitfaden zur Umsetzung der Anforderungen der DS-GVO, insbesondere in der Personalarbeit im Betrieb, und zum korrekten Umgang mit personenbezogenen Daten im Unternehmen nach dem reformierten Recht.
Inhalte:
- Beschäftigtendatenschutz rechtssicher umsetzen
- Dokumentations- und Informationspflichten
- Betriebliches Datenschutzmanagement: Konzernprivileg, Arbeitsverträge, Betriebsvereinbarungen
- Minderung von Haftungsrisiken: Sanktionen, Bußgelder und strafrechtliche Konsequenzen
Inhaltsverzeichnis
Einleitung
Neue Aufgaben für HR-Fach- und Führungskräfte
- Besonders betroffen von den neuen Regelungen: das Personalwesen
- Sensibilität im Umgang mit Bewerberdaten
- Aufgaben im laufenden Beschäftigungsverhältnis
- Aufgaben nach Beendigung des Beschäftigungsverhältnisses
- Zur Rolle des Betriebsrats
- Instruktion von Mitarbeitern
Der Datenschutzbeauftragte- Die Pflicht zur Benennung eines Datenschutzbeauftragten
- Benennung und Abberufung eines Datenschutzbeauftragten
- Anforderungen an den Datenschutzbeauftragten
- Die Stellung des Datenschutzbeauftragten im Unternehmen
- Aufgaben und Pflichten des Datenschutzbeauftragten
- Alternative Rollen im Unternehmen neben oder statt dem Datenschutzbeauftragten
- Musterschreiben: Benennung eines Datenschutzbeauftragten
Dokumentationspflichten und das Verarbeitungsverzeichnis- Die Nachweis- und Dokumentationspflichten in der DS-GVO
- Das Verarbeitungsverzeichnis
- Erstellung und Pflege des Verarbeitungsverzeichnisses
Die Rechte der betroffenen Personen- Informationspflichten
- Individualrechte des Betroffenen zur Sicherung der informationellen Selbstbestimmung
- Das Vorgehen bei Betroffenen-Anfragen
- Musterschreiben und Formulare
Beschäftigtendatenschutz- Begriff und Zweck des Beschäftigtendatenschutzes
- Rechtliche Grundlagen des Beschäftigtendatenschutzes
- Beschäftigtenbegriff
- Begriff der personenbezogenen Daten
- Begriff der Verarbeitung
- Erlaubnistatbestande zur Verarbeitung von Beschäftigtendaten
- Beschäftigtendatenschutz im Bewerbungsverfahren
- Beschäftigtendatenschutz im Arbeitsverhältnis
- Einhaltung der Grundsatze der DS-GVO
- Rechtsfolgen bei Verstosen gegen den Beschäftigtendatenschutz
Einwilligung im Beschäftigungsverhältnis- Rechtliche Grundlagen der Einwilligung im Beschäftigtenverhältnis
- Freiwilligkeit der Einwilligung im Beschäftigtenverhältnis
- Schriftform der Einwilligung
- Pflicht zur Aufklarung über den Zweck der Datenverarbeitung
- Widerrufsrecht
- Alternativen zur Einwilligung im Beschäftigungsverhältnis
Die Betriebsvereinbarung und andere Kollektivvereinbarungen- Betriebsvereinbarungen und Tarifvertrage als datenschutzrechtliche Erlaubnisgrundlage nach der DS-GVO
- Kann durch eine Kollektivvereinbarung das Schutzniveau der DS-GVO abgesenkt werden?
- Doppelfunktion von Betriebsvereinbarungen in der Praxis
- Inhaltliche Anforderungen der DS-GVO an Betriebsvereinbarungen
- Handlungsempfehlungen für die Formulierung einer Betriebsvereinbarung nach der DS-GVO
- Verhandlungstaktik bei der Anpassung von Betriebsvereinbarungen
Arbeitnehmerüberlassung Digitale Personalakte- Personalakte eine Begriffsdefinition
- Grundsatze bei der Führung von Personalakten
- Schritt für Schritt zur digitalen Personalakte
Datenschutz und elektronische Kommunikation- Die Verwendung von E-Mail und Internet am Arbeitsplatz
- Regelungsmöglichkeiten für den Arbeitnehmer
- Kontrollmöglichkeiten
- Handlungsempfehlungen und Checkliste
Interne Untersuchungen und Aufdeckung von Pflichtverletzungen- Einleitung
- Insbesondere: Videoüberwachung
- Aktuelle Entscheidungen
Auftragsverarbeitung- Einführung
- Der Auftragsverarbeiter
- Auswahl des Auftragsverarbeiters
- Vertrag zwischen Verantwortlichem und Auftragsverarbeiter
- Unterauftragnehmer
- Form
- Internationale Auftragsverarbeitung
- Einstandspflichten, Haftung und Sanktionen
- Fortgeltung bestehender Vertrage
- Checkliste: ADV-Vertrag
Konzerndatenschutz- Grundlagen
- Rechtsgrundlage für die konzerninterne Übermittlung und weitere Verarbeitung von personenbezogenen Daten
- Gemeinsame Verantwortlichkeit gem. Art. 26 DS-GVO
- Fallgruppen
- Datenübermittlung an Konzernunternehmen in Drittländern
- Checkliste
Outsourcing - Generelle Voraussetzungen
- Übermittlung an Outsourcing-Unternehmen in Drittländer
- Auswahl des Outsourcing-Anbieters
- Fragenkatalog für Outsourcing-Projekte
Internationaler Datenverkehr - Die Zwei Stufen"-Prüfung bei internationalen Datentransfers
- Datentransfer in Drittländer auf Grundlage eines Angemessenheitsbeschlusses
- EU-US Privacy Shield
- Datenübermittlung auf Grundlage von Standarddatenschutzklauseln gem. Art. 46 Abs. 2c und d DS-GVO
- Verbindliche interne Datenschutzvorschriften gem. Art. 47 DS-GVO
- Genehmigte Verhaltensregeln und Zertifizierungsmechanismen
- Genehmigungsbedürftige vertragliche Regelungen
- Gesetzliche Erlaubnistatbestände
Löschkonzept - Im Fokus: Löschverpflichtung
- Das Prinzip der Speicherbegrenzung und die Löschverpflichtung
- Technische und organisatorische Maßnahmen zur Speicherbegrenzung
- Das Löschkonzept
- Beispiel: Löschregeln im Personalbereich
Direktmarketing - Bestehende Kundenbeziehung
- Einwilligung
- Rechtfertigung durch gesetzlichen Erlaubnistatbestand
- Keine Sonderregelungen bei Geschäftskontakten
Industrie 4.0 im Kontext des Datenschutzes - Beschäftigtendatenschutz
- Datentransfers in Drittstaaten
- Datensicherheit
- Exkurs: Data Ownership
Verarbeitung personenbezogener Daten Minderjähriger im Internet - Strengere Schutzanforderungen bei Kindern
- Allgemeine Anforderungen an die Einwilligung
- Wirksamkeit von alten Einwilligungserklärungen
- Besondere Anforderungen an die Einwilligung bei Kindern
- Entbehrlichkeit der Einwilligung bei notwendiger Datenverarbeitung
IT-Sicherheit im Unternehmen - Ausgangslage
- Typisches Angriffsszenario
- Datenverarbeitung als wesentlicher Teil der IT-Sicherheit
- Rechtlicher Rahmen
- Praktische Umsetzung/Checkliste
Datenschutz-Folgenabschätzung - Zielsetzung
- Erforderlichkeit der Datenschutz-Folgenabschätzung
- Durchführung der Datenschutz-Folgenabschätzung
- Einbeziehung des Datenschutzbeauftragten
- Einbeziehung der Betroffenen
- Konsultation der Aufsichtsbehörde
- Altfalle: Bewertung von vorhandenen Verarbeitungsprozessen
- Überprüfung und Wiederholung der Datenschutz-Folgenabschätzung
- Sanktionen
Datenschutzrisikomanagement- Einführung
- Rahmenbedingungen eines Compliance- und Datenschutz- Management-Systems
- Bestandsaufnahme als Vorbereitungsmaßnahme
- Umsetzung
Datenschutzaudit und Zertifizierung - Das Datenschutz-Management-System
- Audit, Übung, Wartung
- Strategie definieren, Maßnahmen planen
- Strategien und Maßnahmen implementieren
- Umsetzung kontrollieren
- Etablierung von Datenschutzorganisation und Datenschutz-Kultur
- Projektmanagement
- Datenschutzsiegel
Datenschutzschulung und Sensibilisierung - Relevante Schulungsinhalte
- Durchführung der Schulungsmaßnamen und Sensibilisierung der Mitarbeiter
Die Autoren
Abkürzungsverzeichnis
Literaturverzeichnis
Stichwortverzeichnis
Über den Autor / die Autorin
Dr. Axel von Walter ist Rechtsanwalt, u.a. Fachanwalt für IT-Recht und Partner bei der BEITEN BURKHARDT Rechtsanwaltsgesellschaft mbH. Er ist Lehrbeauftragter an der Ludwig-Maximilians-Universität München.
Zusammenfassung
Am 25. Mai 2018 trat die EU-Datenschutz-Grundverordnung (DS-GVO) in Kraft. Sie gilt in der gesamten EU und bringt nicht nur eine Vereinheitlichung, sondern auch eine deutliche Verschärfung des europäischen Datenschutzrechts mit sich. Dies stellt Unternehmen vor die Herausforderung, innerhalb kurzer Zeit interne Prozesse und Datenschutz-Funktionen an das neue Recht anzupassen. Angesichts erhöhter Anforderungen, Bußgelder und Haftungsrisiken ist dabei große Sorgfalt geboten.
Dieses Buch ist ein Praxisleitfaden zur Umsetzung der Anforderungen der DS-GVO, insbesondere in der Personalarbeit im Betrieb, und zum korrekten Umgang mit personenbezogenen Daten im Unternehmen nach dem reformierten Recht.
Inhalte:
- Beschäftigtendatenschutz rechtssicher umsetzen
- Dokumentations- und Informationspflichten
- Betriebliches Datenschutzmanagement: Konzernprivileg, Arbeitsverträge, Betriebsvereinbarungen
- Minderung von Haftungsrisiken: Sanktionen, Bußgelder und strafrechtliche Konsequenzen
