Formularbuch des Fachanwalts Arbeitsrecht · Formularbuch des Fachanwalts Arbeitsrecht Herausgegeben von Dr. Hans-Joachim Liebers, LL.M. Rechtsanwalt und Fachanwalt für Arbeitsrecht,

Formularbuch des Fachanwalts ArbeitsrechtHerausgegeben von

Dr. Hans-Joachim Liebers, LL.M.Rechtsanwalt und Fachanwalt für Arbeitsrecht, Frankfurt/Main

Redaktion

Dr. Katharina GebhardtRechtsanwältin, Frankfurt/Main

5. Auflage

Leseprobe

VII

Autorenverzeichnis

Dr. Christian BitschRechtsanwalt, Frankfurt/Main

Hendrik BockenheimerRechtsanwalt, Frankfurt/Main

Dr. Annett BöhmRechtsanwältin und Fachanwältin für Arbeitsrecht, Bad Schwartau/Lübeck

Jan Dröll, LL.M. (Bielefeld)Rechtsanwalt und Fachanwalt für Arbeitsrecht, Hamburg

Anna FellnerRechtsanwältin, Frankfurt

Dr. Katharina GebhardtRechtsanwältin, Frankfurt/Main

Dr. Barbara GeckRechtsanwältin und Fachanwältin für Arbeitsrecht, Frankfurt/Main

Dr. Oliver HahnRechtsanwalt und Fachanwalt für Arbeitsrecht, Reutlingen

Daniela Hangarter, LL.M. (Christchurch)Rechtsanwältin und Fachanwältin für Arbeitsrecht, Frankfurt/Main

Dr. Christian Häußer, LL.M. (Christchurch)Rechtsanwalt und Fachanwalt für Arbeitsrecht, Frankfurt/Main

Katharina HeinzRechtsanwältin, Heidelberg

Dr. Christian HoefsRechtsanwalt, Frankfurt/Main

Lutz HoheiselRechtsanwalt, Frankfurt/Main

Dr. Jens JensenRechtsanwalt, Fachanwalt für Arbeitsrecht und Dipl.-Finanzwirt (FH), Frankfurt/Main

Susanne JulisRechtsanwältin, Frankfurt/Main

Dr. Vera JungkindRechtsanwältin, Düsseldorf

Margret Kisters-KölkesRechtsanwältin und Steuerberaterin, Mülheim/Ruhr

Dr. Stefan KoopRechtsanwalt und Fachanwalt für Arbeitsrecht, Hamburg

Prof. Dr. Mark Lembke, LL.M. (Cornell)Rechtsanwalt und Fachanwalt für Arbeitsrecht, Attorney-at-Law (New York), Frankfurt/Main

Dr. Hans-Joachim Liebers, LL.M. (California)Rechtsanwalt und Fachanwalt für Arbeitsrecht, Frankfurt/Main

Leseprobe

Luch

terh

and

Verla

g 20

19

VIII

Autorenverzeichnis

Dr. Pascal M. LudwigRechtsanwalt, Frankfurt/Main

Dr. Andreas MauroschatRechtsanwalt, Frankfurt/Main

Dr. Katja MückenbergerFachanwältin für Arbeitsrecht, Einigungsstellenvorsitzende und Mediatorin, Bad Homburg

Dr. Jens-Wilhelm Oberwinter, LL.M. (Wellington)Rechtsanwalt und Fachanwalt für Arbeitsrecht, Frankfurt/Main

Dr. Arnim PowietzkaRechtsanwalt und Fachanwalt für Arbeitsrecht, Heidelberg

Dr. Kerstin ReisererRechtsanwältin und Fachanwältin für Arbeitsrecht, Heidelberg

Dr. Henning ReitzRechtsanwalt, Frankfurt/Main

Thomas RichterRechtsanwalt, Frankfurt/Main

Dr. Georg Seyfarth, LL.M. (Duke)Rechtsanwalt, Düsseldorf

Dr. Christoph T. ThiesRechtsanwalt und Fachanwalt für Arbeitsrecht, Hamburg

Dr. Christian von TilingRechtsanwalt und Fachanwalt für Arbeitsrecht, Hamburg

Leseprobe

Luch

terh

and

Verla

g 20

19

XIII

Inhaltsverzeichnis

Vorwort 5. Auflage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VAutorenverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . VIIIm Einzelnen haben bearbeitet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IXAbkürzungsverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XXVIILiteraturverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XLIII

Teil 1 Individualarbeitsrecht . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

A. Die Anbahnung des Arbeitsverhältnisses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4

I. Vorbereitende Maßnahmen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51. Stellenbeschreibung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52. Anforderungsprofil . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

II. Ausschreibung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141. Betriebsinterne Ausschreibung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142. Externe Ausschreibung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

III. Bewerbungsverfahren. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221. Einladung zum Bewerbungsgespräch mit Kostenübernahme . . . . . . . . . . . . . . . . . . . . . . 222. Einladung zum Bewerbungsgespräch ohne Kostenübernahme . . . . . . . . . . . . . . . . . . . . . 243. Protokoll des Bewerbungsgesprächs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254. Absage an Bewerber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 305. Absage an schwerbehinderten Bewerber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

IV. Personalfragebogen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341. Fragebogen im Bewerbungsverfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352. Fragebogen nach der Einstellung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

V. Einwilligungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481. Einwilligung in Datenspeicherung und Verzicht auf Rücksendung oder Vernichtung der

Bewerbungsunterlagen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482. Einwilligung in betriebs- oder vertrauensärztliche Untersuchung . . . . . . . . . . . . . . . . . . . 523. Einwilligung in psychologische Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554. Einwilligung in die Teilnahme an einem Persönlichkeitstest . . . . . . . . . . . . . . . . . . . . . . 56

B. Standardarbeitsverhältnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59I. Standardarbeitsverträge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60

1. Standardarbeitsvertrag eines angestellten Arbeitnehmers (keine Tarifbindung) . . . . . . . . . 602. Standardarbeitsvertrag in englischer Fassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 813. Standardarbeitsvertrag eines angestellten Arbeitnehmers (mit Tarifbezug) . . . . . . . . . . . . 874. Arbeitsvertrag in Briefform . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 945. Arbeitsvertrag über eine geringfügige Beschäftigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . 966. Arbeitsvertrag für Führungspositionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1027. Erklärung des Mitarbeiters zur Speicherung und Verwendung seiner Daten . . . . . . . . . . 120

II. Vergütungsbestandteile: Monetäre Vergütung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1241. Grundvergütung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1242. Variable Vergütung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133

2.1 Rahmenvereinbarung über eine Zielvereinbarung . . . . . . . . . . . . . . . . . . . . . . . . . . 1332.2 Konkrete Zielfestlegung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1412.3 Tantiemenvereinbarung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143

III. Vergütungsbestandteile: Sachbezüge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1451. Dienstwagenvertrag und Dienstwagenklausel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1452. Vereinbarung über die dienstliche Nutzung des privaten Kfz des Mitarbeiters . . . . . . . . . 1523. Dienstwohnung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1554. Umzugskosten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

IV. Vergütungsbestandteile: Urlaub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1611. Urlaubsregelungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1612. Sonderurlaub . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

Leseprobe

Luch

terh

and

Verla

g 20

19

XIV

Inhaltsverzeichnis

C. Vertragliche und nachvertragliche Nebenpflichten . . . . . . . . . . . . . . . . . . . . . . . . . 165I. Vertragliche Nebenpflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

1. Zusatzvereinbarung zur Wahrung von Betriebs- und Geschäftsgeheimnissen sowie sonstigen vertraulichen Angelegenheiten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

2. Anzeige einer Nebentätigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1723. Ablehnung/Untersagung einer Nebentätigkeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1734. Verpflichtung auf das Datengeheimnis (§ 5 BDSG) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1755. Zusatzvereinbarung über die dienstliche Nutzung von Internet und E-Mail . . . . . . . . . . 1796. Zusatzvereinbarung über Arbeitnehmererfindungen und sonstige Arbeitsergebnisse . . . . 1847. Zusatzvereinbarung über Tätigkeit im Home Office

(ausschließliche Telearbeit) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189II. Nachvertragliche Nebenpflichten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196

1. Nachvertragliches Wettbewerbsverbot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1962. Aufforderung zur Mitteilung anderweitigen Erwerbs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2033. Verzicht des Arbeitgebers auf ein nachvertragliches Wettbewerbsverbot . . . . . . . . . . . . . . 2054. Lösungserklärung des Arbeitgebers von einem nachvertraglichen Wettbewerbsverbot bei

außerordentlicher Kündigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2075. Lösungserklärung des Arbeitnehmers von einem nachvertraglichen

Wettbewerbsverbot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2086. Angebot des Arbeitgebers auf Zahlung einer auf 100 % erhöhten

Karenzentschädigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2097. Ablehnungsandrohung des Arbeitnehmers bezüglich der Einhaltung des

nachvertraglichen Wettbewerbsverbots im Falle der Nicht-Zahlung der Karenzentschädigung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210

8. Rücktritt des Arbeitgebers bei Verstoß des Arbeitnehmers gegen das nachvertragliche Wettbewerbsverbot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211

9. Aufforderung an den Mitarbeiter zur Rückgabe von Gegenständen/ Unterlagen nach Beendigung des Arbeitsverhältnisses . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

D. Mitarbeiterbeteiligungsprogramme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216I. Kapitalbeteiligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216

1. Aktienoptionsprogramm . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216II. Erfolgsbeteiligung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229

1. Langfristiger Bonusplan (Performance Shares) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2292. Kurzfristiger Bonusplan (Short Term Incentive) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2363. Bonusbank-Plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244

E. Zeitbezogene Sonderformen des Arbeitsverhältnisses . . . . . . . . . . . . . . . . . . . . . . . 255I. Befristung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256

1. Rahmenvereinbarung für befristete Arbeitsverhältnisse . . . . . . . . . . . . . . . . . . . . . . . . . . 2562. Befristeter Arbeitsvertrag mit Sachgrund . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2613. Befristeter Arbeitsvertrag ohne Sachgrund . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2634. Befristeter Arbeitsvertrag mit Zweckbefristung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2665. Mitteilung des Ablaufes des vereinbarten Befristungszeitraumes nach § 15 Abs. 1 TzBfG 2686. Mitteilung der Zweckerreichung nach § 15 Abs. 2 TzBfG . . . . . . . . . . . . . . . . . . . . . . . . 2697. Doppelt befristeter Arbeitsvertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2718. Prozessarbeitsverhältnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273

II. Teilzeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2761. Arbeitsvertrag für geringfügig Beschäftigte in einem Privathaushalt . . . . . . . . . . . . . . . . . 2762. Teilzeitarbeitsvertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2783. Antrag auf Reduzierung der Arbeitszeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2814. Vorläufige Mitteilung nach § 8 Abs. 5 TzBfG bei verspäteter Antragstellung . . . . . . . . . . 2835. Ablehnung des Antrags auf Arbeitszeitreduzierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2856. Stattgeben des Antrags auf Arbeitszeitreduzierung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2877. Antrag auf Verlängerung der Arbeitszeit nach § 9 TzBfG . . . . . . . . . . . . . . . . . . . . . . . . . 2888. Ablehnung des Antrags auf Verlängerung der Arbeitszeit . . . . . . . . . . . . . . . . . . . . . . . . . 2909. Änderungsvertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292

III. Probearbeitsverhältnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2941. Befristung zur Erprobung nach § 14 Abs. 1 TzBfG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294

Leseprobe

Luch

terh

and

Verla

g 20

19

XV

Inhaltsverzeichnis

2. Mitteilung des Bestehens der Probezeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2963. Verlängerung der Probezeit durch Aufhebungsvertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . 297

IV. Sonstige zeitbezogene Sonderformen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2991. Arbeit auf Abruf nach § 12 TzBfG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2992. Wiedereingliederungsvertrag nach längerer Krankheit . . . . . . . . . . . . . . . . . . . . . . . . . . . 3013. Sabbatical-Vereinbarung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304

F. Tätigkeitsbezogene Sonderformen des Arbeitsverhältnisses. . . . . . . . . . . . . . . . . . . 308I. Ausbildungsbezogene Arbeitsverhältnisse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309

1. Berufsausbildungsvertrag mit einem Auszubildenden . . . . . . . . . . . . . . . . . . . . . . . . . . . 3092. Kündigungsschreiben gemäß § 22 BBiG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3163. Anrufung des Schlichtungsausschusses gemäß § 111 Abs. 2 ArbGG nach Ausspruch der

Kündigung und vor Erhebung der Kündigungsschutzklage . . . . . . . . . . . . . . . . . . . . . . . 3184. Praktikantenvertrag (allgemein) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3195. Werkstudentenvertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3236. Volontariatsvertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3277. Fortbildungsvertrag (mit Rückzahlungsklausel) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 331

II. Sonstige tätigkeitsbezogene Sonderformen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3351. Job-Sharing-Vertrag (Vertrag über Arbeitsplatzteilung) . . . . . . . . . . . . . . . . . . . . . . . . . . 3352. Gruppenarbeitsvertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3393. Arbeitsvertrag mit einem Heimarbeiter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3434. Außendienstmitarbeitervertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347

G. Mitarbeiterbezogene Sonderformen des Arbeitsverhältnisses . . . . . . . . . . . . . . . . . 354Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355

I. Elternzeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3561. Mitteilung der Schwangerschaft nach § 5 MuSchG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3562. Informationsschreiben des Arbeitgebers an die schwangere Mitarbeiterin . . . . . . . . . . . . 3573. Antrag auf Elternzeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3584. Antwortschreiben des Arbeitgebers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3605. Antrag auf Teilzeit während der Elternzeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3616. Änderungsvertrag zur Herabsetzung der Arbeitszeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3637. Ablehnung des Antrags auf Teilzeit während der Elternzeit . . . . . . . . . . . . . . . . . . . . . . . 365

II. Altersteilzeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3661. Altersteilzeitvertrag mit Teilzeitmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3662. Altersteilzeitvertrag mit Blockmodell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371

III. Pflegezeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3771. Antrag auf vollständige Freistellung von der Arbeitspflicht nach § 3

PflegeZG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3792. Antrag auf teilweise Freistellung von der Arbeitspflicht nach § 3 PflegeZG . . . . . . . . . . . 3823. Antrag auf Verlängerung der Pflegezeit nach § 4 PflegeZG . . . . . . . . . . . . . . . . . . . . . . . 3844. Vereinbarung über die teilweise Freistellung gemäß § 3 Abs. 4 PflegeZG . . . . . . . . . . . . . 385

IV. Familienpflegezeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3871. Inanspruchnahme von Familienpflegezeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3892. Vereinbarung über die Familienpflegezeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3903. Verlängerung der Familienpflegezeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3934. Bescheinigung des Arbeitgebers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3945. Beendigung der Familienpflegezeit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395

H. Arbeitsverhältnis mit Auslandsbezug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397I. Einvertragsmodell – Entsendevertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397

1. Entsendevertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3972. Entsendevertrag in englischer Fassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412

II. Zweivertragsmodell – Versetzungsvertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4171. Versetzungsvertrag (deutsche Fassung) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4172. Versetzungsvertrag in englischer Fassung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425

Leseprobe

Luch

terh

and

Verla

g 20

19

1389Jungkind

U. Datenschutz für Arbeitnehmer

Inhaltsübersicht Rdn.I. Auftragsverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1Muster: Vertrag über Auftragsverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

II. »Bring Your Own Device« . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37Muster: »Bring Your Own Device«-Vertrag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

III. Informationsschreiben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.1Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.1Muster: Informationsschreiben nach Art. 13 DS-GVO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.2Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62.3

IV. Allgemeine Einwilligung in die Datenverarbeitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63Muster: Datenschutzrichtlinie für das Online-Bewerbungsverfahren . . . . . . . . . . . . . . . . . . . . 66Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

V. Einwilligung in das Screening von Datenträgern im Rahmen einer internen Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Vorbemerkung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83Muster: Einwilligung in das Screening von Datenträgern im Rahmen einer internen

Untersuchung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Erläuterungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

I. Auftragsverarbeitung

Vorbemerkung

Im Bereich der Personalverwaltung ist Auftragsverarbeitung durch selbstständige Konzernunter-nehmen oder externe Dienstleister heute eine Selbstverständlichkeit. Dabei muss der Unternehmer und Arbeitgeber sicherstellen, dass die Datenschutzinteressen seiner Beschäftigten umfassend ge-schützt werden und die Auslagerung nicht zu einer Minderung des gesetzlich gebotenen Daten-schutzstandards führt. Die Datenschutz-Grundverordnung (EU) 2016/679 vom 27. April 2016 (ABl. EU L 116 vom 4. Mai 2016, S. 1 – DS-GVO) gilt seit dem 25. Mai 2018. Das nachfolgende Vertragsformular ist ein Beispiel, wie den nunmehr in Art. 28 DS-GVO festgelegten Mindestanfor-derungen an eine Vereinbarung zwischen dem Unternehmer (»Auftraggeber«) und dem Auftrags-verarbeiter (»Auftragnehmer«) Rechnung getragen werden kann.

Muster – Vertrag über Auftragsverarbeitung

Vertrag über Auftragsverarbeitung 1

zwischen

– Auftraggeber –

und

– Auftragnehmer –

1

2

▶

Luch

terh

and

Verla

g 20

19

Leseprobe

1390


Jungkind

§ 1 Allgemeines 2

(1) Der Auftraggeber beauftragt den Auftragnehmer mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten in seinem Auftrag. 3 Der Auftraggeber ist verantwortliche Stelle (Art. 4 Nr. 7 DS-GVO) 4, der Auftragnehmer ist Auftragsverarbeiter (Art. 4 Nr. 8 DS-GVO). 5

(2) In diesem Vertrag regeln die Parteien entsprechend Art. 28 DS-GVO ihre Rechte und Pflichten im Zusammenhang mit dem Datenverarbeitungsauftrag. 6

(3) Die Kontaktdaten des Datenschutzbeauftragten des Auftragnehmers lauten:

[Kontaktdaten des Datenschutzbeauftragten] 7

§ 2 Gegenstand des Auftrags

(1) Der Auftraggeber beauftragt den Auftragnehmer nach Maßgabe des [Name des Hauptver-

trags] 8 mit der Erbringung von [Bezeichnung der Dienstleistung] . 9 Zur Erbringung dieser Leistun-gen kann es erforderlich sein, dass der Auftragnehmer personenbezogene Daten erhebt, verarbei-tet und/oder nutzt. Art und Umfang der Datenerhebung, -verarbeitung und -nutzung entsprechen den Anforderungen des [Name des Hauptvertrags] und den daraus folgenden Weisungen des Auf-traggebers. Jede darüberhinausgehende Erhebung, Verarbeitung oder Nutzung von personenbe-zogenen Daten ist untersagt.

(2) Die Dauer des Auftrags richtet sich nach dem [Name des Hauptvertrags] . 10

(3) Die Datenerhebung, -verarbeitung und/oder -nutzung betrifft personenbezogene Daten von [Benennung der von der Datenverarbeitung betroffenen Personenkreise] . 11

(4) Bei den betroffenen Datenarten handelt es sich in der Regel um [Benennung der von der Datenver-

arbeitung betroffenen Datenkategorien] . 12

§ 3 Technische und organisatorische Maßnahmen

(1) Der Auftragnehmer trifft die in der Anlage 1 aufgeführten technischen und organisatorischen Maßnahmen und bietet somit hinreichende Garantien i.S.d. Art. 28 Abs. 1 DS-GVO. 13

(2) Der Auftraggeber überzeugt sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung dieser technischen und organisatorischen Maßnahmen durch den Auftragneh-mer und dokumentiert das Ergebnis. 14

(3) Der Auftragnehmer ist befugt, die in der Anlage 1 aufgeführten technischen und organisatori-schen Maßnahmen während der Laufzeit dieses Vertrags dem technischen Fortschritt anzupassen, wobei der in der Anlage 1 dokumentierte Standard nicht unterschritten werden darf. Er stimmt die Anpassung der technischen und organisatorischen Maßnahmen jeweils vorher mit dem Auftrag-geber ab. Wesentliche Änderungen vereinbaren die Parteien schriftlich.

(4) Der Auftragnehmer erhebt, verarbeitet und/oder nutzt die Daten ausschließlich in der Bundes-republik Deutschland, in einem anderen Mitgliedsstaat der Europäischen Union oder in einem an-deren Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum. Jede Verlagerung in ein Drittland bedarf der vorherigen schriftlichen Zustimmung des Auftraggebers und setzt den Abschluss der EU-Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an Auftragsverarbeiter in Drittländern voraus. 15

§ 4 Rechte und Pflichten des Auftraggebers

(1) Der Auftraggeber ist jederzeit befugt, dem Auftragnehmer Weisungen über Art, Umfang und Verfahren der Datenverarbeitung zu erteilen. Insbesondere kann der Auftraggeber jederzeit die Berichtigung, Löschung, Sperrung und Herausgabe von Daten verlangen. 16 Weisungen sind un-abhängig von ihrer Form wirksam. Mündliche Weisungen bestätigt der Auftraggeber unverzüglich schriftlich (z.B. per Fax) oder in Textform (z.B. per E-Mail). Der Auftraggeber kann dem Auftrag-nehmer eine angemessene Frist zur Umsetzung der Weisung setzen. 17Lu

chte

rhan

d Ve

rlag

2019

Leseprobe

1391

Auftragsverarbeitung U.I.

Jungkind

(2) Der Auftraggeber kann gegenüber dem Auftragnehmer schriftlich oder in Textform eine oder mehrere weisungsberechtigte Personen benennen und bestimmen, dass der Auftragnehmer nicht befugt ist, Weisungen von anderen als den weisungsberechtigten Personen entgegenzunehmen. Dies gilt für den Auftragnehmer solange, bis der Auftraggeber ihm eine Änderung hinsichtlich der weisungsberechtigten Personen schriftlich oder in Textform mitteilt.

(3) Stellt der Auftraggeber fest, dass der Auftragnehmer die personenbezogenen Daten unter Ver-stoß gegen das Datenschutzrecht, diesen Vertrag oder eine Weisung des Auftraggebers erhebt, verarbeitet oder nutzt, informiert er den Auftragnehmer unverzüglich. 18

(4) Der Auftraggeber ist für die Einhaltung der Vorschriften des Datenschutzrechts verantwortlich. Insbesondere gewährleistet er die Rechte der Betroffenen (Art. 12 ff., 82 DS-GVO) und erfüllt die Informationspflicht nach Art. 33 DS-GVO. 19

§ 5 Rechte und Pflichten des Auftragnehmers

(1) Der Auftragnehmer erhebt, verarbeitet oder nutzt die personenbezogenen Daten ausschließ-lich zur Erfüllung der ihm nach dem [Name des Hauptvertrags] und diesem Vertrag obliegenden Pflichten sowie entsprechend der von dem Auftraggeber erteilten Weisungen. Der Auftragnehmer stellt sicher, dass die ihm unterstellten natürlichen Personen, die Zugang zu personenbezogenen Daten des Auftraggebers haben, diese nur nach Maßgabe des Satz 1 verarbeiten. 20

(2) Der Auftragnehmer muss die Weisungen des Auftraggebers dokumentieren. 21 Der Auftrag-nehmer kann gegenüber dem Auftraggeber schriftlich oder in Textform eine oder mehrere wei-sungsempfangsberechtigte Personen benennen und bestimmen, dass der Auftraggeber seine Weisungen ausschließlich an diese Personen richtet. Dies gilt für den Auftraggeber solange, bis der Auftragnehmer ihm eine Änderung hinsichtlich der weisungsempfangsberechtigten Personen schriftlich oder in Textform mitteilt.

(3) Unterlagen und Daten, die zur Erfüllung der dem Auftragnehmer nach diesem Vertrag ob-liegenden Pflichten sowie der von dem Auftraggeber erteilten Weisungen nicht mehr benötigt werden, darf der Auftragnehmer nur mit vorheriger schriftlicher Zustimmung des Auftraggebers vernichten oder löschen.

(4) Ist der Auftragnehmer der Auffassung, dass eine ihm von dem Auftraggeber erteilte Weisung gegen die DS-GVO, das BDSG oder andere Vorschriften über den Datenschutz verstößt, weist er den Auftraggeber unverzüglich darauf hin. 22 Der Auftragnehmer ist berechtigt, die Ausführung der betreffenden Weisung solange auszusetzen, bis diese durch den Auftraggeber bestätigt oder geändert wird.

(5) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung 23 der (a) Gewährleistung der Sicherheit der Datenverarbeitung (Art. 32 DS-GVO) 24;(b) Meldung von Verletzungen des gesetzlich vorgesehenen Schutzes personenbezogener Daten

(Datenschutzverstöße) an die Aufsichtsbehörden (Art. 33 DS-GVO): Insbesondere informiert der Auftragnehmer den Auftraggeber unverzüglich und vollständig über Zeitpunkt, Art und Umfang von Datenschutzverstößen (soweit möglich mit Angabe der Kategorien und der un-gefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze) und der möglichen nachteiligen Folgen der Datenschutzverstöße; der Auftragnehmer teilt dem Auftraggeber außerdem unverzüglich mit, welche Maßnahmen er zur Sicherung der Daten und zur Verhinderung weiterer Datenschutz-verstöße getroffen hat und wer Ansprechpartner für weitere Informationen ist; auch spricht der Auftragnehmer Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Fol-gen beim Betroffenen aus 25;

(c) Benachrichtigung der Betroffenen im Falle der Verletzung des Schutzes personenbezogener Daten (Art. 34 DS-GVO) 26;

(d) sofern notwendig, Datenschutz-Folgenabschätzung und Konsultation mit Aufsichtsbehörden (Art. 35 f. DS-GVO). 27

Luch

terh

and

Verla

g 20

19

Leseprobe

1392


Jungkind

(7) Der Auftragnehmer ist nicht befugt, Daten des Auftraggebers außerhalb seiner Betriebsstätten oder der Betriebsstätten von Unterauftragnehmern zu verarbeiten, es sei denn, der Auftraggeber stimmt dem vorher schriftlich zu.

(8) Der Auftragnehmer unterstützt den Auftraggeber bei der Führung von Verfahrensverzeichnis-sen und führt ein entsprechendes Verfahrensverzeichnis selbst (Art. 30 DS-GVO). 28

§ 6 Beauftragung von Unterauftragnehmern 29

(1) Der Auftragnehmer ist nicht befugt, Unterauftragnehmer mit der Erbringung der nach diesem Vertrag geschuldeten Leistungen zu beauftragen, es sei denn, der Auftraggeber stimmt dem vor-her schriftlich zu. Der Beauftragung der in Anlage 2 genannten Unterauftragnehmer hat der Auf-traggeber zugestimmt.

(2) Beabsichtigt der Auftragnehmer die Beauftragung eines Unterauftragnehmers, übermittelt er dem Auftraggeber(i) den Entwurf einer schriftlichen Vereinbarung mit dem Unterauftragnehmer über die Erbrin-

gung der beauftragten Leistungen einschließlich der vom Unterauftragnehmer getroffenen technischen und organisatorischen Maßnahmen,

(ii) die Dokumentation des Auftragnehmers über die Einhaltung der beim Unterauftragnehmer getroffenen technischen und organisatorischen Maßnahmen sowie

(iii) die Gründe für die Auswahl des Unterauftragnehmers sowie dessen Referenzen.Soll der Unterauftragnehmer die Daten in einem Drittland, das nicht Vertragsstaat des Abkom-mens über den Europäischen Wirtschaftsraum ist, verarbeiten, legt der Auftragnehmer außerdem dar, warum es erforderlich ist, die Daten in ein Drittland zu verlagern.

(3) In der schriftlichen Vereinbarung mit dem Unterauftragnehmer stellt der Auftragnehmer sicher, dass die in diesem Vertrag vereinbarten Regelungen auch im Verhältnis zwischen Auftragnehmer und Unterauftragnehmer gelten.

(4) Die Verwendung eines Unterauftragnehmers in einem Drittland unterliegt den Anforderungen der Art. 44–49 DS-GVO. Der Auftraggeber und der Auftragnehmer stimmen die zur Erfüllung die-ser Anforderungen zu ergreifenden Maßnahmen ab. 30

§ 7 Kontrollrechte des Auftraggebers 31

(1) Der Auftraggeber ist befugt, die Einhaltung der gesetzlichen Vorschriften über den Datenschutz, dieses Vertrags einschließlich der technischen und organisatorischen Maßnahmen sowie der von dem Auftraggeber erteilten Weisungen durch den Auftragnehmer jederzeit im erforderlichen Um-fang zu kontrollieren. Hierzu kann der Auftraggeber(i) Selbstauskünfte des Auftragnehmers einholen;(ii) sich das Testat eines Sachverständigen vorlegen lassen; und/oder(iii) sich nach rechtzeitiger Anmeldung in der Betriebsstätte des Auftragnehmers zu den üblichen

Geschäftszeiten persönlich überzeugen, wobei eine Störung des Betriebsablaufs bei dem Auf-tragnehmer nach Möglichkeit zu vermeiden ist.

(2) Entscheidet sich der Auftraggeber für das Testat eines Sachverständigen, ist er befugt, den Sachverständigen auszuwählen, und trägt die Kosten für dessen Beauftragung.

(3) Der Auftragnehmer unterstützt den Auftraggeber bei der Wahrnehmung seiner Kontrollrechte, insbesondere erteilt er ihm die erforderlichen Auskünfte und gewährt ihm oder dem Sachverstän-digen Zutritt zu seiner Betriebsstätte.

§ 8 Rechte der Betroffenen

(1) Der Auftragnehmer unterstützt den Auftraggeber bei der Gewährleistung der Rechte der Be-troffenen, insbesondere auf Information, Auskunft, Berichtigung, Sperrung oder Löschung, und übermittelt ihm die erforderlichen Informationen bzw. nimmt die jeweils erforderlichen Maßnah-men nach Weisung des Auftraggebers vor.Lu

chte

rhan

d Ve

rlag

2019

Leseprobe

1393


Jungkind

(2) Richtet ein Betroffener einen Anspruch auf Auskunft, Berichtigung, Sperrung oder Löschung gegen den Auftragnehmer, legt der Auftragnehmer dem Auftraggeber die Original-Korrespon-denz mit dem Betroffenen bzw. das Protokoll eines Gesprächs/Telefonats mit diesem unverzüglich vor. Der Auftragnehmer wird nicht ohne Weisung des Auftraggebers tätig, insbesondere ist er nicht befugt, einem Betroffenen Auskunft zu erteilen.

§ 9 Datengeheimnis

Der Auftragnehmer verpflichtet die bei ihm beschäftigten Personen bei der Aufnahme ihrer Tätig-keit auf das Datengeheimnis. 32

§ 10 Vertraulichkeit 33

(1) Beide Parteien behandeln alle Daten, Informationen und Unterlagen der jeweils anderen Partei, die sie von der jeweils anderen Partei im Zusammenhang mit der Durchführung dieses Vertrags er-halten, vertraulich. Sie verwenden diese Daten, Informationen und Unterlagen jeweils ausschließ-lich zur Durchführung dieses Vertrags und nicht zu einem anderen Zweck. Insbesondere machen sie diese Daten, Informationen und Unterlagen Dritten nicht zugänglich.

(2) Die Verpflichtung nach Abs. 1 gilt zeitlich unbegrenzt, auch nach Beendigung dieses Vertrags. Sie gilt nicht für Daten, Informationen und Unterlagen, die öffentlich bekannt sind.

§ 11 Beendigung des Auftrags 34

(1) Der Auftraggeber kann diesen Vertrag jederzeit ohne Einhaltung einer Frist kündigen, wenn der Auftragnehmer(i) in schwerwiegender Weise gegen anwendbare Vorschriften über den Datenschutz, gegen

Pflichten aus diesem Vertrag oder gegen eine Weisung verstößt,(ii) eine Weisung des Auftraggebers nicht ausführen kann oder will oder(iii) dem Auftraggeber oder einem Sachverständigen des Auftraggebers vertragswidrig den Zu-

tritt zu seiner Betriebsstätte verweigert.

(2) Das Recht der Parteien zur Kündigung dieses Vertrags aus wichtigem Grund bleibt unberührt.

§ 12 Rückgabe und Löschung von Daten nach Vertragsende 35

(1) Nach Beendigung dieses Vertrags händigt der Auftragnehmer dem Auftraggeber sämtliche Datenträger des Auftraggebers sowie Unterlagen und Daten, die im Zusammenhang mit dem Auf-tragsverhältnis stehen, aus. Die Datenträger des Auftragnehmers und sonstige Datensicherungen sind danach wie folgt zu löschen:

[Vorgaben zur Datenlöschung]

Test- und Ausschussmaterial ist unverzüglich zu vernichten oder zu löschen.

(2) Der Auftragnehmer dokumentiert die Maßnahmen nach Abs. 1 in geeigneter Weise und be-stätigt dem Auftraggeber die vollständige und vertragsgemäße Rückgabe bzw. Vernichtung/Lö-schung der Datenträger, Unterlagen und Daten. Der Auftraggeber ist befugt, dies zu kontrollieren. § 7 gilt entsprechend.

(3) Der Auftragnehmer hat hinsichtlich der Datenträger, Unterlagen und Daten des Auftraggebers kein Zurückbehaltungsrecht (§ 273 BGB).

§ 13 Schlussbestimmungen

(1) Bei Widersprüchen zwischen diesem Auftragsverarbeitungsvertrag und dem [Name des Haupt-

vertrags] geht der [Name des Hauptvertrags] vor, es sei denn, die betreffende Regelung dieses Auftragsverarbeitungsvertrags beruht auf zwingenden datenschutzrechtlichen Vorgaben.

(2) Werden die Daten oder das Eigentum des Auftraggebers bei dem Auftragnehmer durch Maß-nahmen Dritter (etwa durch Pfändung oder Beschlagnahme), durch ein Insolvenzverfahren oder Lu

chte

rhan

d Ve

rlag

2019

Leseprobe

1394


Jungkind

durch sonstige Ereignisse gefährdet, informiert der Auftragnehmer den Auftraggeber unverzüg-lich. Der Auftragnehmer weist die Gläubiger oder sonstige Dritte unverzüglich darauf hin, dass der Auftragnehmer Daten im Auftrag des Auftraggebers verarbeitet.

(3) Für Nebenabreden ist die Schriftform erforderlich.

(4) Sollten einzelne Teile dieses Vertrags unwirksam sein, so berührt dies die Wirksamkeit der übrigen Regelungen des Vertrags nicht.

[Ort, Datum]

(Unterschrift des Auftraggebers)

[Ort, Datum]

(Unterschrift des Auftragnehmers)

Anlage 1 (zu § 3 des Vertrags über Auftragsverarbeitung)

Der Auftragnehmer trifft folgende technische und organisatorische Maßnahmen:

(1) Zutrittskontrolle

Der Auftragnehmer trifft folgende Maßnahmen, die Unbefugten den Zutritt zu Datenverarbei-tungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehren:

[Beschreibung des Zutrittskontrollsystems, z.B. Ausweisleser, kontrollierte Schlüsselvergabe, etc.]

(2) Zugangskontrolle

Der Auftragnehmer trifft folgende Maßnahmen, die verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können:

[z.B. Verschlüsselungsverfahren entsprechend dem Stand der Technik]

(3) Zugriffskontrolle

Der Auftragnehmer trifft folgende Maßnahmen, die gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unter-liegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung, Nut-zung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können:

[z.B. Beschreibung von systemimmanenten Sicherungsmechanismen, Verschlüsselungsverfahren entsprechend dem Stand der Technik. Bei Online-Zugriffen des Auftraggebers ist klarzustellen, welche Partei für die Ausgabe und Ver-

waltung von Zugriffssicherungscodes verantwortlich ist.]

(4) Weitergabekontrolle

Der Auftragnehmer trifft folgende Maßnahmen, die gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezo-gener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist:

[z.B. Beschreibung der verwendeten Einrichtungen und Übermittlungsprotokolle, z.B. Identifizierung und Authenti-

fizierung, Verschlüsselung entsprechend dem Stand der Technik, automatischer Rückruf, u.a.]

(5) Eingabekontrolle

Der Auftragnehmer trifft folgende Maßnahmen, die gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungs-Systeme eingegeben, verändert oder entfernt worden sind:Lu

chte

rhan

d Ve

rlag

2019

Leseprobe

1395


Jungkind

[z.B. Protokollierung sämtlicher Systemaktivitäten; die Protokolle werden mindestens 3 Jahre lang durch den Auf-

tragnehmer aufbewahrt.]

(6) Auftragskontrolle

Der Auftragnehmer trifft folgende Maßnahmen, die gewährleisten, dass personenbezogene Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können:

[z.B. Darlegung eines Konzepts zur formularisierten und damit standardisierten Erfassung und Übermittlung von

Datenverarbeitungsanweisungen etc.]

(7) Verfügbarkeitskontrolle

Der Auftragnehmer trifft folgende Maßnahmen, die gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind:

[z.B. Sicherungskopien des Datenbestandes; Beschreibung von Rhythmus, Medium, Aufbewahrungszeit und Auf-

bewahrungsort für Back-up-Kopien]

(8) Trennungskontrolle

Der Auftragnehmer trifft folgende Maßnahmen, die gewährleisten, dass die Daten verschiedener Auftraggeber sowie zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können:

[z.B. Darlegung von Berechtigungskonzepten zur Regelung des Zugriffs oder softwareseitige Mandantentrennung]

Anlage 2 (zu § 6 des Vertrags über Auftragsverarbeitung): Liste der vom Auftraggeber genehmig-ten Unterauftragnehmer

Erläuterungen

SchrifttumAlbrecht/Jotzo, Das neue Datenschutzrecht der EU, 1. Auflage, 2017; Bergmann/Möhrle/Herb, Datenschutz-recht, Stand August 2017; Ehmann, Abschied von der Verpflichtung auf das Datengeheimnis?, ZD 2017, 453; Ehmann/Selmayr, Datenschutz-Grundverordnung, 1. Auflage, 2017; Engels, Datenschutz in der Cloud – Ist hierbei immer eine Auftragsdatenverarbeitung anzunehmen?, K&R 2011, 548; Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 2. Auflage, 2017; Funke/Wittmann, Cloud Computing – ein klassischer Fall der Auftragsdatenverarbeitung? – Anforderungen an die verantwortliche Stelle, ZD 2013, 221; Gaul/Koehler, Mitarbeiterdaten in der Cloud: Datenschutzrechtliche Grenzen des Outsourcing, BB 2011, 2229; Gola/Schomerus, BDSG, 12. Auflage, 2015; Gola, Datenschutz-Grundverordnung, 1. Auflage, 2017; Hofmann, Anforderungen aus DS-GVO und NIS-RL an das Cloud Computing, ZD-Aktuell 2017, 05488; Knyrim, Datenschutz-Grundverordnung, 2016; Kühling/Buchner, Datenschutz-Grundverordnung, 1. Auflage, 2017; Kort, Arbeitnehmerdatenschutz gemäß der EU-Datenschutz-Grundverordnung, DB 2016, 711; Leupold/Glossner, Münchener Anwaltshandbuch IT-Recht, 3. Auflage, 2013; Logemann, Praxishandbuch Kunden-datenschutz. Leitfaden für Unternehmen bei datenschutzrechtlichen Fragestellungen im Umgang mit Kun-dendaten, 2013; Müthlein, ADV 5.0 – Neugestaltung der Auftragsdatenverarbeitung in Deutschland, RDV 2016, 74; Paal/Pauly, Datenschutz-Grundverordnung Bundesdatenschutzgesetz, 2. Auflage, 2018; Petri, Auftragsdatenverarbeitung – heute und morgen – Reformüberlegungen zur Neuordnung des Europäischen Datenschutzrechts, ZD 2015, 305; Plath, BDSG, 1. Auflage, 2013; Plath, BDSG DSGVO, 2. Auflage, 2016; Schmidt/Kahl, Verarbeitung »sensibler« Daten durch Cloud-Anbieter in Drittstaaten Auftragsdatenverarbei-tung nach geltendem Recht und DS-GVO, ZD 2017, 54; Splittgerber/Rockstroh, Sicher durch die Cloud navigieren – Vertragsgestaltung beim Cloud Computing, BB 2011, 2179; Sydow, Europäische Datenschutz-grundverordnung, 1. Auflage, 2017; Thüsing, Beschäftigtendatenschutz und Compliance, 2. Auflage, 2014; Ventura-Heinrich, Einführung in das Datenschutzrecht der betrieblichen Praxis, JA 2013, 130; Wolff/Brink, Beck´scher Online-Kommentar Datenschutzrecht, 22. Edition, Stand 01.11.2017.

1. An eine Auftragsverarbeitung ist immer dann zu denken, wenn ein Datentransfer von einem Rechtsträger auf einen anderen stattfindet. Dies gilt auch innerhalb eines Konzerns; wie das BDSG kennt auch die DS-GVO kein Konzernprivileg (vgl. Forgó/Helfrich/Schneider/Moos/Zeiter Be-trieblicher Datenschutz, Teil V Datenschutz in Betrieb, Unternehmen und Konzern, Kapitel 1 Konzerndatenschutz Rn. 4 ff.).

3

Luch

terh

and

Verla

g 20

19

Leseprobe

1396


Jungkind

2. Die DS-GVO regelt die Auftragsverarbeitung nicht grundsätzlich neu, enthält aber in Art. 28 DS-GVO und weiteren Artikeln zahlreiche Regelungen, die gerade für den Auftragnehmer über die bisherigen Anforderungen des Bundesdatenschutzgesetzes vom 14. Januar 2003 (BDSG a.F.) hin-ausgehen (Müthlein RDV 2016, 74; vgl. auch Kort DB 2016, 711, 716; Petri ZD 2015, 305, 308 ff.).

Die Auftragsverarbeitung ist insbesondere dadurch gekennzeichnet, dass der Auftragnehmer im Auftrag des Auftraggebers weisungsgebunden (Art. 29 DS-GVO) eine Datenverarbeitung vor-nimmt (Paal/Pauly/Martini DS-GVO BDSG, Art. 28 DS-GVO Rn. 1). Der Auftraggeber kann über die Zwecke und Mittel der Datenverarbeitung entscheiden (Paal/Pauly/Martini DS-GVO BDSG, Art. 29 DS-GVO Rn. 1). So wird beispielsweise der Anbieter von »Cloud Computing«-Dienstleistungen, der dem Auftraggeber lediglich Speicherplatz oder virtuelle Software zur Ver-fügung stellt, als Auftragsverarbeiter eingestuft (vgl. Hofmann ZD-Aktuell 2017, 05488; Schmidt/Kahl ZD 2017, 54, 56; kritisch hierzu Sydow/Ingold Europäische Datenschutzgrundverordnung, Art. 28 Rn. 23; zur alten Rechtslage vgl. Gola/Schomerus/Gola/Klug/Körffer BDSG, § 11 Rn. 8; Gaul/Koehler BB 2011, 2229, 2231; Splittgerber/Rockstroh BB 2011, 2179, 2181; Funke/Wittmann ZD 2013, 221; Engels K&R 2011, 548). Weitere Beispiele aus dem Bereich der Personalverwal-tung sind Dienstleister, die die Gehaltsabrechnung oder das Rekrutieren von Mitarbeitern über-nehmen.

Unter dem BDSG wurde die mit der Beauftragung eines Datenverarbeiters einhergehende Daten-übertragung rechtlich nicht als Datenübermittlung an einen Dritten im Sinne von § 3 Abs. 4 Satz 2 Nr. 3 BDSG a.F. angesehen. Der Auftragsverarbeiter war kein Dritter im Sinne von § 3 Abs. 8 Nr. 3 BDSG a.F. Folglich waren die Anforderungen an die Zulässigkeit der Auftragsverarbeitung nicht an § 4 Abs. 1 BDSG a.F. zu messen. In diesem Sinne war die Auftragsverarbeitung im BDSG »privilegiert« (Leupold/Glossner/Scheja/Haag Münchener Anwaltshandbuch IT-Recht, Teil 5 (Datenschutzrecht) Rn. 263; Ventura-Heinrich JA 2013, 130, 135). Die Existenz einer solchen Privilegierung unter der DS-GVO ist umstritten. In Ermangelung einer vergleichbaren Regelung wird teilweise angenommen, dass die Privilegierung weggefallen sei. Die Einschaltung von Auf-tragsverarbeitern sei daher stets nach Art. 6 Abs. 1 DS-GVO zu rechtfertigen (Laue/Nink/Kremer Das neue Datenschutzrecht in der betrieblichen Praxis, S. 165; Kóos/Englisch ZD 2014, 276, 284; Roßnagel/Kroschwald ZD 2014, 495, 498). Andere sprechen sich dagegen für den Fortbestand der Privilegierung aus (Schmidt/Freund ZD 2017, 14, 15 ff.; Albrecht/Jotzo Das neue Datenschutzrecht der EU, S. 172 f.; Härting ITRB 2016, 137, 139; Plath/Plath BDSG DSGVO, Art. 28 DSGVO Rn. 3; Knyrim/Bogendorfer Datenschutzgrundverordnung, S. 172 f.). Im Ergebnis macht dies kei-nen Unterschied. Jedenfalls hat der Verantwortliche in der Regel ein berechtigtes Interesse i.S.d. Art. 6 Abs. 1 Satz 1 lit. f ) DS-GVO, einen Datenverarbeiter zu beauftragen (Lissner DSRITB 2016, 401, 406).

Neu ist der Zusatz des Art. 29 a.E. DS-GVO, wonach die Weisungsgebundenheit des Auftragneh-mers ausnahmsweise entfällt, wenn entgegenstehende gesetzliche Pflichten bestehen. Diese Ausnah-me ist Ausdruck der generellen Zielsetzung, den Auftragsverarbeiter deutlich stärker gesetzlichen Pflichten zu unterwerfen als noch unter der alten Rechtslage. Die datenschutzrechtliche Haupt-verantwortung für die Rechtmäßigkeit der Datenverarbeitung verbleibt gleichwohl gemäß Art. 5 Abs. 2 DS-GVO l beim Auftraggeber als dem primär Verantwortlichen (Lissner DSRITB 2016, 401, 405 f.).

Unter dem BDSG wurde eine Funktionsübertragung in der Regel dann angenommen, wenn eine ganze Unternehmensfunktion, zu deren Erfüllung die Verarbeitung der Daten notwendig ist, übertragen wurde. Dies war beispielsweise der Fall, wenn alle Vorgänge der Personalverwaltung einschließlich der damit verbundenen Personalentscheidungsbefugnisse bei einer Konzerngesell-schaft zentralisiert wurden (vgl. zur alten Rechtslage Kühling/Buchner/Hartung DS-GVO, Art. 28 Rn. 41). Die Datenverarbeitung spielte bei der Funktionsübertragung lediglich eine nachgeordnete Rolle. Der Auftragnehmer hatte eine größere Eigenständigkeit (Sydow/Ingold Europäische Daten-schutzgrundverordnung, Art. 28 Rn. 15).

4

5

5.1

5

6

Luch

terh

and

Verla

g 20

19

Leseprobe

1397


Jungkind

Teilweise wird an der Abgrenzung zwischen Auftragsdatenverarbeitung und Funktionsübertragung unter der DS-GVO festgehalten (Sydow/Ingold Europäische Datenschutzgrundverordnung, Art. 28 Rn. 16 f.; Plath/Schreiber BDSG DSGVO, Art. 4 Rn. 28). Zutreffender ist es jedoch, das Institut der Funktionsübertragung zumindest in Bezug auf die DS-GVO gänzlich aufzugeben (so auch Kühling/Buchner/Hartung DS-GVO, Art. 28 Rn. 43 ff.; Müthlein RDV 2016, 74, 83 f.; Wolff/Brink/Spoerr BeckOK Datenschutzrecht, Art. 28 DS-GVO Rn. 26 ff.). Das Merkmal der Funktionsübertragung hängt eng mit der Auslegung der Begriffe »Verantwortlicher« und »Auftragsverarbeiter« zusammen (Kühling/Buchner/Hartung DS-GVO, Art. 28 Rn. 43). Maßgeblich ist, wer über die Zwecke und Mittel der Datenverarbeitung entscheidet (vgl. Art. 4 Nr. 7 DS-GVO). Diese Definition findet sich genauso bereits in Art. 2 lit. d) RL 95/46/EG. Somit kann auf die Auslegungen der Art. 29-Daten-schutzgruppe im WP 169 zurückgegriffen werden, wonach der Verantwortliche lediglich über die Zwecke der Datenverarbeitung entscheiden muss und die Entscheidung über die Mittel auf den Auftragsverarbeiter übertragen kann (Müthlein RDV 2016, 74, 84). Dies war unter dem BDSG nur im Rahmen einer Funktionsübertragung möglich. Gestattet die DS-GVO heute die Delegation der Mittel auf den Auftragsverarbeiter, fallen viele Fälle, die unter dem BDSG noch eine Funk-tionsübertragung darstellten, jetzt unter die Auftragsverarbeitung (Kühling/Buchner/Hartung DS-GVO, Art. 28 Rn. 44; Müthlein RDV 2016, 74, 84 f.; Wolff/Brink/Spoerr BeckOK Datenschutz-recht, Art. 28 DS-GVO Rn. 26). Anstatt einer komplizierten Einzelfallabgrenzung, wie sie bei der Unterscheidung zwischen der Funktionsübertragung und der Auftragsverarbeitung erfolgte, kann nun anhand abstrakter Kriterien bestimmt werden, ob eine Auftragsverarbeitung vorliegt (Kühling/Buchner/Hartung DS-GVO, Art. 28 Rn. 46 ff.). Nach der Auslegung der Datenschutzrichtlinie durch die Art. 29-Datenschutzgruppe in WP 169 (Art. 29-Datenschutzgruppe, Opinion 1/2010 on the concepts of »controller« and »processor«, WP 169, 24 ff.) sind Indizien für die Auftragsdatenver-arbeitung beispielsweise das Bestehen ausführlicher Weisungen, die dem Auftragsverarbeiter wenig Spielraum lassen, sowie eine sorgfältige Beaufsichtigung seitens des Auftraggebers. Von Bedeutung kann auch sein, welcher Eindruck den betroffenen Personen zu der Frage, wer verantwortliche Stel-le ist, vermittelt wird, wenn sich z.B. ein Call Center mit dem Namen des Auftraggebers meldet (Art. 29-Datenschutzgruppe, Opinion 1/2010 on the concepts of »controller« and »processor«, WP 169, 28; Kühling/Buchner/Hartung DS-GVO, Art. 28 Rn. 47 f m.w.N.). Verfolgt der Auftragneh-mer eigene Interessen, wird dagegen keine Auftragsverarbeitung, sondern regelmäßig ein Fall der gemeinsamen Verantwortung nach Art. 26 DS-GVO gegeben sein (Müthlein RDV 2016, 74, 85).

3. Der Auftrag zur Datenverarbeitung ist nach Art. 28 Abs. 9 DS-GVO stets schriftlich zu er-teilen, wobei die elektronische Form ausreicht. Die Nichteinhaltung der Schriftform kann die Verhängung eines Bußgeldes in Höhe von bis zu 10.000.000 EUR oder bei einem Unternehmen von bis zu zwei Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher der Beträge höher ist) gemäß Art. 83 Abs. 4 lit. a) DS-GVO nach sich ziehen. Der Begriff »Auftrag« ist nicht ausschließlich im Sinne der §§ 662 ff. BGB zu verstehen. Art. 28 DS-GVO enthält keine Vorgaben zur Art des Vertrages. Sicherzustellen ist je-doch, dass die Vereinbarung rechtsverbindlich und bindend in Bezug auf die Mindestanforderun-gen der DS-GVO ist. Ob der Vertrag privatrechtlicher oder öffentlich-rechtlicher Natur ist, ist ohne Bedeutung. Es muss eine synallagmatische Beziehung zwischen der Beauftragung mit der Verarbeitung und der Erbringung einer Gegenleistung bestehen. Die Gegenleistung erfolgt in der Regel in Form eines Entgelts (vgl. Paal/Pauly/Martini DS-GVO BDSG, Art. 28 DS-GVO Rn. 24). Mögliche – auch kombinierbare – Rechtsformen sind insbesondere der Dienst-, Werk- oder Ge-schäftsbesorgungsvertrag (so auch nach der alten Rechtslage Gola/Schomerus/Gola/Klug/Körffer BDSG, § 11 Rn. 6). Möglich sind darüber hinaus auch »andere Rechtsinstrumente«, die im Unions-recht oder im nationalen Recht der Mitgliedstaaten geregelt sein können (vgl. Art: 28 Abs. 3 Satz 1 DS-GVO). Diese Öffnungsklausel ermöglicht den Mitgliedstaaten, eigene Gestaltungsformen zu schaffen. Inhaltlich müssen diese Rechtsinstrumente allerdings den gleichen Anforderungen ge-recht werden wie der Vertrag. Die Mitgliedstaaten können also lediglich das Regelungsinstrument, nicht aber dessen Inhalt bestimmen (Wolff/Brink/Spoerr BeckOK Datenschutzrecht, Art. 28 DS-GVO Rn. 46 f.).

6.1

7

Luch

terh

and

Verla

g 20

19

Leseprobe

1398


Jungkind

4. Verantwortliche für personenbezogene Daten des Arbeitnehmers ist stets diejenige Gesellschaft, die den Arbeitsvertrag mit dem Arbeitnehmer geschlossen hat (vgl. Thüsing/Thüsing/Granetzny Be-schäftigtendatenschutz und Compliance, § 16 Rn. 7).

5. Art. 4 Nr. 8 DS-GVO definiert, dass der Auftragsverarbeiter personenbezogene Daten im Auf-trag des Verantwortlichen verarbeitet.

6. Art. 28 Abs. 3 DS-GVO enthält einen – vergleichbar zur Vorgängerregelung in § 11 BDSG a.F. – umfassenden Katalog der im Auftrag vertraglich mindestens zu regelnden Aspekte. Darüber hinaus steht es den Parteien frei, weitere Aspekte zu regeln. Eine nicht ausreichende Be-rücksichtigung der gesetzlichen Vorgaben ist bußgeldbewehrt (Art. 83 Abs. 4 lit. a) DS-GVO) und kann Schadensersatzansprüche des Betroffenen gegen die verantwortliche Stelle begründen (Art. 82 Abs. 1 DS-GVO). Neu ist die gesamtschuldnerische Haftung des Verantwortlichen und des Auftragverarbeiters (Art. 82 Abs. 4 DS-GVO). Die Einhaltung der entsprechenden Vorgaben sollte bei der Compliance-Organisation eines jeden Unternehmens Berücksichtigung finden (vgl. hierzu allgemein auch das Kapitel Compliance in diesem Formularbuch).

7. Unter den Voraussetzungen des Art. 37 Abs. 1 DS-GVO müssen sowohl der Auftraggeber als auch der Auftragsverarbeiter jeweils einen Datenschutzbeauftragten ausdrücklich benennen. Die Benennung eines Datenschutzbeauftragten ist insbesondere dann zwingend, wenn die Kerntätig-keit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungs-vorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfang-reiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b) DS-GVO) oder in der umfangreichen Verarbeitung besonderer Kategorien von Daten i.S.d. Art. 9 und Art. 10 DS-GVO besteht (Art. 37 Abs. 1 lit. c) DS-GVO). Ergänzend zu Art. 37 Abs. 1 lit. b) und c) DS-GVO benennen der Verantwortliche und der Auftragsverarbei-ter gemäß § 38 Abs. 1 Satz 1 BDSG n.F. einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

8. Verträge zur Auftragsverarbeitung stehen regelmäßig im Zusammenhang mit einem Hauptver-trag zwischen dem Auftraggeber und dem Auftragnehmer, z.B. einem IT-Dienstleistungsvertrag. Art. 28 Abs. 3 Satz 1 DS-GVO erfordert die Festlegung von Gegenstand und Dauer, Art und Zweck der vorgesehenen Verarbeitung sowie von Pflichten und Rechten des Verantwortlichen. Die-se können im Hauptvertrag geregelt sein. Um die Dienstleistungen des Hauptvertrages zu erfüllen, muss der Auftragnehmer Daten des Auftraggebers verarbeiten. Für die Datenverarbeitung bietet sich dann eine spezielle Regelung in Form des Vertrags über die Auftragsverarbeitung an.

9. Bei der Erfüllung der Anforderungen des Art. 28 Abs. 3 DS-GVO bedarf es einer aussage-kräftigen Beschreibung des Inhalts des Auftrags im Hauptvertrag, damit die vom Auftragnehmer durchzuführende Datenverarbeitung und ihr Umfang eindeutig einem bestimmten Auftrag zuge-ordnet werden können (vgl. Ehmann/Selmayr/Bertermann DS-GVO, Art. 28 Rn. 16). Dabei kann auch auf einen Dienstleistungsvertrag (Service Level Agreement) o.ä. Bezug genommen werden. Gegenstand des Auftrags im Bereich der Personaldatenverarbeitung kann beispielsweise sein (vgl. Bergmann/Möhrle/Herb Datenschutzrecht, Art. 28 EU-GVO Anlage 2):

– Erhebung und Fortschreibung der Stammdaten der Beschäftigten – Berechnung des Entgelts – Erstellung von Beitragsnachweisen an Krankenkassen – Erstellung von Beschäftigungsnachweisen – Bereitstellung von Personal- und Ausfallzeitstatistiken.

Werden im Hauptvertrag die Anforderungen des Art. 28 Abs. 3 DS-GVO nicht geregelt, sind diese zwingend in den Vertrag zur Auftragsverarbeitung aufzunehmen.

10. Art. 28 Abs. 3 Satz 1 DS-GVO erfordert die Festlegung der Dauer der vorgesehenen Ver-arbeitung. Sofern diese nicht im Hauptvertrag geregelt wird, ist sie im Vertrag über die Daten-

8

9

10

11

12

13

15

Luch

terh

and

Verla

g 20

19

Leseprobe

1399


Jungkind

verarbeitung festzulegen. Es kann auch eine unbestimmte Dauer vereinbart werden (Ehmann/Selmayr/Bertermann DS-GVO, Art. 28 Rn. 15). Eindeutig festzulegen ist jedoch der Beginn der Datenverarbeitung.

11. Nach Art. 28 Abs. 3 Satz 1 DS-GVO sind auch die Kategorien der betroffenen Personen zu benennen, z. B. Mitarbeiter, Bewerber, Kunden, Geschäftspartner. Im Rahmen der Personalverwal-tung kann hier schon die Nennung von »Arbeitnehmerinnen und Arbeitnehmern« genügen, ggf. ist aber weiter zu differenzieren nach Auszubildenden, Praktikanten, Bewerbern, Pensionären etc. (vgl. auch die Definition von »Beschäftigten« des § 26 Abs. 8 BDSG a.F.).

12. Nach Art. 28 Abs. 3 Satz 1 DS-GVO ist auch die Art der von der Datenverarbeitung betrof-fenen Daten zu beschreiben. Dabei sind die einzelnen Datenkategorien zu benennen wie Stamm-daten (Name, Privatanschrift, Geburtsdatum), Lebensläufe, Leistungsbeurteilungen, Konto- und/oder Abrechnungsdaten sowie geschäftliche Korrespondenz (Verkehrs- und Inhaltsdaten von E-Mails und sonstiger Kommunikation; Datenbankeinträge; Kalendereinträge etc.). Dazu können außerdem besondere Arten personenbezogener Daten im Sinne von Art. 9 DS-GVO gehören, beispielsweise Angaben über die rassische und ethnische Herkunft, Gewerkschaftszugehörigkeit, Gesundheitsdaten.

13. Vgl. Art. 28 Abs. 3 Satz 2 lit. c) i.V.m. Art. 32 DS-GVO. Die technischen und organisa-torischen Sicherheitsmaßnahmen sind konkret zu bezeichnen. Es genügt nicht, den Katalog des Art. 32 DS-GVO wiederzugeben. Die Pflicht, die Anforderungen des Art. 32 DS-GVO einzu-halten, ergibt sich bereits aus Art. 32 DS-GVO selbst, sodass eine entsprechende Verpflichtung im Vertrag lediglich deklaratorische Bedeutung hat (Ehmann/Selmayr/Bertermann DS-GVO, Art. 28 Rn. 21). Obwohl keine ausdrückliche Pflicht besteht, die in Art. 32 DS-GVO konkret genannten Maßnahmen in den Vertrag aufzunehmen, kann dies sinnvoll sein, da die zu treffenden Maßnah-men ohnehin dokumentiert werden müssen und ihre Aufnahme gerade hinsichtlich der Haftungs-regelungen für die Parteien hilfreich sein kann (Ehmann/Selmayr/Bertermann DS-GVO, Art. 28 Rn. 21; Kühling/Buchner/Hartung DS-GVO, Art. 28 Rn. 71).

14. Im Unterschied zu den Regelungen des BDSG (§ 11 Abs. 2 Satz 4 und 5 BDSG a.F.) enthält Art. 28 DS-GVO keine ausdrücklichen Kontroll- und Dokumentationspflichten des Auftragge-bers. Dies beruht auf der Neuausrichtung der Auftragsverarbeitung in der DS-GVO, die den Auf-tragsverarbeiter deutlich stärker in die Verantwortung nimmt. Gleichwohl bleibt der Auftraggeber gemäß Art. 5 Abs. 2 DS-GVO rechenschaftspflichtig. Praktisch wird er dieser Pflicht nur durch entsprechende Kontrollen und deren Dokumentation nachkommen können (Lissner DSRITB 2016, 401, 408). Der Umfang der Dokumentationspflicht kann je nach Gegenstand, Umfang und Komplexität der Auftragsverarbeitung variieren.

15. Die Rechtmäßigkeit von Datenübermittlungen in Drittländer beurteilt sich nach den Art. 44–49 DS-GVO. Auftragsverarbeiter werden ausdrücklich als Adressaten der Regelungen genannt. Im Unterschied zur Rechtslage unter dem BDSG gilt die Definition des Auftragverarbeiters in Art. 4 Nr. 8 DS-GVO nicht nur für Personen, die im Inland, in einem Mitgliedsstaat der Europäischen Union oder in einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum Daten verarbeiten. Die DS-GVO gestattet grundsätzlich auch eine Auftragsvereinbarung mit Dienstleis-tern in Drittländern. Damit ist der noch unter der alten Rechtslage bestehende Systembruch be-seitigt. Wurde unter dem BDSG ein Auftragnehmer beauftragt, der als Auftragsverarbeiter Daten in Drittländern verarbeitete, galt die damit verbundene Datenübertragung als Datenübermittlung an einen Dritten im Sinne von § 3 Abs. 4 Satz 2 Nr. 3 BDSG. Damit unterlag sie der Rechtfertigung nach § 4 Abs. 1 BDSG i.V.m. § 32 Abs. 1 Satz 1 BDSG, ggf. auch der Rechtfertigung des § 28 Abs. 1 Satz 1 Nr. 2 BDSG, soweit nicht Daten von Beschäftigten im Sinne von § 3 Abs. 11 BDSG betroffen waren, vgl. Wolff/Brink/Spoerr BeckOK Datenschutzrecht, § 11 Rn. 129). Diese Recht-fertigung war unsystematisch, weil es sich in der Sache um eine Auftragsverarbeitung handelte und sich der Charakter einer Dienstleistung nicht durch den Ort der Datenverarbeitung verändert. Die

16

17

18

19

20

Luch

terh

and

Verla

g 20

19

Leseprobe

1400


Jungkind

Auftragsverarbeitung erstreckt sich heute auf sämtliche Formen der Auftragsverarbeitung auch in Drittländern.

16. Der Auftrag erfordert Festlegungen über die Berichtigung, Löschung und Sperrung von Daten, Art. 28 Abs. 3 lit. g) DS-GVO.

17. In welchem Umfang der Auftraggeber gegenüber dem Auftragnehmer befugt sein soll, Wei-sungen zu erteilen, ist – anders als nach § 11 Abs. 2 Satz 2 Nr. 9 BDSG a.F. – nicht mehr im Ein-zelnen festzulegen. Art. 28 Abs. 3 Satz 2 lit. a) DS-GVO erfordert lediglich eine dokumentierte Weisung des Verantwortlichen zur Datenverarbeitung, die aber an kein bestimmtes Formerforder-nis gebunden ist (Kühling/Buchner/Hartung DS-GVO, Art. 28 Rn. 69). Gleichwohl empfiehlt es sich, den Umfang der Weisungsbefugnisse vertraglich festzuhalten.

18. Nach Art. 28 Abs. 3 lit. h) i.V.m. Art. 28 Abs. 3 Satz 3 DS-GVO sind in den Vertrag über Auftragsverarbeitung zwingend Regelungen über mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen die Vorschriften zum Schutz personenbezogener Daten oder die im Auftrag getroffenen Festlegungen aufzunehmen.

19. Die in den Art. 16, 17, 18, 20, 21 DS-GVO genannten Rechte sind gegenüber dem Auftrag-geber als Verantwortlichem geltend zu machen. Der Schadensersatzanspruch aus Art. 82 DS-GVO kann nunmehr jedoch sowohl gegenüber dem Auftragnehmer als auch dem Auftraggeber geltend gemacht werden.

20. Nach Art. 28 Abs. 3 lit. a) DS-GVO darf der Auftragnehmer die Daten nur im Rahmen der Weisungen des Auftraggebers (»dokumentierte Weisung«) verarbeiten. Hiermit korrespondiert die Berechtigung des Auftraggebers nach § 4 Abs. 1 des Vertrags, dem Auftragnehmer jederzeit Wei-sungen zu erteilen.

21. Die ausdrückliche Dokumentationspflicht der Weisungen nach Art. 28 Abs. 3 lit. a) DS-GVO ist neu.

22. Die Hinweispflicht des Auftragnehmers folgt aus Art. 28 Abs. 3 Satz 3 DS-GVO.

23. Anders als eine vertragliche Regelung i.S.d. Art. 28 Abs. 3 lit. c) DS-GVO, die den Auf-tragsverarbeiter zur Einhaltung der Pflichten nach Art. 32 DS-GVO verpflichtet, bezieht sich die Unterstützungspflicht des Art. 28 Abs. 3 lit. f ) DS-GVO auf die Pflichten des Verantwortlichen nach Art. 32 ff. DS-GVO (Paal/Pauly/Martini DS-GVO BDSG, Art. 28 DS-GVO Rn. 48). Die-ser Pflicht unterliegt der Auftragsverarbeiter, da der Verantwortliche die Datenverarbeitung nicht selbst vornimmt und deswegen zur Einhaltung seiner Pflichten auf die Informationen des Auf-tragsverarbeiters angewiesen ist (Wolff/Brink/Spoerr BeckOK Datenschutzrecht, Art. 28 DS-GVO Rn. 76). Der Umfang der Unterstützungspflicht ist abhängig von der Art der Verarbeitung und den Informationen, die dem Auftragsverarbeiter zur Verfügung stehen (Wolff/Brink/Spoerr BeckOK Datenschutzrecht, Art. 28 DS-GVO Rn. 77).

24. Art. 32 DS-GVO dient dazu, die Sicherheit der Datenverarbeitung zu gewährleisten. Die dort geregelten Pflichten treffen den Auftragsverarbeiter (unabhängig von dem zugrundeliegenden Vertrag) genauso wie den Verantwortlichen. Die Vorschrift schützt die Rechte und Freiheiten der von der Verarbeitung betroffenen Personen (Ehmann/Selmayr/Hladjk DS-GVO, Art. 32 Rn. 1 f.). Art. 32 Abs. 1 DS-GVO legt Kriterien zur Bestimmung geeigneter technischer und organisato-rischer Maßnahmen fest, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zu diesen Kriterien zählen unter anderem der Stand der Technik, die Implementierungskosten sowie die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen. Art. 32 Abs. 1 lit. a)-d) DS-GVO listet beispielhafte Maßnahmen auf. Diese Liste ist nicht abschließend (Ehmann/Selmayr/Hladjk DS-GVO, Art. 32 Rn. 6). Nach Art. 32 Abs. 2 DS-GVO sind für die Beurteilung des angemessenen Schutzniveaus insbesondere die mit der Verarbeitung verbundenen Risiken zu berücksichtigen. Ein Verstoß gegen diese Verpflichtung kann nach Art. 83 Abs. 4 lit. a) DS-GVO mit einem Bußgeld in Höhe von bis zu 10.000.000 EUR oder bei Unternehmen von bis zu zwei

21

22

23

24

25

26

27

28

28.1

Luch

terh

and

Verla

g 20

19

Leseprobe

1401


Jungkind

Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher der Beträge höher ist) geahndet werden.

25. Im Falle einer unrechtmäßigen Übermittlung der genannten Daten oder für den Fall, dass diese auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind und schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen drohen, ist der Auftraggeber verpflichtet, dies der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzutei-len. Diese Pflicht kann beispielsweise relevant werden, wenn ein Laptop, ein Smartphone oder ein sonstiger Datenträger verloren geht und die darauf befindlichen Daten nicht technisch vor dem Zugriff Dritter geschützt sind. Der Auftragsverarbeiter muss dem Auftraggeber daher eine Verlet-zung des Schutzes personenbezogener Daten unverzüglich melden, wenn ihm eine solche bekannt wird (Art. 33 Abs. 2 DS-GVO). Da die Nichterfüllung mit einem Bußgeld in Höhe von bis zu 10.000.000 EUR oder bei Unternehmen von bis zu zwei Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (je nachdem, welcher der Beträge höher ist) bestraft werden kann, Art. 83 Abs. 4 lit. a) DS-GVO, sind die Mitwirkungspflichten des Auftrag-nehmers sorgfältig zu regeln.

26. Art. 34 DS-GVO enthält eine Pflicht, betroffene Personen im Falle der Verletzung des Schut-zes personenbezogener Daten zu benachrichtigen. Nach Art. 34 Abs. 1 DS-GVO muss eine Be-nachrichtigung aber nur erfolgen, wenn ein hohes Risiko für die persönlichen Rechte und Freihei-ten besteht. Art. 34 Abs. 2 DS-GVO legt fest, dass die betroffenen Personen in klarer und einfacher Sprache zu benachrichtigen sind, und stellt inhaltliche Anforderungen an die Benachrichtigung auf. Gemäß Art. 34 Abs. 3 DS-GVO ist eine Benachrichtigung nicht erforderlich, wenn der Verant-wortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat (lit. a), nachträglich Schutzmaßnahmen getroffen hat, die das Risiko aller Wahrscheinlichkeit nach elimi-nieren (lit. b), oder der Aufwand der Benachrichtigung unverhältnismäßig wäre (lit. c). Im letzten Fall muss allerdings eine öffentliche Bekanntmachung oder ähnliche Maßnahme erfolgen. Art. 34 Abs. 4 DS-GVO befähigt die Aufsichtsbehörde, vom Verantwortlichen eine Benachrichtigung der betroffenen Personen zu verlangen. Ein Verstoß gegen diese Pflichten kann ebenfalls nach Maßgabe des Art. 83 Abs. 4 lit. a) DS-GVO mit einer Geldbuße geahndet werden.

27. Nach Art. 35 Abs. 1 DS-GVO muss der Verantwortliche vorab eine Abschätzung der Fol-gen für den Schutz personenbezogener Daten durchführen, wenn die Verarbeitungsform vor-aussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Art. 35 Abs. 3 DS-GVO zählt die Fälle auf, in denen eine Folgenabschätzung vorzunehmen ist. Hierbei handelt es sich um Regelbeispiele, deren Aufzählung nicht abschließend ist (Ehmann/Selmayr/Baumgartner DS-GVO, Art. 35 Rn. 20). Die Aufsichtsbehörde muss eine Liste mit Ver-arbeitungsvorgängen, die eine Folgenabschätzung erfordern, erstellen und veröffentlichen (Art. 35 Abs. 4 DS-GVO). Art. 35 Abs. 7 DS-GVO legt den Mindestinhalt der Folgenabschätzung fest. Gibt es einen Datenschutzbeauftragten, ist im Rahmen der Folgenabschätzung dessen Rat einzu-holen (Art. 35 Abs. 2 DS-GVO). Wenn der Schutz gewerblicher oder öffentlicher Interessen es zulassen, kann der Verantwortliche den Standpunkt der betroffenen Personen einholen (Art. 35 Abs. 9 DS-GVO).

Adressat der Pflicht zur Folgenabschätzung ist nur der Verantwortliche und nicht der Auftrags-verarbeiter. Dennoch muss der Verantwortliche bei seiner Risikobeurteilung die Einschaltung von Auftragsverarbeitern mit einbeziehen (Ehmann/Selmayr/Baumgartner DS-GVO, Art. 35 Rn. 6).

Ergibt die Folgenabschätzung, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft, muss der Verantwortliche die Aufsichtsbehörde konsultieren (Art. 36 Abs. 1 DS-GVO).

Auch hier wird ein Verstoß nach Art. 83 Abs. 4 lit. a) DS-GVO mit einer Geldbuße geahndet.

28. Nach Art. 30 Abs. 1 Satz 1 DS-GVO muss jeder Verantwortliche ein Verzeichnis der in seine Zuständigkeit fallenden Verarbeitungstätigkeiten führen. Art. 30 Abs. 1 Satz 2 DS-GVO legt fest,

29

30

31

31.1

31.2

31.3

31.4

Luch

terh

and

Verla

g 20

19

Leseprobe

1402


Jungkind

welche Angaben das Verzeichnis enthalten muss. Die Angaben sind für jede Verarbeitung geson-dert aufzuführen (Ehmann/Selmayr/Bertermann DS-GVO, Art. 30 Rn. 6). Der Auftragsverarbeiter muss ein Verzeichnis zu allen Kategorien der im Auftrag eines Verantwortlichen durchgeführten Tä-tigkeiten führen (Art. 30 Abs. 2 Satz 1 DS-GVO), dessen Pflichtangaben Art. 30 Abs. 2 Satz 2 DS-GVO auflistet. Die Verzeichnisse müssen schriftlich geführt werden, wobei die elektronische Form ausreicht (Art. 30 Abs. 3 DS-GVO). Die in den Verzeichnissen enthaltenen Informationen dienen der Aufsichtsbehörde dazu, einen ersten Eindruck zu bekommen, ob die Pflichten nach der Verord-nung eingehalten werden (Ehmann/Selmayr/Bertermann DS-GVO, Art. 30 Rn. 2). Das Verzeich-nis ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen (Art. 30 Abs. 4 DS-GVO). Unter-nehmen oder Einrichtungen mit weniger als 250 Mitarbeitern müssen kein Verzeichnis führen. Diese Ausnahme greift jedoch nicht, wenn die Verarbeitung ein Risiko für die Rechte und Freihei-ten der betroffenen Personen beinhaltet, die Verarbeitung nicht nur gelegentlich erfolgt oder eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 DS-GVO bzw. eine Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten i.S.d. Art. 10 DS-GVO erfolgt (Art. 30 Abs. 5 DS-GVO). Der Verantwortliche oder der Auftragsverarbeiter müs-sen im Zweifelsfall den Nachweis erbringen, dass objektiv kein solches Risiko besteht (Ehmann/Selmayr/Bertermann DS-GVO, Art. 30 Rn. 4). Art. 30 Abs. 5 DS-GVO sollte ursprünglich kleine und mittelständische Unternehmen entlasten. Allerdings erfassen auch diese Unternehmen häufig sehr umfangreich die Daten ihrer Beschäftigten, sodass auch hier ein hohes Risiko für die Rechte und Freiheiten der Beschäftigten bestehen kann (Ehmann/Selmayr/Bertermann DS-GVO, Art. 30 Rn. 5). Wegen der hohen Geldbuße bei einem Verstoß (Art. 83 Abs. 4 lit. a) DS-GVO) erscheint es sinnvoll, stets ein Verzeichnis zu führen, selbst wenn gegebenenfalls eine Befreiungsmöglichkeit vor-liegt (Ehmann/Selmayr Bertermann DS-GVO, Art. 30 Rn. 5). Darüber hinaus verfügt ein Unter-nehmen ohnehin über die für das Verzeichnis erforderlichen Informationen, da es den Pflichten aus Art. 13, 14, 15 und 32 DS-GVO nachkommen muss, sodass sich die Führung eines Verzeichnisses auf freiwilliger Basis auch bei einer Befreiung anbietet (Ehmann/Selmayr/Bertermann DS-GVO, Art. 30 Rn. 5).

29. Nach dem BDSG war zwingend eine schriftliche Regelung erforderlich, wenn der Auftrags-verarbeiter zur Begründung von Unterauftragsverhältnissen berechtigt werden sollte (§ 11 Abs. 2 Satz 2 Nr. 6 BDSG). Abgesehen vom Vorliegen dieser generellen Berechtigung wurden keine wei-teren Anforderungen an die Zulässigkeit einer Unterbeauftragung gestellt. Der Auftraggeber blieb auch im Hinblick auf die Datenverarbeitungstätigkeit des Unterauftragnehmers zur Einhaltung der Vorschriften über den Datenschutz verantwortlich (§ 11 Abs. 1 BDSG), obwohl keine direkte Vertragsbeziehung zu dem Unterauftragnehmer bestand. Um die hieraus entstehenden Risiken zu minimieren, war es sinnvoll, die Erteilung eines Unterauftrags vertraglich auszuschließen und zu-mindest unter den Vorbehalt der vorherigen schriftlichen Zustimmung des Auftraggebers zu stellen.

Art. 28 Abs. 2 DS-GVO verschärft die Vorgaben für die Unterbeauftragung, sodass eine vertrag-liche Regelung nicht mehr so streng auszufallen braucht. Im Unterschied zu § 11 Abs. 2 Nr. 6 BDSG a.F. darf der Auftragsverarbeiter weitere Auftragsverarbeiter nicht ohne vorherige schrift-liche Genehmigung des Auftraggebers einsetzen. Der Verantwortliche muss die Unterbeauftra-gung entweder gesondert oder allgemein schriftlich genehmigen (Art. 28 Abs. 2 Satz 1 DS-GVO). Für die schriftliche Genehmigung genügt die elektronische Form (Ehmann/Selmayr/Bertermann DS-GVO, Art. 28 Rn. 11; Plath/Plath BDSG DSGVO, Art. 28 Rn. 9; a.A. Paal/Pauly/Martini DS-GVO BDSG, Art. 28 DS-GVO Rn. 62). Besteht eine allgemeine Genehmigung, muss der Auftragsverarbeiter den Verantwortlichen über die Beauftragung eines Unterauftragnehmers unter-richten, damit dieser von seinem Einspruchsrecht Gebrauch machen kann (Art. 28 Abs. 2 Satz 2 DS-GVO). Erfolgt ein Einspruch durch den Verantwortlichen ist die Untersagung der Unterbe-auftragung bindend, da der Auftragsverarbeiter den Weisungen des Verantwortlichen unterliegt (Ehmann/Selmayr/Bertermann DS-GVO, Art. 28 Rn. 11; so wohl auch Sydow/Ingold Europäische Datenschutzgrundverordnung, Art. 28 Rn. 37; a.A. Plath/Plath BDSG DSGVO, Art. 28 Rn. 11, der davon ausgeht, dass die Informationspflicht dem Verantwortlichen lediglich die Kontrolle er-leichtern soll).

32

32.1

Luch

terh

and

Verla

g 20

19

Leseprobe

1403


Jungkind

Indem Art. 28 Abs. 4 DS-GVO die Unterauftragnehmer als »weitere Auftragsverarbeiter« bezeich-net, wird klargestellt, dass die Unterauftragnehmer die gleichen Rechte und Pflichten treffen wie den ursprünglichen Auftragnehmer (Müthlein RDV 2016, 74, 82). Art. 28 Abs. 4 Satz 1 DS-GVO legt fest, dass der Vertrag mit dem Unterauftragnehmer dieselben Rechte und Pflichten enthalten muss, wie der Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter. Die Verein-barung zwischen dem Auftragsverarbeiter und dem Unterbeauftragtem muss die Voraussetzungen des Art. 28 Abs. 3 DS-GVO erfüllen (Ehmann/Selmayr/Bertermann DS-GVO, Art. 28 Rn. 11) und schriftlich geschlossen werden, wofür die Einhaltung der elektronischen Form genügt (Art. 28 Abs. 9 i.V.m. Abs. 4 DS-GVO).

Nach Art. 28 Abs. 4 Satz 2 DS-GVO haftet der Auftragnehmer vollumfänglich für Pflichtverlet-zungen seines Unterauftragnehmers. Hieraus lässt sich schließen, dass eine direkte Kontrolle des Unterauftragnehmers durch den Verantwortlichen nicht erforderlich ist (Kühling/Buchner/Har-tung DS-GVO, Art. 28 Rn. 86; Müthlein RDV 2016, 74, 82). Die Änderung gegenüber der alten Rechtslage wird damit begründet, dass eine direkte Kontrolle des Auftraggebers beim Unterauf-tragnehmer, wie sie im Rahmen des BDSG von den Aufsichtsbehörden teilweise gefordert wurde (vgl. Gola/Schomerus/Gola/Klug/Körffer BDSG, § 11 Rn. 18e), häufig nicht durchführbar war und regelmäßig durch eine vertragliche Vereinbarung an den Auftragnehmer delegiert wurde (Müthlein RDV 2016, 74, 82). Unter der DS-GVO genügt es nun, wenn der Verantwortliche seine Auf-tragsverarbeiter überwacht und dabei auch kontrolliert, dass diese wiederum ihre Kontrollpflichten gegenüber den Unterauftragnehmern wahrnehmen (Kühling/Buchner/Hartung DS-GVO, Art. 28 Rn. 86).

Der Begriff der Unterbeauftragung ist im Gesetz nicht definiert. Art. 28 Abs. 4 DS-GVO spricht lediglich von »bestimmten Verarbeitungstätigkeiten«. Eine Unterbeauftragung liegt nur vor, wenn der Unterauftragnehmer in die Datenverarbeitung eingebunden ist und nicht nur sonstige Unterstüt-zungs- und Hilfstätigkeiten erbringt (vgl. Paal/Pauly/Martini DS-GVO BDSG, Art. 28 DS-GVO Rn. 59; Wolff/Brink/Spoerr BeckOK Datenschutzrecht, Art. 28 DS-GVO Rn. 38). Dazu gehören typischerweise Dienstleistungen wie Reinigung von Büroräumen. Rechtsfolge ist, dass die Beauf-tragung solcher Dienstleistungen weder einem vertraglich vereinbarten Zustimmungsrecht des Auf-traggebers unterliegt noch das Unterauftragsverhältnis entsprechend den vertraglich vereinbarten Anforderungen an ein solches Unterauftragsverhältnis einschließlich eines Durchgriffsrechts des Auftraggebers ausgestaltet werden muss. Dies entspricht einem praktischen Bedürfnis, dem Auf-tragnehmer bei der Auswahl und Beauftragung derartiger Dienstleister freiere Hand zu geben.

Demgegenüber wird die Wartung von IT-Systemen, soweit die Möglichkeit des Zugriffs auf per-sonenbezogene Daten besteht, überwiegend als Auftragsverarbeitung eingeordnet, sodass eine Unterbeauftragung erforderlich wäre (so wohl unter der alten Rechtslage Logemann/Laas Pra-xishandbuch Kundendatenschutz Leitfaden für Unternehmen bei datenschutzrechtlichen Frage-stellungen im Umgang mit Kundendaten, S. 230, 242; Ehmann/Selmayr/Bertermann DS-GVO, Art. 28 Rn. 12; Müthlein RDV 2016, 74, 83; a.A Wolff/Brink/Spoerr BeckOK Datenschutzrecht, Art. 28 DS-GVO Rn. 38). Dogmatisch ist diese Einordnung schwierig, da in der Regel technische Unterstützung geleistet wird und keine personenbezogenen Daten verarbeitet werden. Zu einer Kenntnisnahme personenbezogener Daten kommt es nur anlässlich der Tätigkeit. Aus praktischen Gesichtspunkten spricht dennoch vieles dafür, die Wartung von IT-Systemen, genauso wie unter § 11 Abs. 5 BDSG, als Auftragsverarbeitung zu behandeln (Kühling/Buchner/Hartung DS-GVO, Art. 28 Rn. 54; Sydow/Ingold Europäische Datenschutzgrundverordnung, Art. 28 Rn. 20; Mü-thlein RDV 2016, 74, 83).

Die Löschung von Datenträgern (z.B. Disketten, Sticks) und die Vernichtung von Datenträgern, worunter auch Papierunterlagen fallen, sind ebenfalls Formen der Auftragsverarbeitung (Schneider, in: Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, Teil VI, Kapitel 2 Auftragsdatenverarbei-tung Rn. 34, 45).

32.2

33

34

35

35.1

Luch

terh

and

Verla

g 20

19

Leseprobe

1404


Jungkind

30. Lehnt der Auftraggeber einen Unterauftragnehmer im Drittstaat grundsätzlich ab, sollte dies ausdrücklich geregelt werden. Stimmt der Auftraggeber der Beauftragung eines Unterauftragneh-mers im Drittstaat dagegen zu, unterliegt die Datenübermittlung an den Unterauftragnehmer den Anforderungen des Art. 44 DS-GVO. Ist im Drittstaat kein angemessenes Datenschutzniveau vor-handen (Art. 45 DS-GVO) und handelt es sich nicht um eine Auftragsverarbeitung im Konzern, bei der sich ausreichende Garantien aus verbindlichen, genehmigten Unternehmensregelungen ergeben können (Art. 46 Abs. 2 lit. b), Art. 47 DS-GVO), kommen ausreichende Garantien aus Standardvertragsklauseln (Art. 46 Abs. 2 lit. c) DS-GVO) oder aus (genehmigungsbedürftigen) in-dividuellen Vertragsklauseln (Art. 46 Abs. 3 lit. a) DS-GVO) in Betracht. Dabei ist unklar, ob ein Unterauftragsverhältnis zwischen Auftragnehmer und Unterauftragnehmer genügt oder der Auf-traggeber Vertragspartei werden muss (dann wäre die Attraktivität dieser Variante für den Auftrag-geber begrenzt, weil er eine direkte Vertragsbeziehung zum Unterauftragnehmer nicht vermeiden könnte). Bei den deutschen Datenschutzbehörden scheint es hier noch wenig Erfahrung zu geben; Standardvertragsklauseln für diese Konstellation sind wünschenswert. Die Artikel 29 Data Protec-tion Working Party hat mit dem Working document 01/2014 on Draft Ad hoc contractual clauses »EU data processor to non-EU sub-processor« vom 21. März 2014 hierzu einen ersten Vorschlag gemacht. Dieser Vorschlag ist von der Europäischen Kommission allerdings noch nicht aufgegriffen worden (Rücker/Kugler/Kugler New European General Data Protection Regulation, Rn. E 1010.).

31. Nach Art. 28 Abs. 3 lit. h) DS-GVO muss der Vertrag ein Recht zur Überprüfung und Kon-trolle der Einhaltung der Pflichten des Art. 28 DS-GVO durch den Auftragsverarbeiter enthalten. Den Auftragsverarbeiter treffen entsprechende Duldungs- und Mitwirkungspflichten, die im Ver-trag ausdrücklich zu regeln sind. Es besteht aber ein Ausgestaltungsspielraum hinsichtlich dieser Pflichten (Wolff/Brink/Spoerr BeckOK Datenschutzrecht, Art. 28 DS-GVO Rn. 82 f.), der es ge-stattet, Intensität und Mittel der Kontrollen der spezifischen Fallgestaltung anzupassen (Wolff/Brink/Spoerr BeckOK Datenschutzrecht, Art. 28 DS-GVO Rn. 84). Dem Verantwortlichen müs-sen nicht nur Informationen zur Verfügung gestellt, sondern auch Kontrollen vor Ort ermöglicht werden (Kühling/Buchner/Hartung DS-GVO, Art. 28 Rn. 78). Gegenüber dem BDSG werden die Vorortkontrollen nun explizit erwähnt, sodass ein Vertrag der die Berechtigung zu einer solchen Kontrolle nicht enthält, die Anforderungen des Art. 28 Abs. 3 lit. h) DS-GVO nicht erfüllt (Wolff/Brink/Spoerr BeckOK Datenschutzrecht, Art. 28 DS-GVO Rn. 83 f.). Die Kontrollen können nicht nur vom Verantwortlichen selbst, sondern auch von einem durch diesen beauftragten Prüfer vorgenommen werden.

32. Eine förmliche Verpflichtung auf das Datengeheimnis, so wie es noch § 5 Satz 2 BDSG a.F. vorsah, kennt die DS-GVO nicht mehr. Allerdings verlangt Art. 24 Abs. 1 Satz 1 DS-GVO vom Verantwortlichen einen Nachweis für die rechtmäßige Verarbeitung gemäß der DS-GVO. Diese Nachweispflicht fordert von den »unterstellte Personen«, sich an die Vorgaben der DS-GVO zu halten. Die Erfüllung der Nachweispflicht muss durch geeignete technische und organisatorische Maßnahmen sichergestellt werden. Vor diesem Hintergrund ist es ratsam, Beschäftigte weiterhin durch eine Verpflichtung auf das Datengeheimnis auf ihre Pflichten im Rahmen der Datenver-arbeitung hinzuweisen (Ehmann ZD 2017, 453, 454). Auch der Auftragnehmer und die ihm unter-stellten Personen dürfen gemäß Art. 29 DS-GVO die Daten ausschließlich nur entsprechend der Weisung des Auftraggebers verarbeiten.

33. Vgl. Art. 28 Abs. 3 lit. b) DS-GVO.

34. Wenn sich der Vertrag über die Auftragsverarbeitung nicht auf einen Hauptvertrag bezieht, sondern auf von einem solchen unabhängig auf unbestimmte Zeit geschlossen wurde, ist eine Kün-digungsfrist im Vertrag zu vereinbaren (vgl. Art. 28 Abs. 3 Satz 1 DS-GVO »Dauer der Verarbei-tung«).

35. Vgl. Art. 28 Abs. 3 lit. g) DS-GVO.

36

36.1

36.2

36.3

36.4

36.5

Luch

terh

and

Verla

g 20

19

Leseprobe

1405

»Bring Your Own Device« U.II.

Jungkind

II. »Bring Your Own Device«

Vorbemerkung

»Bring Your Own Device« – kurz »BYOD« – ist ein modernes betriebliches Konzept, mit dem der Arbeitgeber seinen Arbeitnehmern die Verwendung ihrer privaten, mobilen Endgeräte zu beruf-lichen Zwecken ermöglicht. BYOD ist eine interessante Alternative zum dienstlichen Mobiltelefon oder Laptop, weil es eine Win-Win-Situation suggeriert: Der Arbeitgeber erspart sich die Bereit-stellung von Endgeräten und den damit einhergehenden finanziellen Aufwand. Der Arbeitnehmer kann sich auf die Verwendung jener Endgeräte beschränken, die er nach eigenen Bedürfnissen auswählt und die ihm in der Anwendung vertraut sind. Laut einer Umfrage des Branchenverbands BITKOM aus dem Jahre 2013 nutzen bereits 71 % der deutschen Beschäftigten ihre privaten End-geräte auch zu beruflichen Zwecken (BITKOM Presseinformation vom 11.04.2013).

Die nähere Betrachtung relativiert die Vorzüge des Konzepts allerdings. BYOD unterliegt erheb-lichen praktischen und rechtlichen Anforderungen, die oftmals unterschätzt werden. Was zunächst als einfache und kostengünstige Maßnahme erscheint, kann die betriebliche Administration tat-sächlich erschweren. Denn soweit BYOD unterschiedliche Endgeräte erfasst, müssen diese mit den betrieblichen IT-Strukturen kompatibel sein. Weiterhin ist BYOD eine datenschutz- und arbeits-rechtliche Herausforderung. Der Arbeitgeber hat die Pflicht, Geschäftsunterlagen ordnungsgemäß aufzubewahren und die geschäftsbezogene Datenverarbeitung des Arbeitnehmers umfassend zu kontrollieren. Der Arbeitnehmer hat dagegen ein Recht auf den Schutz privater Daten vor dem Zu-griff des Arbeitgebers. BYOD soll dem Arbeitgeber nicht die dauerhafte Überwachung des Arbeit-nehmers außerhalb seines Arbeitsplatzes ermöglichen. Dies verlangt eine hinreichende Trennung geschäftlicher und privater Daten auf dem Endgerät, die schwer handhabbar ist. Vor diesem Hinter-grund sehen die Datenschutzaufsichtsbehörden der Länder BYOD mitunter kritisch (vgl. Conrad/Grützmacher/Kranig Recht der Daten und Datenbanken in Unternehmen, 2014, § 29 Rn. 27).

Entscheidet sich der Arbeitgeber für ein BYOD-Konzept, empfiehlt es sich, dessen Rahmenbe-dingungen und die teilweise gegenläufigen Interessen von Arbeitgeber und Arbeitnehmer in einer Nutzungsvereinbarung zu regeln.

Muster – »Bring Your Own Device«-Vertrag

»Bring Your Own Device«-Vertrag 1

zwischen

[Name des Arbeitnehmers]

[Privatanschrift des Arbeitnehmers]

und

[Name und Anschrift des Arbeitgebers]

§ 1: [Name des Arbeitgebers] gewährt dem Arbeitnehmer die Möglichkeit, ein privates, mobiles Endgerät für dienstliche Zwecke zu verwenden (sog. »Bring Your Own Device«-Modell, nachfol-gend »BYOD«). Die Teilnahme an BYOD ist freiwillig.

§ 2: Die Voraussetzungen und Rahmenbedingungen für die Teilnahme an BYOD sind in der diesem Vertrag als Anlage beigefügten »Bring Your Own Device Policy der [Name des Arbeitgebers] , Ver-sion 1.0« (nachfolgend »BYOD Policy«) niedergelegt.

§ 3: Durch Unterzeichnung dieses Vertrags verpflichten sich der Arbeitnehmer und der Arbeitge-ber zur Einhaltung der BYOD Policy. Die Einhaltung der BYOD Policy wird betrieblich überwacht und sichergestellt. 2

37

38

38.1

▶

39

Luch

terh

and

Verla

g 20

19

Leseprobe

1406


Jungkind

§ 4: Der Arbeitnehmer verpflichtet sich, das folgende Endgerät im Rahmen von BYOD zu verwen-den: [Benennung des Endgeräts] 3

§ 5: Der Vertrag ist auf unbestimmte Zeit geschlossen und kann jederzeit durch den Arbeitnehmer oder [Name des Arbeitgebers] ohne Einhaltung einer Kündigungsfrist gekündigt werden.

[Ort, Datum]

(Unterschrift des Arbeitnehmers)

(Unterschrift des Arbeitgebers)

Anlage: BYOD Policy, Version 1.0

Anlage: Bring Your Own Device Policy der [Name des Arbeitgebers] , Version 1.0

1. Regelungsgegenstand

[Name des Arbeitgebers] (»Arbeitgeber«) gewährt ausgewählten Arbeitnehmern die Möglichkeit, private, mobile Endgeräte für dienstliche Zwecke zu verwenden (»BYOD«). Diese BYOD Policy re-gelt die hierfür bestehenden Voraussetzungen und Rahmenbedingungen.

2. Anwendungsbereich

BYOD steht grundsätzlich folgenden [Gruppen von] Arbeitnehmern zur Verfügung: [Kreis der be-

rechtigten Arbeitnehmer] 4

Für BYOD kommen ausschließlich die folgenden Endgeräte in Betracht: [Benennung aller möglichen

Endgeräte] 5

3. Pflichten des Arbeitgebersa) Bevor der Arbeitnehmer das Endgerät erstmals für dienstliche Zwecke nutzt, implementiert

der Arbeitgeber hieran folgende technische Maßnahmen: System zur Aufzeichnung aller Schritte der Verarbeitung geschäftlicher Daten 6

Cloud-Funktionalität: Einrichtung einer kennwortgeschützten Online-Plattform des Arbeitge-bers für die geschäftliche Datenverarbeitung durch den Arbeitnehmer 7

Back-Up-Funktionalität: Automatische Kopie jeder lokal auf dem Endgerät erfolgenden ge-schäftlichen Datenverarbeitung und Ablage auf der Online-Plattform 8

Fernbedienung zum Zwecke der Fernlöschung und Fernsperrung im Falle von Diebstahl oder anderweitigem Verlust 9

Weitere betriebsspezifische Maßnahmen: [Software, Hardware etc.] 10

b) Durch die technischen Maßnahmen stellt der Arbeitgeber die hinreichende Trennung der ge-schäftlichen und privaten Datenverarbeitung auf dem Endgerät des Arbeitnehmers sicher. 11 Dies geschieht insbesondere durch die Trennung der Plattformen, auf denen jeweils geschäftli-che und private Daten zugänglich sind, 12 und der Software, die jeweils geschäftlich und privat genutzt wird. 13

c) Der Arbeitgeber führt im Bedarfsfall Aktualisierungen und Wartungen am Endgerät durch. Solche Maßnahmen erstrecken sich jedoch nicht auf die Plattform oder Software, die der Arbeitnehmer auf seinem Endgerät privat nutzt.

4. Pflichten des Arbeitnehmers

Bei der Nutzung des Endgeräts zu geschäftlichen Zwecken hat der Arbeitnehmer folgende Pflich-ten:a) Bei der Verwendung des Endgeräts außerhalb des Arbeitsplatzes gewährleistet der Arbeitneh-

mer die Vertraulichkeit dienstlicher Gespräche und schützt die auf dem Bildschirm erscheinen-den Informationen vor der Kenntnisnahme durch unbefugte Dritte. 14

Luch

terh

and

Verla

g 20

19

Leseprobe

1407


Jungkind

b) Der Arbeitnehmer gewährleistet, dass unbefugte Dritte einschließlich Familienangehöriger das Endgerät nicht nutzen. 15

c) Der Arbeitnehmer stellt bei der Nutzung des Endgeräts die hinreichende Trennung der ge-schäftlichen und privaten Datenverarbeitung entsprechend der nach Ziffer 3 eingerichteten technischen Maßnahmen sicher und vermeidet jegliche Vermischung geschäftlicher und priva-ter Daten. Der Arbeitnehmer ist nicht befugt, die technischen Maßnahmen zur Trennung der geschäftlichen und privaten Datenverarbeitung nach Ziffer 3 auszuschalten oder zu umgehen, insbesondere: [ggf. weitere Nutzungsbeschränkungen] . 16

d) Im Falle des Diebstahls oder – aus Sicht des Arbeitnehmers auch nur vorübergehenden – Ver-lustes des Endgeräts ist der Arbeitnehmer verpflichtet, dies dem Arbeitgeber unverzüglich anzuzeigen. 17 Entscheidet sich der Arbeitgeber zur Fernlöschung oder Fernsperrung der ge-schäftlichen Daten, haftet der Arbeitgeber nicht für die möglicherweise damit verbundene Löschung, Sperrung, Beschädigung oder den Verlust privater Daten.

e) Die Nutzung des Endgeräts zu geschäftlichen Zwecken ist als Arbeitszeit zu erfassen. 18

5. Kein Eigentum Dritter

Das Endgerät muss im ausschließlichen Eigentum des Arbeitnehmers stehen. 19

6. Aufwendungs- und Gewährleistungsansprüche

Für die Aufwendungen, die dem Arbeitnehmer durch Erwerb und Betrieb des Endgeräts entste-hen, gewährt der Arbeitgeber dem Arbeitnehmer eine monatliche Auslagenpauschale in Höhe von [Angabe des Betrags] . Ansprüche des Arbeitnehmers gegen den Arbeitgeber wegen einer Beschädigung des Endgeräts durch Dritte oder wegen Diebstahls oder Verlusts des Endgeräts sind ausgeschlossen. 20

7. Herausgabeansprucha) Der Arbeitnehmer ist verpflichtet, dem Arbeitgeber das Endgerät auszuhändigen, damit der

Arbeitgeber die technischen Maßnahmen, Aktualisierungen und Wartungen nach Ziffer 3 selbst oder durch einen beauftragten Dritten vornehmen kann. Bei der Vornahme dieser Maß-nahmen greift der Arbeitgeber grundsätzlich nicht auf private Daten zu. Der Arbeitnehmer gestattet dem Arbeitgeber aber den Zugriff auf private Daten, soweit dies im Einzelfall zur Vor-nahme der vorgenannten Maßnahmen erforderlich sein sollte. Der Arbeitgeber haftet dabei nicht für Beschädigung oder Verlust privater Daten.

b) Darüber hinaus ist der Arbeitnehmer verpflichtet, dem Arbeitgeber das Endgerät im Falle besonderer betrieblicher Interessen herauszugeben. 21 Soweit die Rückgabe des Endgeräts nicht am Tag der Herausgabe erfolgen kann, stellt der Arbeitgeber dem Arbeitnehmer ein gleichwertiges Ersatzgerät zur Verfügung. Soweit die Rückgabe nicht binnen drei Tagen nach Herausgabe zu erwarten ist, überträgt der Arbeitgeber die privaten Daten auf das Ersatzgerät. 22

8. Laufzeit

Der BYOD-Vertrag ist auf unbestimmte Zeit geschlossen und kann jederzeit durch Arbeitnehmer oder Arbeitgeber ohne Einhaltung einer Kündigungsfrist gekündigt werden. Arbeitgeber und Arbeitnehmer bleiben zur Einhaltung der BYOD Policy verpflichtet, bis die geschäftlichen Daten vom Endgerät entfernt und alle technischen Maßnahmen nach Ziffer 3 rückgängig gemacht wor-den sind.

9. Überwachung und Beratung

[Zuständige Stelle] 23 überwacht die Einhaltung der BYOD Policy. Sie veranstaltet regelmäßige Schulungen und steht als Beratungsstelle für sämtliche BYOD-Themen zur Verfügung. 24

Luch

terh

and

Verla

g 20

19

Leseprobe

1408


Jungkind

Erläuterungen

SchrifttumAuer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 2. Auflage, 2016; Brüggemann, Bring Your Own Device – Einsparungspotenzial mit Sicherheitsrisiko?, PinG 2014, 10; Conrad/Schneider, Einsatz von »privater IT« im Unternehmen, ZD 2011, 153; Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 2. Auf-lage 2017; Franck, Bring your own device – Rechtliche und tatsächliche Aspekte, RDV 2013, 185; Göpfert/Wilke, Nutzung privater Smartphones für dienstliche Zwecke, NZA 2012, 765; Herrnleben, BYOD – die rechtlichen Fallstricke der Software-Lizenzierung für Unternehmen, MMR 2012, 205; Hitzelberger-Kiji-ma, Die Mitbestimmung bei technischen Überwachungseinrichtungen, öAT 2017, 136; Hümmerich/Lücke/Mauer, Arbeitsrecht, 9. Auflage 2018; Imping/Pohle, »BYOD« – Rechtliche Herausforderungen der dienst-lichen Nutzung privater Informationstechnologie, K&R 2012, 470; Kilian/Heussen, Computerrechts-Handbuch, 33. EL Februar 2017; Koreng/Lachmann, Formularhandbuch Datenschutzrecht, 2. Auflage, 2018; Kort, Neuer Beschäftigtendatenschutz und Industrie 4.0, RdA 2018, 24; Leupold/Glossner, Münch-ner Anwaltshandbuch IT-Recht, 3. Auflage, 2013; Lipp, Bring your own device (Byod) – das Neue Be-triebsmittel, DSRITB 2013, 747; Reufels/Pütz, Einsatz privater Mobilgeräte im Arbeitsverhältnis (BYOD), ArbRB 2018, 26; Zöll/Kielkowski, Arbeitsrechtliche Umsetzung von »Bring Your Own Device« (BYOD), BB 2012, 2625.

1. BYOD setzt die Verarbeitung personenbezogener Daten des Arbeitnehmers durch den Arbeitgeber voraus, ohne dass dies für die Durchführung des Beschäftigungsverhältnisses im Sinne des Art. 6 Abs. 1 lit. b) DS-GVO, § 26 Abs. 1 S. 1 BDSG n.F. erforderlich ist. Dies macht die Einwilligung des Arbeitnehmers erforderlich (Art. 6 Abs. 1 lit. a) DS-GVO). Eine einwilligungs-basierte Datenverarbeitung ist zulässig, da Arbeitgeber und Arbeitnehmer bei der Einführung von BYOD dieselben Interessen verfolgen, § 26 Abs. 2 S. 2 BDSG n.F. (Vgl. Kremer/Sander in: Formu-larhandbuch Datenschutzrecht, Teil D.III.4. Anm. 21). Wegen des grundsätzlichen Schriftform-erfordernisses einer Einwilligung im Beschäftigungsverhältnis (§ 26 Abs. 2 S. 3 BDSG-neu) wird empfohlen, BYOD auf Basis einer vertraglichen Vereinbarung zwischen Arbeitgeber und Arbeit-nehmer zu implementieren (Kremer/Sander in: Formularhandbuch Datenschutzrecht, Teil D.III.4. Anm. 1, 20), die dann auch die datenschutzrechtliche Einwilligung umfasst. Ggf. unterliegt die Vereinbarung dem AGB-Recht und hier den im Arbeitsrecht geltenden Besonderheiten (vgl. § 310 Abs. 4 BGB) (Lipp DSRITB 2013, 747, 752 f.). Die Voraussetzungen und Rahmenbedingungen von BYOD können in einer BYOD Policy niedergelegt werden, die Anlage des Vertrags ist; andern-falls können diese auch als Vertragsklauseln unmittelbar in den Vertrag aufgenommen werden (Lipp DSRITB 2013, 747, 753). Ein Ersatz des Vertrags durch eine Betriebsvereinbarung, die die An-wendbarkeit des AGB-Rechts ausschließen würde (Göpfert/Wilke NZA 2012, 765, 769 f.), kommt dagegen nicht in Betracht, weil eine Betriebsvereinbarung keine Eingriffe in das Privatleben und in die Eigentumsfreiheit des Arbeitnehmers rechtfertigen kann (vgl. Imping in: Computerrechts-Handbuch, 70.11 Rn. 71; Kremer/Sander in: Formularhandbuch Datenschutzrecht, Teil D.III.4. Anm. 1). Dies ist im Rahmen von BYOD aber unverzichtbar.

2. Vertrag und Policy regeln die Ordnung des Betriebs und das Verhalten der Arbeitnehmer. Der Arbeitgeber ist die für die Verarbeitung geschäftlicher Daten verantwortliche Stelle nach Art. 4 Nr. 7 DS-GVO. BYOD verlangt daher eine gewisse Kontrolle des Arbeitnehmers im geschäftsbezo-genen Umgang mit seinem Endgerät. Diese Aspekte machen in der Regel eine Mitbestimmung des Betriebsrats erforderlich (vgl. § 87 Abs. 1 Satz 1 Nr. 1, 6 BetrVG) (Hitzelberger-Kijima öAT 2017, 136, 138; Kremer/Sander in: Formularhandbuch Datenschutzrecht, Teil D.III.4. Anm. 1, 20).

3. BYOD verlangt technische Maßnahmen am Endgerät des Arbeitnehmers, weshalb sich der Vertrag nur auf ein bestimmtes Endgerät beziehen kann. Dieses ist so präzise wie möglich nach Hersteller, Modell etc. zu bezeichnen (Kremer/Sander in: Formularhandbuch Datenschutzrecht, Teil D.III.4. Anm. 3).

4. BYOD kann je nach betrieblichen Erwägungen allen oder nur bestimmten Arbeitnehmern (z.B. Führungskräften) angeboten werden. Hier ist der arbeitsrechtliche Gleichbehandlungsgrund-satz zu beachten, der jedenfalls die willkürliche Privilegierung ausgewählter Arbeitnehmer verbietet.

40

41

42

43

Luch

terh

and

Verla

g 20

19

Leseprobe

1409


Jungkind

5. Die für BYOD in Betracht kommenden Endgeräte sind abschließend aufzuzählen. Zum einen kann es aus betrieblichen Erwägungen geboten sein, BYOD nur für bestimmte Gerättypen zu-zulassen (etwa nur Mobiltelefone und nicht auch Laptops oder Tablets). Zum anderen muss das Endgerät die Anforderungen der BYOD Policy in technischer Hinsicht erfüllen können. Gewisse Endgeräte sind unter Umständen auf Grund ihrer Funktionalität dazu nicht geeignet (etwa weil sie mit der betriebsspezifischen Software nicht kompatibel sind oder ihr Betriebssystem keine hin-reichende Trennung geschäftlicher und privater Daten gewährleistet).

6. Der Arbeitgeber ist zur lückenlosen Aufzeichnung jeder Verarbeitung geschäftlicher Daten ver-pflichtet (Brüggemann PinG 2014, 10, 13; vgl. Franck RDV 2013, 185, 187). Die Aufzeichnung darf nicht die private Nutzung des Endgeräts durch den Arbeitnehmer erfassen (Zöll/Kielkowski BB 2012, 2625, 2627).

7. Der Arbeitgeber ist nach § 257 Abs. 1 HGB, § 147 Abs. 1 AO, GoBS und GdPdU gesetzlich zur Aufbewahrung von Geschäftsunterlagen verpflichtet, muss also eine ordnungsgemäße Daten-speicherung gewährleisten (siehe Imping in: Computerrechts-Handbuch, 70.11 Rn. 64; Imping/Pohle K&R 2012, 470, 474; Lipp DSRITB 2013, 747, 757). Die Verwendung von Cloud Com-puting vermeidet die Gefahren des Datenverlusts bei lediglich lokaler Speicherung geschäftlicher Daten auf dem Endgerät. Zugleich verbessert sie die Kontrollmöglichkeiten des Arbeitgebers bezüg-lich der Verarbeitung geschäftlicher Daten durch den Arbeitnehmer. Soweit es sich bei der Cloud nicht um eine Plattform des Arbeitgebers handelt, darf deren Datenschutzniveau nicht hinter dem-jenigen der arbeitgebereigenen Plattform zurückbleiben (vgl. Göpfert/Wilke NZA 2012, 765, 767).

8. Im Falle der lokalen Speicherung geschäftlicher Daten auf dem Endgerät sorgt die Back-Up-Funktionalität dafür, dass die Cloud dennoch jede Verarbeitung geschäftlicher Daten wiedergibt und die Aufbewahrungspflichten und Kontrollinteressen des Arbeitgebers gewahrt bleiben.

9. Zum Schutz geschäftlicher Daten muss die Möglichkeit des Fernzugriffs auf das Endgerät be-stehen. Soweit die im Interesse des Arbeitgebers erfolgende Fernlöschung oder Fernsperrung auch die privaten Daten des Arbeitnehmers betreffen kann, ist auch aus diesem Grund die Zustimmung des Arbeitnehmers erforderlich (vgl. § 303a Abs. 1 StGB [tatbestandsausschließendes Einverständ-nis]). Eine Haftung des Arbeitgebers ist nach Ziffer 4 (iv) der Policy ausgeschlossen.

10. Der Arbeitgeber muss sämtliche technische und organisatorische Maßnahmen am Endgerät treffen, die zur Einhaltung des DS-GVO erforderlich sind (Kort RdA 2018, 24, 30). Art und Um-fang der technischen Maßnahmen hängen von den Besonderheiten der betrieblichen IT-Strukturen und des konkreten Endgeräts ab. Insbesondere sind die auf dem Endgerät zu installierende Soft-ware und, soweit erforderlich, zusätzliche Hardware zu benennen. Weitere technische Maßnahmen können etwa die Sperre bestimmter Bedienfunktionen oder privater Applikationen sein (z.B. als Positiv- oder Negativliste). Solche Beschränkungen müssen angesichts der rasanten technologischen Entwicklung stetig aktualisiert werden (Kremer/Sander in: Formularhandbuch Datenschutzrecht, Teil D.III.4. Anm. 14).

11. Die Trennung geschäftlicher und privater Daten ist zentrales Element einer mit dem Daten-schutzrecht konformen BYOD-Vereinbarung und zudem in dem Gebot der Trennbarkeit von Daten (§ 64 Abs. 3 Nr. 14 BDSG-n.F.) konkretisiert. Sie grenzt den Verantwortungsbereich des Arbeitgebers bzgl. der geschäftlichen Datenverarbeitung und des betrieblichen Geheimnisschutzes (§ 203 StGB, §§ 17, 18 UWG) von der privaten Datenverarbeitung des Arbeitnehmers (Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG) ab (vgl. hierzu Hoppe in: IT-Arbeitsrecht; Möhren in: Arbeits-recht, § 3 Rn. 206; Brüggemann PinG 2014, 10, 14; Imping/Pohle K&R 2012, 470, 474).

12. Die Vermischung geschäftlicher und privater Daten ist unzulässig. Das verlangt eine hinrei-chende Trennung beider Datenkategorien auf dem Endgerät, abgebildet durch zwei unterschied-liche Plattformen (sog. »Containerlösung«, Reufels/Pütz ArbRB 2018, 26, 29; siehe auch Robrecht DSRITB 2015, 195, 198; Auer-Reinsdorff/Conrad in: Handbuch IT- und Datenschutzrecht, § 37 Rn. 299). Das Betriebssystem oder eine entsprechende Software müssen diese Trennung vollständig

44

45

46

47

48

49

50

51

Luch

terh

and

Verla

g 20

19

Leseprobe

1410


Jungkind

gewährleisten (zu den insoweit bestehenden Gefahren des »Jailbreaking« siehe Göpfert/Wilke NZA 2012, 765, 767).

13. Auch die jeweils privat und geschäftlich genutzte Software ist zu separieren, um die Daten-trennung zu gewährleisten. Der Arbeitnehmer sollte private Applikationen (z.B. das private E-Mail-Postfach oder den privaten Kalender) grundsätzlich nicht zu geschäftlichen Zwecken nutzen. Der Übergang von privater und geschäftlicher Sphäre kann im Einzelfall fließend sein und eine sorgfäl-tige Datentrennung erschweren (Auer-Reinsdorff/Conrad in: Handbuch IT- und Datenschutzrecht, § 37 Rn. 279). Zudem birgt die geschäftliche Nutzung privater Software lizenz- und nutzungs-rechtliche Probleme. Viele Softwareanwendungen werden nur für den Privatgebrauch unentgeltlich bzw. gegen ein geringes Entgelt zur Verfügung gestellt, so dass ihre geschäftliche Nutzung IP-Rechte verletzen würde (vgl. Herrnleben MMR 2012, 205, 206; v. d. Bussche/Schelinski in: Münchner An-waltshandbuch IT-Recht, Abschnitt XIII. Rn. 470).

14. Es empfiehlt sich, den Arbeitnehmer daran zu erinnern und auch darauf zu verpflichten, bei der Nutzung des Endgeräts zu geschäftlichen Zwecken Vertraulichkeit zu gewährleisten. Dies gilt für die Nutzung jedes Endgeräts außerhalb des Arbeitsplatzes und ist keine Besonderheit der Nut-zung eines privaten Geräts, ggf. geht der Arbeitnehmer aber mit einem privaten Gerät ungezwun-gener um, weil die Grenzen zwischen dienstlicher und privater Nutzung fließender sind.

15. Die Vertraulichkeit der geschäftlichen Daten und das Erfordernis einer strikten Trennung ge-schäftlicher und privater Daten rechtfertigen den Ausschluss jeglicher Dritter von der Nutzung des Endgeräts. Das gilt auch für die Nutzung durch Familienangehörige. Insoweit nicht überzeugend sind AGB-rechtliche Bedenken gegenüber einer solchen Regelung (vgl. Kremer/Sander in: Formu-larhandbuch Datenschutzrecht, Teil D.III.4. Anm. 16; Lipp DSRITB 2013, 747, 755), weil die Teilnahme an BYOD freiwillig ist.

16. Die Möglichkeit geschäftlicher Datenverarbeitung auf dem privaten Endgerät schafft eine besondere Verantwortung des Arbeitnehmers im Hinblick auf die Datentrennung. Beispielswei-se darf der Arbeitnehmer keine Software installieren, die sich unbefugten Zugriff auf geschäft-liche Daten verschaffen kann (vgl. Conrad/Schneider ZD 2011, 153, 156). In Betracht kommt insoweit der Ausschluss bestimmter Anwendungen in Form von Downloadverboten (vgl. Zöll/Kielkowski BB 2012, 2625) oder die Beschränkung der Nutzung auf eine abschließende Zahl von Anwendungen.

17. Eine unverzügliche Anzeige erhöht die Wahrscheinlichkeit, dass der Arbeitgeber die auf dem abhanden gekommenen Endgerät befindlichen geschäftlichen Daten löschen kann, ehe diese Daten in die Hände Unbefugter gelangen. Daneben ermöglicht sie dem Arbeitgeber, ggf. frühzeitig even-tuell entstehende datenschutzrechtliche Pflichten (z.B. seine Informationspflicht nach Art. 33, 34 DS-GVO) zu erfüllen (Kremer/Sander in: Formularhandbuch Datenschutzrecht, Teil D.III.4. Anm. 9).

18. BYOD fördert die Auflösung der Grenzen zwischen Arbeits- und Privatleben. Dies ruft ver-schiedene arbeitsrechtliche Probleme hervor (z.B. Überschreitung zulässiger Arbeitszeiten, Verlet-zung von Fürsorgepflichten des Arbeitgebers, Einordnung der ständigen Erreichbarkeit als Bereit-schaftsdienst, siehe nur Imping in: Computerrechts-Handbuch, 70.11 Rn. 68; Mauer in: Arbeits-recht, § 6 Rn. 236; Lipp DSRITB 2013, 747, 756). Der Arbeitnehmer wird daran erinnert, dass die Nutzung des Endgeräts für dienstliche Zwecke auch außerhalb der Geschäftszeiten zu erfassende Arbeitszeit ist, weil durch das Arbeiten auf dem privaten Endgerät die Grenzen zum Privatleben nicht immer streng gezogen werden.

19. Die BYOD Policy gilt im Verhältnis von Arbeitgeber und Arbeitnehmer und kann deshalb Dritte nicht verpflichten (Verbot eines Vertrags zu Lasten Dritter). Zur Gewährleistung ihrer Um-setzung sind daher Interessen Dritter auszuschließen, die aus Eigentumsrechten am Endgerät folgen können. Das Erfordernis ausschließlichen Eigentums des Arbeitnehmers schließt insbesondere Ab-zahlungskäufe mit Eigentumsvorbehalt des Verkäufers sowie Miet- und Leasingmodelle aus.

52

53

54

55

55.1

56

57

Luch

terh

and

Verla

g 20

19

Leseprobe

1411

Informationsschreiben U.III.

Jungkind

20. Die finanziellen Interessen von Arbeitgeber und Arbeitnehmer sind in einen angemessenen Aus-gleich zu bringen. Dabei sind die Grenzen des AGB-Rechts (insbesondere § 307 BGB) zu beach-ten. Dem Arbeitnehmer steht potentiell ein Aufwendungsersatzanspruch aus § 670 BGB (analog) zu, wenn sein Handy während betrieblich veranlasster Tätigkeiten beschädigt wird oder abhanden-kommt. Daher ist es unzulässig, wenn der Arbeitgeber durch BYOD sämtliche durch die Nutzung des Endgeräts entstehenden Kosten auf den Arbeitnehmer abwälzt. Vorgeschlagen wird eine sach-gerechte Verteilung laufender Kosten bei gleichzeitigem Ausschluss der Gewährleistung des Arbeitge-bers (vgl. Kremer/Sander in: Formularhandbuch Datenschutzrecht, Teil D.III.4. Anm. 10, 23; Möhren in: Arbeitsrecht, § 3 Rn. 206; Reufels/Pütz ArbRB 2018, 26, 28). Alternativ kommt der Abschluss einer Geräteversicherung durch den Arbeitgeber in Betracht (Röhrborn/Lang BB 2015, 1357, 1361).

21. Betriebliche Interessen werden z.B. durch den Verdacht einer Straftat oder Ordnungswidrig-keit durch den Arbeitnehmer begründet. Weil sich das Endgerät im Eigentum des Arbeitnehmers befindet, muss ein Herausgabeanspruch explizit geregelt werden (Reufels/Pütz ArbRB 2018, 26, 29; Göpfert/Wilke NZA 2012, 765, 769).

22. Soweit der Arbeitnehmer sein privates Endgerät für einen längeren Zeitraum herausgeben muss, soll er einen angemessenen Ersatz erhalten. Dies legt die Ausstattung mit einem gleichwerti-gen Endgerät nahe, auf das die privaten Daten des Arbeitnehmers aufgespielt werden (siehe Kremer/Sander in: Formularhandbuch Datenschutzrecht, Teil D.III.4. Anm. 19 mit Verweis auf Göpfert/Wilke NZA 2012, 765, 769).

23. Für die laufende Überwachung der Einhaltung der BYOD Policy sollte eine unternehmens-intern zuständige Stelle bestimmt werden, z.B., sofern bestellt, der Datenschutzbeauftragte (Art. 38 DS-GVO, § 38 BDSG-n.F.; siehe Helfrich in: Betrieblicher Datenschutz, Kapitel 2 Rn. 50) oder ein Compliance-Ausschuss.

24. Die Komplexität der BYOD-Materie erfordert nicht nur die Durchsetzung der einzelnen Be-stimmungen, sondern auch eine Sensibilisierung der Adressaten der BYOD Policy für die insbe-sondere datenschutzrechtlichen Problemkreise. Hierfür ist es unerlässlich, regelmäßige Schulungen und jederzeitige Beratungsmöglichkeit anzubieten (siehe Herrnleben MMR 2012, 205, 206; vgl. auch Nolte/Werkmeister in: Gola, DSGVO, Art. 25 Rn. 16 ff.).

III. Informationsschreiben

Vorbemerkung

Im Vergleich zu den Vorgaben des BDSG enthält Art. 13 DS-GVO seit Inkrafttreten der DS-GVO zum 25. Mai 2018 umfangreichere Informationspflichten bei der Erhebung von personenbezogenen Daten gegenüber der betroffenen Person. Ziel der Informationspflichten ist es, Transparenz bei den Daten-verarbeitungsprozessen zu gewährleisten (Art. 29-Datenschutzgruppe, Guidelines on transparency under Regulation 2016/679, WP 260, 7; Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 7). Die Informa-tionspflicht nach Art. 13 Abs. 1 und Abs. 2 DS-GVO entsteht zum Zeitpunkt der Erhebung der Daten. Die Information muss vor oder spätestens gleichzeitig mit dem Erhebungsvorgang erfolgen (Ehmann/Selmayr/Knyrim DS-GVO, Art. 13 Rn. 7; Gola/Franck DS-GVO, Art. 13 Rn. 33). Gemäß Art. 13 Abs. 3 DS-GVO muss der Verantwortliche die betroffene Person erneut informieren, wenn er die Daten für einen anderen Zweck weiterverarbeiten will. Das nachfolgende Informationsschreiben ist ein Beispiel dafür, wie ein Verantwortlicher die Informationspflichten des Art. 13 DS-GVO umsetzen kann.

Muster - Informationsschreiben nach Art. 13 DS-GVO 1

Der Zweck dieses Schreibens liegt darin, über die Verarbeitung Ihrer personenbezogenen Daten durch [Name des Verantwortlichen] zu informieren. Zu dieser Information ist [Name des Verantwort-lichen] nach der DS-GVO verpflichtet. Das Informationsschreiben dient lediglich Ihrer Information. Sie müssen keine Maßnahmen veranlassen.

58

59

60

61

62

62.1

▶

62.2

Luch

terh

and

Verla

g 20

19

Leseprobe

1412


Jungkind

I. Zuständigkeiten und Kontaktdaten

Verantwortlicher für Ihre personenbezogenen Daten (Datenverantwortlicher) ist: [Name und Ad-resse des Verantwortlichen] 2

Die Kontaktdaten unseres Datenschutzbeauftragten lauten: [Kontaktdaten des Datenschutzbeauf-tragten] 3

II. Nutzung Ihrer personenbezogenen Daten

Die Nutzung Ihrer personenbezogenen Daten erfolgt für Zwecke [Zwecke der Datenerhebung] 4 auf Grundlage von [Rechtsgrundlage für die Datenerhebung] 5. Hierzu werden die folgenden perso-nenbezogenen Daten erhoben 6:

[Liste der personenbezogenen Daten] 7

Die Daten dürfen nicht zu anderen Zwecken verarbeitet oder ausgewertet werden.

III. Empfänger Ihrer personenbezogenen Daten

Innerhalb der Gesellschaft haben ausschließlich autorisierte, für den jeweiligen Aufgabenbereich zuständige Mitarbeiter Zugang zu Ihren personenbezogenen Daten.

Wir sind befugt, Dritte zu beauftragen, die bestimmte Dienstleistungen wie beispielsweise IT, Zusatzleistungen, Aus-, Fort- und Weiterbildung erbringen, sowie Rechtsberater, Unternehmens-berater und/oder externe Firmen für die Lohn- und Gehaltsbuchhaltung, die Dienstleistungen in unserem Namen und unter unserer Aufsicht und gemäß unseren Anweisungen erbringen. Diese Dritten können Zugang zu Ihren personenbezogenen Daten haben, soweit dies für die Erbringung Ihrer Dienstleistungen erforderlich ist. 8

Darüber hinaus können wir, soweit rechtlich zulässig, Ihre personenbezogenen Daten zur Er-füllung gesetzlicher Pflichten oder im Unternehmensinteresse an Behörden (z.B. Sozialversiche-rungsträger, Finanzbehörden oder Strafverfolgungsbehörden) und Gerichte im In- und Ausland übermitteln.

IV. Datenübermittlung

Die im Rahmen der Teilnahme übermittelten Daten dürfen nach [Aufzählung der Drittländer außer-halb der EU] , in dem der Dienstleister oder Vertragspartner Einrichtungen haben, übertragen, dort gespeichert und verarbeitet werden.

In Ländern außerhalb des EWR gelten möglicherweise andere Datenschutzvorschriften als in Ihrem Wohnsitzland. Im Falle einer wie oben beschriebenen Übermittlung Ihrer personenbezogenen Daten in andere Länder werden wir angemessene Vorkehrungen treffen, um den angemessenen Schutz Ihrer personenbezogenen Daten in diesen Ländern sicherzustellen. Grundlage des Daten-transfers sind [Nennung der rechtlichen Grundlage für die Datenübermittlung nach Art. 44 ff. DS-GVO] . 9

V. Ihre Rechte

Sie haben das Recht, Informationen über Ihre personenbezogenen Daten zu erhalten und die Be-richtigung oder Löschung Ihrer personenbezogenen Daten oder die Einschränkung der Verarbei-tung zu beantragen, soweit nach anwendbarem Recht zulässig. Darüber hinaus haben Sie das Recht Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format (Datenübertragbarkeit) zu erhalten. In Fällen, in denen die Datenverarbeitung auf der Grundlage Ihrer Einwilligung erfolgt, haben Sie das Recht, Ihre Einwilligung jederzeit zu wider-rufen. 10 Ferner steht es Ihnen frei, Ihr Beschwerderecht bei einer Aufsichtsbehörde auszuüben. 11 Im Rahmen der gesetzlichen Anforderungen haben Sie auch das Recht, der Datenverarbeitung zu widersprechen.

Luch

terh

and

Verla

g 20

19

Leseprobe

1413


Jungkind

VI. Vertraulichkeit und Speicherung Ihrer Daten

Jeder unserer Mitarbeiter und alle Mitarbeiter von externen Dienstleistern, die Zugriff auf perso-nenbezogene Daten haben und/oder diese verarbeiten, sind verpflichtet, diese Daten vertraulich zu behandeln. Alle Daten werden streng vertraulich behandelt und unter Einhaltung der geltenden gesetzlichen Vorschriften für den in dem maßgeblichen Land jeweils vorgeschriebenen Zeitraum aufbewahrt. 12

VII. Kontakt

Sollten Sie Fragen, Anmerkungen oder Verschläge zu diesem Informationsschreiben oder zu unse-rem Umgang mit dem Datenschutz haben, wenden Sie sich bitte an den Datenschutzbeauftragten.

Erläuterungen

SchrifttumDüwell/Brink, Beschäftigtendatenschutz nach der Umsetzung der Datenschutz-Grundverordnung: Viele Än-derungen und wenig Neues, NZA 2017, 1081; Ehmann/Selmayr, Datenschutz-Grundverordnung, 1. Auflage, 2017; Gola, Datenschutz-Grundverordnung, 1. Auflage, 2017; Kamps/A. Bonanni, Die datenschutzrechtliche Einwilligung im Beschäftigtenverhältnis nach der DSGVO – Risiken und Chancen eines datenschutzrecht-lichen Gestaltungsinstruments, ArbRB 2018, 50; Kamps/Schneider, Transparenz als Herausforderung: Die In-formations- und Meldepflichten der DSGVO aus Unternehmenssicht, K&R Beilage 1 zu Heft 7/8 2017, 24; Kühling/Buchner, Datenschutz-Grundverordnung, 1. Auflage, 2017; Paal/Pauly, Datenschutz-Grundverord-nung Bundesdatenschutzgesetz, 2. Auflage, 2018; Piltz, Die Datenschutz-Grundverordnung – Teil 2: Rech-te der Betroffenen und korrespondierende Pflichten des Verantwortlichen, K&R 2016, 629; Plath, BDSG DSGVO, 2. Auflage, 2016; Schantz, Die Datenschutz-Grundverordnung – Beginn einer neuen Zeitrechnung im Datenschutzrecht, NJW 2016, 1841; Sörup, Gestaltungsvorschläge zur Umsetzung der Informations-pflichten der DS-GVO im Beschäftigungskontext, ArbRAktuell 2016, 207; Sörup/Marquardt, Auswirkungen der EU-Datenschutzgrundverordnung auf die Datenverarbeitung im Beschäftigungskontext, ArbRAktuell 2016, 103; Sydow, Europäische Datenschutzgrundverordnung, 1. Auflage, 2017; Veil, DS-GVO: Risikoba-sierter Ansatz statt rigides Verbotsprinzip Eine erste Bestandsaufnahme, ZD 2015, 347; Walter, Die daten-schutzrechtlichen Transparenzpflichten nach der Europäischen Datenschutz-Grundverordnung, DSRITB 2016, 367; Wolff/Brink, Beck´scher Online-Kommentar Datenschutzrecht, 22. Edition, Stand 01.11.2017; Wytibul, EU-Datenschutz-Grundverordnung: Handbuch, 2017, Art. 12–15.

1. Allgemeines

Art. 13 DS-GVO ist vergleichbar mit § 4 Abs. 3 BDSG a.F., geht in seinem Umfang aber über die Informationspflichten der Vorgängerregelung deutlich hinaus (Wolff/Brink/Schmidt-Wudy BeckOK Datenschutzrecht, Art. 13 DS-GVO Rn. 3). Informationen sind gemäß Art. 12 Abs. 1 DS-GVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung zu stellen. Sie können auch zusammen mit standardisierten Bildsymbolen dargestellt werden (Art. 12 Abs. 7 DS-GVO). Sie müssen einen durchschnittlichen Empfänger in die Lage versetzen, die Informationen mühelos zu verstehen (Art. 29-Datenschutz-gruppe, Guidelines on transparency under Regulation 2016/679, WP 260, 7 f.). Die Informationen müssen stets unentgeltlich sein (Art. 12 Abs. 5 DS-GVO).

Hinsichtlich der Art der Zurverfügungstellung ist jedenfalls ein aktives Handeln des Verantwort-lichen erforderlich (Ehmann/Selmayr/Knyrim DS-GVO, Art. 13 Rn. 12; Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 22). Die elektronische Bereitstellung ist zulässig, z.B. auf einer öffentlich zugänglichen Website (Art. 12 Abs. 1 S. 2 DS-GVO). Nach Erwägungsgrund Nr. 58 der DS-GVO kommt diese Art insbesondere in Betracht, wenn es wegen der großen Zahl der Beteiligten und der Komplexität der benötigten Technik für die betroffenen Personen schwer ist zu erkennen, ob, von wem und zu welchem Zweck personenbezogene Daten von diesen erfasst werden. Die betroffene Person muss auf die konkrete Website hingewiesen werden und der Zugriff auf die Informationen

62.3

62.4

Luch

terh

and

Verla

g 20

19

Leseprobe

1414


Jungkind

muss sichergestellt sein (Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 59). Auf Verlangen der betroffenen Person können die Informationen außerdem auch mündlich erteilt werden (Art. 12 Abs. 1 Satz 3 DS-GVO). Werden Daten schriftlich oder elektronisch erhoben, sollten die Infor-mationen auf demselben Weg zugänglich gemacht werden (Ehmann/Selmayr/Knyrim DS-GVO, Art. 13 Rn. 15; Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 58; a.A Gola/Franck DS-GVO, Art. 13 Rn. 34). Es entspricht der Praxis, Informationen in derselben Weise zugänglich zu machen, in der auch die Datenerhebung erfolgt (Wolff/Brink/Schmidt-Wudy BeckOK Datenschutzrecht, Art. 13 DS-GVO Rn. 85.1). Im Rahmen von Beschäftigungsverhältnissen kann es sinnvoll sein, die Information als Anhang zum Arbeitsvertrag zur Verfügung zu stellen (Sörup/Marquardt Ar-bRAktuell 2016, 103, 105), es kann sich aber auch um ein separates Informationsblatt handeln. Weitere Möglichkeiten bestehen darin, die Informationen mit den allgemeinen Datenschutzbe-stimmungen zugänglich zu machen oder sie in Betriebsvereinbarungen aufzunehmen (Sörup/Mar-quardt ArbRAktuell 2016, 103, 105).

Art. 13 Abs. 4 DS-GVO enthält einen Ausnahmetatbestand für die Informationspflichten. Dieser entfällt, wenn und soweit die betroffene Person bereits über die Informationen verfügt. In Betracht kommt weiterhin eine Beschränkung der Informationspflicht durch eine unionsrechtliche oder mitgliedstaatliche Regelung nach Art. 23 DS-GVO, die der deutsche Gesetzgeber insbesondere in § 32 BDSG n.F. normiert hat.

Verstöße gegen die Informationspflichten des Art. 13 DS-GVO können strenge Sanktionen zur Folge haben. Gemäß Art. 83 Abs. 5 lit. b) DS-GVO können Verstöße mit einer Geldbuße von bis zu 20 Millionen Euro oder bei Unternehmen von bis zu vier Prozent des gesamten weltweit erziel-ten Jahresumsatzes des vorangegangenen Geschäftsjahrs sanktioniert werden, je nachdem, welcher der Beträge höher ist.

Das Verhältnis zwischen Art. 13 Abs. 1 und 2 DS-GVO ist umstritten. Teilweise wird ein risiko-basierter Ansatz vertreten. Hiernach sind die Angaben des Art. 13 Abs. 1 DS-GVO zwingend, die Angaben nach Art. 13 Abs. 2 DS-GVO jedoch nur dann mitzuteilen, wenn sie notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten (Ehmann/Selmayr/Knyrim DS-GVO, Art. 13 Rn. 19; Gola/Franck DS-GVO, Art. 13 Rn. 5; Paal/Pauly/Paal/Hennemann BDSG DS-GVO, Art. 13 Rn. 22; Piltz K&R 2016, 629, 630; Plath/Kamlah BDSG DS-GVO, Art. 13 Rn. 16; Schantz NJW 2016, 1841, 1845; Veil ZD 2015, 347, 352). Demgegenüber will die Gegenansicht stets umfassend informieren (Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 20; Wolff/Brink/Sch-midt-Wudy BeckOK Datenschutzrecht, Art. 13 DS-GVO Rn. 59). Zur Begründung wird angeführt, dass der Zusatz des Art. 13 Abs. 2 DS-GVO, wonach Informationen zur Verfügung gestellt werden, die »notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten«, überflüssig sei, da auch die Informationen nach Art. 13 Abs. 1 DS-GVO nur zu diesem Zweck erteilt wür-den (Wolff/Brink/Schmidt-Wudy BeckOK Datenschutzrecht, Art. 13 DS-GVO Rn. 59). Darüber hinaus seien die in Art. 13 Abs. 2 DS-GVO geforderten Informationen in der Gesamtschau nicht weniger wichtig als die nach Art. 13 Abs. 1 DS-GVO erforderlichen Informationen (Kühling/Buch-ner/Bäcker DS-GVO, Art. 13 Rn. 20; so ausdrücklich auch Art. 29-Datenschutzgruppe, Guidelines on transparency under Regulation 2016/679, WP 260, 12). Dem ist jedoch entgegenzuhalten, dass bereits der Ratsentwurf davon ausging, die Informationen nach Art. 13 Abs. 2 DS-GVO nur zu erteilen, wenn dies für eine faire und transparente Verarbeitung notwendig ist. Bei der Beurteilung sollten die besonderen Umstände und Rahmenbedingungen berücksichtigt werden (Gola/Franck DS-GVO, Art. 13 Rn. 5; Paal/Pauly/Paal/Hennemann BDSG DS-GVO, Art. 13 Rn. 22; Veil ZD 2015, 347, 349). Für einen risikobasierten Ansatz spricht auch, dass im Falle des Art. 13 Abs. 3 DS-GVO nicht alle Informationen nach Art. 13 Abs. 2 DS-GVO erteilt werden müssen, sondern nur die »maßgeblichen Informationen«. Der Wortlaut enthält somit ein fakultatives Element (Go-la/Franck DS-GVO, Art. 13 Rn. 5). Des Weiteren ist nicht ersichtlich, warum eine Aufteilung in die beiden Absätze hätte erfolgen sollen, wenn hinsichtlich der Informationspflichten kein Unterschied besteht (Paal/Pauly/Paal/Hennemann BDSG DS-GVO, Art. 13 Rn. 22). Angesichts der strengen Sanktionen im Falle eines Verstoß gegen die Informationspflicht ist es gleichwohl ratsam, in der

62.5

62.6

62.7

Luch

terh

and

Verla

g 20

19

Leseprobe

1415


Jungkind

praktischen Anwendung stets auch die Informationen nach Art. 13 Abs. 2 DS-GVO zu erteilen (Ehmann/Selmayr/Knyrim DS-GVO, Art. 13 Rn. 19; Piltz K&R 2016, 629, 630).

2. Gemäß Art. 13 Abs. 1 lit. a) DS-GVO muss der Verantwortliche seinen Namen und seine Kontaktdaten mitteilen. Wenn ein Vertreter bestellt wurde (Art. 27 DS-GVO), sind auch dessen Kontaktdaten mitzuteilen. Anzugeben sind der vollständige Name der natürlichen oder juristi-schen Person, Behörde, Einrichtung oder sonstigen Stelle und die postalische Anschrift. Werden die Informationen online zur Verfügung gestellt, ist zusätzlich eine Online-Kontaktmöglichkeit zu benennen (Ehmann/Selmayr/Knyrim DS-GVO, Art. 13 Rn. 22 f.). Die Angaben müssen so genau sein, dass eine Kontaktaufnahme ohne Weiteres möglich ist (Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 22).

3. Sofern ein Datenschutzbeauftragter benannt wurde, sind dessen Kontaktdaten anzugeben (Art. 13 Abs. 1 lit. b) DS-GVO). Dies gilt unabhängig davon, ob der Datenschutzbeauftragte freiwillig oder auf Grundlage einer gesetzlichen Verpflichtung (Art. 37 DS-GVO) ernannt wur-de (Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 24; Gola/Franck DS-GVO, Art. 13 Rn. 10; a.A. Ehmann/Selmayr/Knyrim DS-GVO, Art. 13 Rn. 25). Es genügt, lediglich die Anschrift des Datenschutzbeauftragten anzugeben; eine namentliche Nennung ist nicht erforderlich (Ehmann/Selmayr/Knyrim DS-GVO, Art. 13 Rn. 25; Gola/Franck DS-GVO, Art. 13 Rn. 10; a.A. Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 24).

4. Die (ggf. verschiedenen) Zwecke, zu denen personenbezogenen Daten verarbeitet werden, sind mitzuteilen (Art. 13 Abs. 1 lit. c) DS-GVO). Diese Verpflichtung steht in enger Verbindung zur Zweckbindung der Datenverarbeitung, die sich aus Art. 5 Abs. 1 lit. b) DS-GVO ergibt (Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 25). Der Betroffene muss einen Überblick über die zu er-wartende Datenverarbeitung bekommen, was eine vollständige und detaillierte Aufführung der Zwecke erfordert (Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 25). Die Zwecke dürfen nicht nur generell oder allgemein angegeben werden, sondern sind zu konkretisieren (Ehmann/Selmayr/Knyrim DS-GVO, Art. 13 Rn. 26). Es sind nur diejenigen zu benennen, die tatsächlich verfolgt werden (Gola/Franck DS-GVO, Art. 13 Rn. 11).

5. Gemäß Art. 13 Abs. 1 lit. c) DS-GVO muss die Rechtsgrundlage für die Datenverarbeitung für jeden einzelnen Zweck angegeben werden. Rechtsgrundlagen finden sich in Art. 6 ff. DS-GVO. Als Rechtsgrundlage kommen beispielsweise die Einwilligung des Betroffenen (Art. 6 Abs. 1 lit. a) DS-GVO) oder die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist (Art. 6 Abs. 1 lit. b) DS-GVO), in Betracht. Erfolgt die Verarbeitung zur Wahrung berechtigter Interessen auf Grundlage von Art. 6 Abs. 1 lit. f ) DS-GVO, sind zusätzlich zur Rechtsgrundlage die konkret verfolgten berechtigten Interessen anzugeben (Art. 13 Abs. 1 lit. d) DS-GVO).

Dem Wortlaut nach genügt es, die einschlägige Vorschrift des Art. 6 Abs. 1 DS-GVO zu zitie-ren oder dessen Wortlaut zu wiederholen (Ehmann/Selmayr/Knyrim DS-GVO, Art. 13 Rn. 27; Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 26). Teilweise wird jedoch vor allem für die Rechtsgrundlagen nach Art. 6 Abs. 1 lit. c) und e) DS-GVO gefordert, den Betroffenen einzel-fallbezogen und vollständig aufzuklären, da die Rechtsgrundlagen offen formuliert seien. In-wieweit eine solche Erklärung notwendig ist, sollte von dem erkennbaren Kenntnisstand der betroffenen Personen abhängig gemacht werden (so auch Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 26).

6. Die betroffene Person muss auch darüber informiert werden, ob die Bereitstellung der perso-nenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist. Außerdem ist mitzuteilen, ob die betroffene Person verpflichtet ist, die Daten her-auszugeben und welche Folgen es hätte, wenn sie die Daten nicht bereitstellt (Art. 13 Abs. 2 lit. e) DS-GVO). Diese Regelung ist besonders wichtig, damit die betroffene Person ihre Rechtsstellung gegenüber der Datenerhebung einzuschätzen vermag (Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 40). Eine Ausnahme kommt allenfalls in Betracht, wenn für die betroffene Person kein ver-

62.8

62.9

62.10

62.11

62.12

62.13

Luch

terh

and

Verla

g 20

19

Leseprobe

1416


Jungkind

nünftiger Zweifel an ihrer rechtlichen Stellung bestehen kann (Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 40).

7. Ein Erfordernis, die erhobenen Daten aufzulisten, ist zwar nicht ausdrücklich in Art. 13 Abs. 1 oder Abs. 2 DS-GVO festgeschrieben, folgt jedoch aus dem Zweck, ein möglichst großes Maß an Transparenz für die betroffenen Personen zu schaffen (vgl. Erwägungsgrund Nr. 60 DS-GVO; dazu auch Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 7). Die Informationspflichten gegenüber den betroffenen Personen sollen dazu beitragen, die Rechtmäßigkeit der Datenverarbeitung und die Richtigkeit der erhobenen Daten zu fördern (Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 10). Art. 5 Abs. 1 lit. a) DS-GVO fordert außerdem, dass die Datenverarbeitung in einer für den Be-troffenen nachvollziehbaren Weise erfolgt. Diese Funktionen können nur erfüllt werden, wenn der Betroffene konkret weiß, welche personenbezogenen Daten von ihm erhoben werden.

8. Gemäß Art. 13 Abs. 1 lit. e) DS-GVO müssen gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten angegeben werden. Art. 4 Nr. 9 DS-GVO definiert einen Empfänger als jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei dem Empfänger um einen Dritten (Art. 4 Nr. 10 DS-GVO) handelt. Auch Auftragsverarbeiter sind Empfänger (Ehmann/Selmayr/Knyrim DS-GVO, Art. 13 Rn. 33; Gola/Franck DS-GVO, Art. 13 Rn. 15; Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 28). Für die Angabe des Empfängers ge-nügt es, den Name des Dienstleisters zu benennen, der die Auftragsverarbeitung vornimmt. Das konkrete Übermittlungsmedium muss nicht angegeben werden, da die Vorschriften zur Daten-sicherheit (Art. 25 und 31 DS-GVO) nicht als Betroffenenrechte ausgestaltet sind (Gola/Franck DS-GVO, Art. 13 Rn. 15).

Empfängerkategorien können nur alternativ zu konkreten Empfängern angegeben werden (Eh-mann/Selmayr/Knyrim DS-GVO, Art. 13 Rn. 29; Gola/Franck DS-GVO, Art. 13 Rn. 16). Wenn Kategorien von Empfängern angegeben werden, ist eine namentliche Nennung des Empfängers nicht erforderlich (Ehmann/Selmayr/Knyrim DS-GVO, Art. 13 Rn. 29). Mögliche Empfängerka-tegorien sind z.B. konzernverbundene Gesellschaften. Stehen die konkreten Empfänger fest, emp-fiehlt es sich, diese aus Transparenzgründen ebenfalls anzugeben (Gola/Franck DS-GVO, Art. 13 Rn. 16; Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 30 geht sogar davon aus, dass der Ver-antwortliche verpflichtet ist, konkrete Angaben zu machen, wenn er über die entsprechenden In-formationen verfügt). Bei einer internen Übermittlung der Daten innerhalb einer verantwortlichen Stelle besteht grundsätzlich keine Informationspflicht. Eine Ausnahme gilt nur dann, wenn mit der internen Übermittlung eine Zweckänderung einhergeht (Ehmann/Selmayr/Knyrim DS-GVO, Art. 13 Rn. 32).

9. Wenn der Verantwortliche die Absicht hat, personenbezogene Daten in ein Drittland oder an eine internationale Organisation zu übermitteln, muss er dies der betroffenen Person mitteilen (Art. 13 Abs. 1 lit. f ) DS-GVO). Darüber hinaus ist das Vorhandensein bzw. Fehlen eines Ange-messenheitsbeschlusses der Kommission oder bei einer Übermittlung nach Art. 46, 47 oder 49 Abs. 1 UAbs. 2 DS-GVO ein Verweis auf die geeigneten oder angemessenen Garantien anzuführen. Hinsichtlich der Garantien muss auch angegeben werden, ob die Möglichkeit besteht, eine Kopie zu erhalten, oder wo sie verfügbar sind. Die Übermittlung in ein Drittland muss beabsichtigt sein, d.h. sie muss unmittelbar bevorstehen oder unternehmerisch geplant sein, damit eine Informations-pflicht besteht (Plath/Kamlah BDSG DS-GVO, Art. 13 Rn. 14). Die Information muss ausdrück-lich erfolgen (Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 33). Anhand der zur Verfügung ge-stellten Informationen soll der Betroffene das Übermittlungsrisiko einschätzen können (Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 34).

10. Der Betroffene ist darüber zu belehren, dass er gegenüber dem Verantwortlichen ein Recht auf Auskunft über die betreffenden personenbezogenen Daten hat. Ebenso muss er auf die Mög-lichkeit, die Daten berichtigen oder löschen zu lassen oder ihre Verarbeitung einzuschränken hin-gewiesen werden. Er ist auch auf ein Widerspruchsrecht gegen die Verarbeitung und das Recht auf

62.14

62.15

62.16

62.17

62.18

Luch

terh

and

Verla

g 20

19

Leseprobe

1417

Allgemeine Einwilligung in die Datenverarbeitung U.IV.

Jungkind

Datenübertragbarkeit hinzuweisen (Art. 13 Abs. 2 lit. b) DS-GVO). Die Betroffenenrechte sind in Art. 15–18 DS-GVO sowie in Art. 20 und 21 DS-GVO enthalten. Die Betroffenenrechte dürfen allgemein mitgeteilt und dargestellt werden, da zu diesem Zeitpunkt noch nicht ersichtlich ist, ob und in welchen Konstellationen der Betroffene von ihnen Gebrauch machen wird (Kühling/Buch-ner/Bäcker DS-GVO, Art. 13 Rn. 37). Die Mitteilung über die Betroffenenrechte entfaltet keine konstitutive Wirkung, sodass eine Mitteilung über ein tatsächlich nicht bestehendes Recht nicht dazu führt, dass das Recht dem Betroffenen gegenüber dem Verantwortlichen zusteht (Gola/Franck DS-GVO, Art. 13 Rn. 19; Paal/Pauly/Paal/Hennemann BDSG DS-GVO, Art. 13 Rn. 27a).

11. Eine Hinweispflicht besteht bezüglich des Beschwerderechts bei einer Aufsichtsbehörde (Art. 13 Abs. 2 lit. d) DS-GVO). Die Mitteilung der örtlichen und sachlichen Zuständigkeit ist wegen der weiten Zuständigkeitsregelung des Art. 77 Abs. 1 DS-GVO nicht erforderlich (Gola/Franck DS-GVO, Art. 13 Rn. 22; Paal/Pauly/Paal/Hennemann BDSG DS-GVO, Art. 13 Rn. 29; a.A. Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 39).

12. Der Betroffene ist gemäß Art. 13 Abs. 2 lit. a) DS-GVO über die Dauer der Datenspeicherung zu informieren. Wenn keine konkrete Speicherdauer angegeben werden kann, müssen die Infor-mationen so beschaffen sein, dass der Betroffene zumindest ungefähr abschätzen kann, wie lange die Daten gespeichert werden. Der Verantwortliche ist an die Angabe der Speicherdauer gebunden (Kühling/Buchner/Bäcker DS-GVO, Art. 13 Rn. 36).

IV. Allgemeine Einwilligung in die Datenverarbeitung

Vorbemerkung

Viele Unternehmen nutzen das Internet als ein Medium zur Ansprache von Bewerbern. Dabei schreiben sie auf den eigenen Websites offene Stellen aus und stellen den potentiellen Bewerbern ein Online-Bewerbungsformular zur Verfügung. Das die offene Stelle ausschreibende Unternehmen erhält so die Bewerberdaten und verarbeitet diese zum Zwecke des Bewerbungsprozesses. Bewerber gelten dabei nach § 26 Abs. 8 Satz 2 BDSG-neu als Beschäftigte.

Die Erhebung und Verarbeitung der Bewerberdaten können grundsätzlich auf den Rechtfertigungs-tatbestand des § 26 Abs. 1 Satz 1 BDSG-neu gestützt werden. Denn die Erhebung und Verarbei-tung der Bewerberdaten ist für die Begründung eines Beschäftigungsverhältnisses grundsätzlich er-forderlich. Mit § 26 BDSG-neu hat der deutsche Gesetzgeber von der Öffnungsklausel des Art. 88 Abs. 1 DS-GVO Gebrauch gemacht, wonach die Mitgliedstaaten die Datenverarbeitung im Be-schäftigungskontext durch Rechtsvorschriften oder Kollektivvereinbarungen näher regeln können.

Bei global agierenden Unternehmen kommt es häufig vor, dass die Website und/oder das Online-Bewerbungsverfahren von der z.B. in den USA sitzenden Muttergesellschaft verantwortet werden oder dass die Bewerbungsunterlagen auch für andere Konzerngesellschaften von Interesse sind. In diesen Konstellationen erhält zunächst eine Konzerngesellschaft die Bewerberdaten und gibt diese dann an eine andere Konzerngesellschaft weiter. Da die DS-GVO kein Konzernprivileg kennt, ist dieser Vorgang eine Datenübermittlung i.S.d. Art. 4 Nr. 2 DS-GVO, die nicht in allen Fällen von § 26 Abs. 1 Satz 1 BDSG-neu gedeckt ist. Aus diesem Grund kann es für ein Unternehmen von Interesse sein, auch für die Datenverarbeitung im Rahmen eines Bewerbungsverfahrens auf die Ein-willigung zurückzugreifen.

Muster – Datenschutzrichtlinie für das Online-Bewerbungsverfahren 1

Der Schutz der Privatsphäre aller Besucher unserer Internetseite ist uns ein großes Anliegen. Daher bitten wir Sie, diese Richtlinie sorgfältig zu lesen, damit Sie die Erhebung, Verarbeitung und Nut-zung der personenbezogenen Daten, die Sie uns über unsere Internetseite zur Verfügung stellen, nachvollziehen können.

62.19

62.20

63

64

65

66

▶

Luch

terh

and

Verla

g 20

19

Leseprobe

1418


Jungkind

Am Ende der Datenschutzrichtlinie können Sie Ihre Einwilligung 2in die Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten im Rahmen unseres Online-Bewerbungsverfahrens erklären. Sollten Sie Ihre Einwilligung nicht erteilen wollen, können Sie zwar auf unseren Internet-seiten surfen, jedoch nicht am Online-Bewerbungsverfahren teilnehmen. 3

I. Geltungsbereich

Diese Datenschutzrichtlinie bezieht sich auf Ihre personenbezogenen Daten, die wir im Rahmen Ihrer Bewerbung erhalten. Im Zusammenhang mit dieser Datenschutzrichtlinie bezeichnet »diese Internetseite« die Internetseite der [Unternehmensgruppe]. Sie können sich unsere offenen Stellen ansehen und am Bewerbungsverfahren unserer Gesellschaften teilnehmen. Das Verfahren kann in mehreren Stufen durchgeführt werden, in denen wir jeweils weitergehende Informationen über Ihre Fähigkeiten und Interessenschwerpunkte abfragen werden. Diese gleichen wir dann mit den jeweiligen Anforderungsprofilen der innerhalb unserer Gruppe zu besetzenden Stellen ab. Sollte sich aus dem internetbasierten (Vor-)Auswahlverfahren ergeben, dass Sie die Voraussetzungen für eine bestimmte Stelle mitbringen, laden wir Sie gegebenenfalls im nächsten Schritt zu einem Vorstellungsgespräch ein.

II. Erhobene personenbezogene Daten

Wenn Sie sich über unser Online-Bewerbungsverfahren für eine bestimmte Position bei einer unse-rer Gesellschaften bewerben, werden alle in Ihrer Bewerbung angegebenen personenbezogenen Daten erfasst. Dazu gehören beispielsweise Name, Anschrift, Telefonnummer, E-Mail-Adresse und Lebenslauf. 4

III. Nutzung Ihrer personenbezogenen Daten

Ihre personenbezogenen Daten werden auf Grundlage Ihrer Einwilligungserklärung verarbeitet. Wir können Ihre personenbezogenen Daten für folgende Zwecke nutzen: (i) zur Beantwortung Ihrer Fragen und zur Bearbeitung Ihrer Bewerbung (z.B. Auswertung, Analyse und Aufbereitung der Bewerbungsunterlagen), (ii) um Sie schriftlich über künftige Stellenausschreibungen zu infor-mieren, (iii) zu internen Verwaltungszwecken der Unternehmensgruppe weltweit (Support- und Personalverwaltungszwecke) und (iv) um Ihnen die Nutzung dieser Internetseite zu erleichtern und die Internetseite selbst zu verbessern. Eine Datenverarbeitung zu anderen Zwecken erfolgt nicht. 5

IV. Datenübermittlung 6

Für die unter Punkt III. genannten Zwecke können Ihre personenbezogenen Daten nicht nur an die Gesellschaft, bei der Sie sich auf eine Stelle bewerben (als die für die Verarbeitung Ihrer perso-nenbezogenen Daten verantwortliche Stelle), sondern auch an die [Muttergesellschaft], [Adresse, Sitz z.B. in den USA] als weitere für die Datenverarbeitung verantwortliche Stelle sowie an unsere IT-Dienstleister übermittelt werden. 7

In Ländern außerhalb des Europäischen Wirtschaftsraums (EWR) gelten möglicherweise andere Datenschutzvorschriften als im Sitzland der Gesellschaft, bei der Sie sich auf eine Stelle bewerben. Im Falle einer wie oben beschriebenen Übermittlung Ihrer personenbezogenen Daten in andere Länder werden wir angemessene Vorkehrungen treffen, um sicherzustellen, dass Ihre personen-bezogenen Daten dort nach Maßgabe dieser Datenschutzrichtlinie geschützt werden. Insbesondere haben wir entsprechende Vereinbarungen abgeschlossen, die die von der Europäischen Kommission herausgegebenen Standardvertragsklauseln enthalten. Wenn Sie Kopien dieser Vereinbarungen ein-sehen wollen, wenden Sie sich bitte an die in Abschnitt IX. genannten Kontaktpersonen. Vorbehalt-lich der Bestimmungen dieser Datenschutzrichtlinie und ohne Ihre Einwilligung werden wir keine Ihrer personenbezogenen Daten offenlegen, es sei denn, wir sind kraft Gesetzes dazu verpflichtet. 8

V. Ihre Rechte 9

Sie haben das Recht, auf Ihre personenbezogenen Daten zuzugreifen und die Berichtigung oder Löschung unrichtiger oder unvollständiger personenbezogener Daten zu verlangen. Soweit nach Lu

chte

rhan

d Ve

rlag

2019

Leseprobe

1419


Jungkind

den geltenden gesetzlichen Vorschriften zulässig, haben Sie das Recht, eine Beschränkung der Datenverarbeitung zu verlangen oder einem der unter Punkt III. genannten Datenverarbeitungs-zwecke soweit gesetzlich zulässig zu widersprechen; bitte wenden Sie sich zu diesem Zweck an .

Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gängigen und ma-schinenlesbaren Format (Datenübertragbarkeit) zu erhalten; darüber hinaus haben Sie das Recht, bei einer Aufsichtsbehörde Beschwerde einzureichen. Sie sind jederzeit berechtigt, Informationen über die Daten zu erhalten, die wir über Sie haben. Sie können Ihre Angaben überprüfen, ändern oder korrigieren, indem Sie sich erneut auf unserer Internetseite einloggen; bitte geben Sie zu diesem Zweck Ihr Passwort ein oder wenden Sie sich an .

VI. Vertraulichkeit und Speicherung der Daten

Jeder unserer Mitarbeiter und alle Mitarbeiter unserer IT-Dienstleister, die Zugriff auf personen-bezogene Daten haben, sind verpflichtet, diese Daten streng vertraulich zu behandeln. Alle Daten werden unter Einhaltung der geltenden gesetzlichen Vorschriften für den in dem maßgeblichen Land jeweils zulässigen Zeitraum aufbewahrt. 10

VII. Sicherheit

Die Sicherheit Ihrer personenbezogenen Daten ist uns wichtig. Wir haben technische und organisatorische Vorkehrungen zum Schutz Ihrer personenbezogenen Daten vor unbefugtem Zugriff, Verlust, Veränderung und missbräuchlicher Nutzung getroffen. Wir werden in an-gemessener Form sicherstellen, dass diese technischen und organisatorischen Vorkehrungen stets dem aktuellen Stand der Technik entsprechen.

Allerdings sind keine Sicherheitsmaßnahme und keine Form der Übertragung über das Internet hundertprozentig sicher. Bei der Übertragung personenbezogener Daten über das Internet sollten Sie stets Vorsicht walten lassen.

VIII. Änderungen dieser Datenschutzrichtlinie

Wir behalten uns das Recht vor, diese Datenschutzrichtlinie zu gegebener Zeit zu überarbeiten. Alle nicht unerheblichen Änderungen werden auf dieser Internetseite veröffentlicht. Dies gilt auch, falls sich die Art und Weise der Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten wesentlich ändert. Bitte überprüfen Sie in regelmäßigen Abständen, ob sich Änderungen unserer Datenschutzrichtlinie ergeben haben.

Diese Richtlinie wurde zuletzt aktualisiert am [Datum] .

IX. Kontakt

Bei Fragen, Anmerkungen oder Vorschlägen zu dieser Datenschutzrichtlinie oder zu unserem Um-gang mit dem Datenschutz wenden Sie sich bitte an [Name, Anschrift, E-Mail-Adresse, Telefonnummer,

Firmen-ID/Registernummer (sofern zutreffend)] oder unseren Datenschutzbeauftragten [Name, Email-Adresse, Telefonnummer]. 11

X. Einwilligung

Wenn Sie mit der Erhebung, Verarbeitung und Nutzung Ihrer personenbezogenen Daten nach Maßgabe dieser Datenschutzrichtlinie einverstanden sind, klicken Sie bitte nachstehend auf die Schaltfläche »Einverstanden«. Sollten Sie den Bestimmungen unserer Datenschutzrichtlinie nicht zustimmen, können Sie zwar auf unseren Internetseiten surfen, jedoch nicht am Online-Bewer-bungsverfahren teilnehmen.

Ich habe die vorstehende Datenschutzrichtlinie gelesen und verstanden und erkläre hiermit meine Einwilligung mit der Erhebung, Verarbeitung, Übermittlung und Nutzung meiner personenbezo-genen Daten durch die [Gesellschaft] und [ihre Muttergesellschaft] innerhalb und außerhalb des Europäischen Wirtschaftsraums nach Maßgabe dieser Datenschutzrichtlinie. 12Lu

chte

rhan

d Ve

rlag

2019

Leseprobe

1420


Jungkind

[Schaltfläche: »Einverstanden«]

[Schaltfläche: »Nicht einverstanden«]

Erläuterungen

SchrifttumArtikel-29-Gruppe, WP259 rev. 01 (Stand: 10.4.2018), Guidelines on consent under Regulation 2016/679; Datenschutzkonferenz, Informationspflichten bei Dritt- und Direkterhebung (Kurzpapier Nr. 10); Gola, Der »neue« Beschäftigtendatenschutz nach § 26 BDSG n.F., BB 2017, 1462; Kazemi, Die EU-Datenschutzgrund-verordnung in der anwaltlichen Beratungspraxis, 1. Aufl. 2018; Kühling/Buchner, Datenschutz-Grundver-ordnung, 1. Aufl. 2017; Müller-Glöge/Preis/Schmidt, Erfurter Kommentar zum Arbeitsrecht, 18. Aufl. 2018; Paal/Pauly, DS-GVO BDSG, 2. Aufl. 2018; Plath, Bundesdatenschutzgesetz, 2. Aufl. 2016; Riesenhuber, Die Einwilligung des Arbeitnehmers im Datenschutzrecht, RdA 2011, 257; Simitis, Bundesdatenschutzgesetz, 8. Aufl. 2014; Spindler/Schuster, Recht der elektronischen Medien, 3. Aufl. 2015; Taeger/Gabel, BDSG und Datenschutzvorschriften des TKG und TMG, 2. Aufl. 2013; Thüsing/Schmidt/Forst, Das Schriftformerforder-nis der Einwilligung nach § 4a BDSG im Pendelblick zu Art. 7 DS-GVO, RDV 2017, 116; Wolff/Brink, Beck´scher Online-Kommentar Datenschutzrecht, 22. Edition, Stand: 01.11.2017; Wybitul, Handbuch EU-Datenschutzgrundverordnung, 1. Aufl. 2017.

1. In Fällen, in denen die Website von einem Unternehmen betrieben wird, das keinen Sitz in Deutschland hat, ist der räumliche Anwendungsbereich des BDSG-neu zu prüfen. Dieser richtet sich grundsätzlich danach, ob der Verantwortliche personenbezogene Daten im Inland verarbeitet, § 1 Abs. 4 Nr. 1 BDSG-neu. Verantwortlicher für die Daten ist dabei jedenfalls das Unternehmen, welches die offene Stelle ausschreibt.

Handelt es sich um einen Verantwortlichen mit Sitz in Deutschland, ist das BDSG-neu anwendbar. Hat der Verantwortliche seinen Sitz hingegen im europäischen Inland (bzw. dem EWR-Inland), findet das BDSG-neu grundsätzlich keine Anwendung, es sei denn, die Datenverarbeitung erfolgt durch eine Niederlassung in Deutschland (§ 1 Abs. 4 Satz 2 Nr. 2 BDSG-neu). Der Begriff der Niederlassung umfasst – der Rspr. des EuGH folgend – jede tatsächliche und effektive Tätigkeit, die mittels einer festen Einrichtung ausgeübt wird, selbst wenn sie nur geringfügig ist (EuGH ZD 2015, 580, 582 Rn. 29 ff.).

Anwendbar ist das BDSG-neu ebenfalls, wenn ein Verantwortlicher seinen Sitz außerhalb des EWR hat, aber die Datenverarbeitung im Inland erfolgt. Beim Einsatz eines Online-Bewer-bungsverfahrens über eine Website erfolgt die Datenverarbeitung im Inland, wenn die Website im Inland gehostet, also auf einem Server im Inland abgelegt ist. Das BDSG-neu ist in diesen Fällen anwendbar. Eine Datenverarbeitung im Inland liegt nach h.M. hingegen nicht vor, wenn die Website auf einem Server in einem Drittland abgelegt ist und ein Nutzer im Inland lediglich ein Formular auf der Website ausfüllt (zu Einzelheiten nach alter Rechtslage siehe Simitis/Simitis BDSG, § 1 Rn. 223 ff.; Taeger/Gabel/Gabel BDSG, § 1 Rn. 59; anders wenn durch den Web-sitebetreiber Cookies auf dem PC des Nutzers platziert werden [siehe hierzu KG Berlin, ZD 2014, 412]).

2. In § 26 Abs. 2 BDSG-neu hat der Gesetzgeber nunmehr klargestellt, dass eine Einwilligung auch im Beschäftigtenkontext eingeholt werden kann. Dies wird auch von der Artikel 29-Gruppe nicht in Frage gestellt (Artikel-29-Gruppe, WP259 rev. 01 (Stand: 10.04.2018), S. 7). Die Wirksam-keit der Einwilligung eines Beschäftigten und damit auch eines Bewerbers richtet sich zudem nach Art. 6 Abs. 1 lit. a) und Art. 7 DS-GVO.

3. Wesentliche Voraussetzung der Einwilligung ist, dass sie freiwillig erteilt wird (Art. 4 Nr. 11 DS-GVO). Die im Schrifttum in Bezug auf die alte Rechtslage kontrovers geführte Diskussion, ob aufgrund des Abhängigkeitsverhältnisses zwischen Arbeitnehmer und Arbeitgeber eine Ein-willigung des Beschäftigten überhaupt freiwillig und damit wirksam erteilt werden kann (vgl. zur damaligen Rechtslage nicht generell ausschließend Plath/Plath BDSG, § 4a Rn. 27; skeptisch etwa Simitis/Simitis BDSG, § 4a Rn. 62; Spindler/Schuster/Spindler/Nink Recht der elektronischen

67

68

69

70

71

Luch

terh

and

Verla

g 20

19

Leseprobe

1421


Jungkind

Medien, § 4a BDSG Rn. 7), hat sich mit § 26 Abs. 2 BDSG-neu überholt. Die Vorschrift enthält Kriterien, anhand derer das Vorliegen der Freiwilligkeit bestimmt werden kann.

Nach § 26 Abs. 2 Satz 1 BDSG-neu sind für die Beurteilung der Freiwilligkeit der Einwilligung vor allem die bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Die Freiwilligkeit kann nach § 26 Abs. 2 Satz 2 BDSG-neu insbesondere dann vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte In-teressen verfolgen (vgl. hierzu ErwGr. 155 DS-GVO; Wybitul, Der neue Beschäftigtendatenschutz nach § 26 BDSG und Art. 88 DSGVO, NZA 2017, 413, 416). Der Betroffene muss eine echte Wahl und die Möglichkeit haben, die Einwilligung zu verweigern oder zurückzunehmen, ohne Nachteile zu erleiden (EG 42 DS-GVO; siehe auch Stemmer, in: BeckOK Datenschutzrecht, Stand: 01.08.2017, Art. 7 DS-GVO, Rn. 38). Maßgeblich für die Beurteilung der Freiwilligkeit sind dabei stets die Umstände des Einzelfalls (Gräber/Nolden, in: Paal/Pauly, DS-GVO BDSG, 2. Aufl. (2018), § 26 BDSG, Rn. 26). Als Kriterien können bspw. herangezogen werden: die generelle Situation am Arbeitsmarkt, die konkrete Bewerbersituation im Hinblick auf die ausgeschriebene Stelle sowie die Position des konkreten Bewerbers.

Mit dem Erfordernis der Freiwilligkeit eng verknüpft ist das Erfordernis der umfassenden Information über die Datenverarbeitung (§ 4 Nr. 11 DS-GVO; Ingold, in: Sydow, Europäi-sche Datenschutzgrundverordnung, Art. 7 DS-GVO, Rn. 34; zu den entsprechenden Infor-mationspflichten s. U Rdn. 74 ff.). Die Informationspflichten sind vorwiegend in Art. 13 DS-GVO geregelt (Datenschutzkonferenz, Informationspflichten bei Dritt- und Direkterhe-bung (Kurzpapier Nr. 10); Stemmer, in: BeckOK Datenschutzrecht, Stand: 1.8.2017, Art. 7 DS-GVO, Rn. 52, 55). Im Beschäftigtenkontext ist zudem § 26 Abs. 2 Satz 4 BDSG-neu zu beachten, wonach der Arbeitgeber über den Zweck der Datenverarbeitung und über das Widerrufsrecht nach Art. 7 Abs. 3 DS-GVO aufzuklären hat. Insbesondere bei der Einholung einer Einwilligung von Bewerbern bzw. Arbeitnehmern empfiehlt es sich, den Bewerber über die Folgen einer Verweigerung der Einwilligung aufzuklären (Schulz, in: Gola, DS-GVO, Art. 7 Rn. 36).

4. Die Betroffenen sollten über die Art der zu erhebenden Daten informiert werden. Dies ist zwar nicht ausdrücklich normiert, folgt aber aus dem Grundsatz der informierten Einwilligung nach Art. 4 Nr. 11 DS-GVO (Buchner/Kühling, in: Buchner/Kühling, DS-GVO BDSG, 2. Aufl. (2018), Rn. 59). Zudem kann aufgrund des Bestimmtheitsgrundsatzes nur in die Erhebung bestimmter Daten eingewilligt werden (Riesenhuber RdA 2011, 257, 259). Eine abschließende Aufzählung ist nicht erforderlich (Plath/Plath BDSG, § 4a Rn. 33). Die Daten, die vom Bewerber abgefragt wer-den können, sind durch das allgemeine Fragerecht des Arbeitgebers begrenzt (ErfK/Franzen § 4a BDSG Rn. 1). Wenn besondere Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DS-GVO erhoben, verarbeitet oder genutzt werden, muss sich die Einwilligung zudem ausdrücklich auf diese Daten beziehen (Art. 9 Abs. 2 lit. a) DS-GVO). Daher ist besonders darauf hinzuweisen, falls etwa Gesundheitsdaten (z.B. Infektionen eines Arztes) oder Daten über die Religionszugehörigkeit er-hoben werden sollen.

5. Der Betroffene ist auf die Rechtsgrundlage und den vorgesehenen Zweck der Erhebung, Ver-arbeitung oder Nutzung seiner Daten hinzuweisen (Art. 13 Abs. 1 lit. c) DS-GVO i.V.m. § 26 Abs. 2 Satz 4 BDSG-neu). Der Zweck muss dabei hinreichend konkret und abschließend be-nannt und darf nicht überraschend sein (Bäcker, in: Kühling/Buchner, DS-GVO BDSG, 2. Aufl. (2018), Art. 13 DS-GVO, Rn. 25). Erfolgt eine Datenverarbeitung zu einem nicht in der Einwil-ligung genannten Zweck, ist die Verarbeitung zu diesem Zweck nicht mehr von der Einwilligung gedeckt.

6. Der Bewerber ist auch über den potentiellen Empfängerkreis zu informieren, wobei es nach Art. 13 Abs. 1 lit. e) DS-GVO bereits ausreicht, die Empfängerkategorien so genau wie möglich zu benennen (Bäcker, in: Kühling/Buchner, DS-GVO BDSG, 2. Aufl. (2018), Art. 13 DS-GVO,

72

73

74

75

76

Luch

terh

and

Verla

g 20

19

Leseprobe

1422


Jungkind

Rn. 29 f.) und bspw. im Online-Bewerbungsverfahren einen Link zu einer ständig aktualisierten Liste mit den datenverarbeitenden Stellen vorzusehen.

7. Nach Art. 13 Abs. 1 lit. a) müssen Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters mitgeteilt werden (Stemmer, in: BeckOK Datenschutzrecht, Stand: 1.8.2017, Art. 7 DS-GVO, Rn. 69; EG 42 DS-GVO), d.h. jedenfalls die Angaben des Unternehmens, das die Stelle ausschreibt und ggf. der Muttergesellschaft. Mangels Regelungen zur Datenver-arbeitung im Konzern sind Konzernunternehmen im Verhältnis zueinander Dritte i.S.d. Art. 4 Nr. 10 DS-GVO und müssen bei der konzerninternen Datenübermittlung dieselben Regeln be-achten wie bei einer Datenübermittlung an konzernexterne Empfänger. Dies stößt insbesondere bei internationalen Konzernen, die zentrale HR-Management-Systeme nutzen, auf praktische Probleme. Eine Erleichterung sieht Art. 6 Nr. 1 lit. f ) DS-GVO vor, wonach die Verarbeitung personenbezogener Daten rechtmäßig ist, wenn sie zur Wahrung der berechtigten Interessen des für die Verarbeitung Verantwortlichen erforderlich ist, sofern nicht die Interessen des Betroffe-nen überwiegen. In Erwägungsgrund 48 heißt es dabei ausdrücklich: »Verantwortliche, die Teil einer Unternehmensgruppe oder einer Gruppe von Einrichtungen sind, die einer zentralen Stelle zugeordnet sind, können ein berechtigtes Interesse haben, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung per-sonenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.« Darüber hinaus kann die konzerninterne Datenübermittlung auch nach § 26 Abs. 1 Satz 1 BDSG-neu erforderlich und damit gerechtfertigt sein, wenn der Bewerber in verschiedenen Konzernunternehmen seine Arbeitsleistung erbringen soll (Kainer/Weber, Datenschutzrechtliche Aspekte des »Talentmanage-ments«, BB 2017, 2740, 2746).

8. Eine Datenübermittlung an Stellen in Ländern außerhalb des EWR ist nach Art. 44 DS-GVO grundsätzlich nur dann zulässig, wenn in dem Empfängerland ein angemessenes Daten-schutzniveau gewährleistet ist. Die Europäische Kommission hat für bestimmte Länder in einer sogenannten Angemessenheitsentscheidung entschieden, dass das jeweilige Land als Land mit einem angemessen Datenschutzniveau gilt. Eine solche Entscheidung ist für die USA nicht er-gangen. Allerdings haben sich die Europäische Kommission und das US-Handelsministerium im Jahr 2000 auf das Safe-Harbor-Abkommen geeinigt (Entscheidung der Europäischen Kom-mission vom 26.07.2000 [2000/520/EG]). Nach diesem Abkommen konnten sich bestimmte US-Unternehmen den im Abkommen beschriebenen Regelungen unterwerfen und sich in Form einer Selbstzertifizierung als Empfänger mit einem angemessenen Datenschutzniveau ausweisen. Der Datentransfer an Safe-Harbor-zertifizierte Empfänger wurde aufgrund der Entscheidung der Europäischen Kommission als nach § 4b Abs. 2 Satz 2 BDSG a.F. zulässig angesehen. Mit seiner als »Schrems-Urteil« bekannten Entscheidung vom 06.10.2015 hat der EuGH die Safe-Harbor-Entscheidung der Europäischen Kommission für ungültig erklärt (EuGH, Rs. C-362/14, NJW 2015, 3151 ff.).

Daraufhin verhandelten die EU-Kommission und das US-Handelsministerium ein informelles Abkommen (EU-US-Privacy Shield), das den datenschutzrechtlichen Vorgaben der EU genü-gen sollte. Auch dieses Nachfolgeregime sieht vor, dass sich US-Unternehmen freiwillig beim US-Handelsministerium zertifizieren lassen können, indem sie erklären, die Grundsätze des EU-US-Privacy Shields einzuhalten, und gegenüber dem US-Handelsministerium bestimmte Nach-weise zu erbringen. Am 12. Juli 2016 verabschiedete die EU-Kommission einen Angemessen-heitsbeschluss (Durchführungsbeschluss der Kommission vom 12.07.2016 [(EU) 2016/1250]; siehe auch Pauly, in: Paal/Pauly, DS-GVO BDSG, 2. Aufl. (2018), Art. 45 DS-GVO, Rn. 23). Eine bereits im September 2016 gegen den Angemessenheitsbeschluss der EU-Kommission beim EuG eingereichte Nichtigkeitsklage wurde am 22. November 2017 als unzulässig abgewiesen (Be-schluss des Gerichts vom 22.11.2017 – Digital Rights Ireland/Kommission, Rs. T-670/16). In einem weiteren Verfahren steht die Entscheidung noch aus (La Quadrature du Net u.a./Kommis-sion, Rs. T-738/16). Es bleibt daher abzuwarten, ob der Angemessenheitsbeschluss Bestand haben wird. Alternative Instrumente zur Absicherung internationaler Datentransfers sind die Einwilli-

77

78

79

Luch

terh

and

Verla

g 20

19

Leseprobe

1423


Jungkind

gung (Art. 49 Abs. 1 lit. a) DS-GVO), verbindliche interne Datenschutzvorschriften nach Art. 46 Abs. 2 lit. b) i.V.m. Art. 47 DS-GVO (sog. »Binding Corporate Rules«) oder die EU-Standardver-träge (Art. 46 Abs. 2 lit. c) DS-GVO). Nach Art. 13 Abs. 1 lit. f ) DS-GVO muss der Betroffene auf diese Garantien hingewiesen werden und wie eine Kopie von ihnen zu erhalten ist bzw. wo sie verfügbar sind.

Will das Unternehmen den Datentransfer an Stellen außerhalb des EWR auf die Einwilligung des Bewerbers stützen, muss die Einwilligung nach Art. 49 Abs. 1 lit. a) DS-GVO einen Hinweis auf das bestehende geringere Datenschutzniveau und mögliche Risiken der Datenübertragung ent-halten (so auch schon nach der alten Rechtslage, vgl. hierzu Plath/v. d. Bussche BDSG, § 4c Rn. 7; Simitis/Simitis BDSG, § 4c Rn. 9; Taeger/Gabel/Gabel BDSG, § 4c Rn. 6; Wolff/Brink/Schantz Beck´scher Online-Kommentar Datenschutzrecht, § 4c BDSG Rn. 11).

9. Ein Bewerber ist umfassend über seine datenschutzrechtlichen Rechte aufzuklären (vgl. Art. 13 Abs. 2 lit. b) bis d) DS-GVO; siehe aber auch Sydow/Albert/Ingold DS-GVO, Art. 13 Rn. 22), was insbesondere für die Widerrufsmöglichkeit der einmal erteilten Einwilligung gilt (§ 26 Abs. 2 Satz 4 BDSG-neu). Das schon nach altem Recht als Ausfluss des Grundrechts auf informationelle Selbstbestimmung anerkannte Widerrufsrecht (Plath/Plath BDSG, § 4a Rn. 70) ist nunmehr ausdrücklich in Art. 7 Abs. 3 DS-GVO normiert. Die Widerrufserklärung unter-liegt keinen besonderen Formerfordernissen, doch muss nach Art. 7 Abs. 3 Satz 4 DS-GVO jedenfalls sichergestellt sein, dass der Widerruf der Einwilligung so einfach ist wie die Erteilung. Der Widerruf beseitigt die Rechtswirkungen der Einwilligung ex nunc, so dass die Einwilligung Rechtsgrundlage für in der Vergangenheit erfolgte Datenverarbeitung bleibt (Art. 7 Abs. 3 Satz 2 DS-GVO).

10. Zur Gewährleistung einer fairen und transparenten Datenverarbeitung sind dem Betroffenen nach Art. 13 Abs. 2 lit. a) DS-GVO zusätzlich Informationen über die Speicherdauer der perso-nenbezogenen Daten mitzuteilen. Die Speicherdauer sollte als konkreter Zeitraum (in Monaten, Wochen oder Tagen) bemessen sein. Ist dies nicht möglich, sind jedenfalls die Kriterien anzugeben, nach denen sich die Dauer bestimmt. Wie lange die Daten gespeichert werden dürfen, gibt Art. 13 Abs. 2 lit. a) DS-GVO nicht vor. Grundsätzlich wird die Speicherdauer durch den Erforderlich-keitsgrundsatz begrenzt (Plath/Kamlah DS-GVO, Art. 13 Rn. 18). Das Speichern personenbezoge-ner Daten abgelehnter Bewerber ist regelmäßig nicht mehr erforderlich (BAG NJW 1984, 2910). Etwas anderes kann aber zum Beispiel gelten, wenn der Arbeitgeber im Einverständnis mit dem Bewerber dessen Unterlagen bei einem späteren Bewerbungsverfahren berücksichtigen möchte (Ka-zemi, § 9 Rn. 61).

11. Hat das Unternehmen einen Datenschutzbeauftragten bestellt (Art. 37 DS-GVO), müssen dem Bewerber nach Art. 13 Abs. 1 lit. b) DS-GVO dessen Kontaktdaten mitgeteilt werden. Hierzu gehört neben einer (ladungsfähigen) Anschrift eine Telefonnummer oder E-Mail-Adresse, über die der Datenschutzbeauftragte erreichbar ist.

12. Die Einwilligung bedarf nach § 26 Abs. 2 Satz 3 BDSG-neu grds. der Schriftform. Die Schriftform setzt nach § 126 Abs. 1 BGB eine eigenhändige Unterschrift voraus und kann nach § 126 Abs. 3 BGB durch die elektronische Form ersetzt werden. Die Schriftform nach § 26 Abs. 2 Satz 3 BDSG-neu ist jedoch nur erforderlich, soweit nicht wegen besonderer Umstände eine an-dere Form angemessen ist. Im Rahmen eines Online-Bewerbungsverfahrens liegen nach der hier vertretenen Auffassung derartige besondere Umstände vor, sodass die Einhaltung der Schriftform nicht notwendig ist (ebenso BeckOK DatenSR/Riebenhuber BDSG 2018, § 26 Rn. 19; Gola, BB 2017, 1462 [1467 f.]; Thüsing/Schmidt/Forst, RDV 2017, 116 [122]). Denn das Erfordernis einer eigenhändigen Unterschrift im Online-Bewerbungsverfahren führte zu einem Medienbruch und widerspräche den praktischen Gegebenheiten und Bedürfnissen. Die für die elektronische Form nach § 126a Abs. 1 BGB erforderliche qualifizierte elektronische Signatur wird Bewerbern oftmals nicht zur Verfügung stehen.

80

81

82

82.1

82.2

Luch

terh

and

Verla

g 20

19

Leseprobe

1424


Jungkind

V. Einwilligung in das Screening von Datenträgern im Rahmen einer internen Untersuchung

Vorbemerkung

Anlassbezogene interne Untersuchungen im Unternehmen dienen der Aufklärung eines bestimm-ten Sachverhalts, insbesondere eines möglichen Fehlverhaltens, welches aus dem Unternehmen be-gangen wurde. Ziel von internen Untersuchungen ist zumeist die Aufklärung eines bestimmten Sachverhalts und/oder die Kooperation mit in- und ausländischen Behörden. Ziel ist aber auch die Haftungsvermeidung, Verbesserung der Compliancestruktur, Prävention sowie Aufdeckung, Ab-stellen und Sanktionierung eines etwaigen Fehlverhaltens.

Da die meisten Geschäftsprozesse heutzutage elektronisch aufgesetzt sind, ist die Aufklärung eines Sachverhalts häufig mit dem Zugriff auf elektronische Dokumente verbunden, die insbesondere auf Servern, auf Festplatten von Computern/Desktops/Notebooks oder sonstigen Datenträgern (z.B. CD-ROMs oder USB-Sticks) gespeichert sind. Diese Dokumente werden im Rahmen einer internen Untersuchung gesichert und mithilfe bestimmter Schlagwörter durchsucht. Soweit die durchsuchten Dokumente personenbezogene Daten von Beschäftigten enthalten – und dies ist meistens der Fall – sind diese Vorgänge datenschutzrechtlich eine Verarbeitung von Beschäftigten-daten. Mögliche Rechtfertigung für eine solche Datenverarbeitung kann die Einwilligung der be-troffenen Personen sein.

Ob die Einholung der Einwilligung in der konkreten Untersuchungssituation ein geeignetes Mit-tel zur Absicherung der Datenverarbeitung ist, muss im Einzelfall geprüft werden. Es können § 26 Abs. 1 S. 1 und 2 BDSG n.F., Art. 6 Abs. 1 lit. f ) DS-GVO oder eine Betriebsvereinbarung (§ 26 Abs. 4 BDSG n.F.) als Rechtsgrundlage in Betracht kommen. Gegen eine Einwilligungs-lösung kann sprechen, dass die Untersuchung außerhalb des Untersuchungsteams zunächst nicht bekannt werden soll oder die Betroffenen bereits aus dem Unternehmen ausgeschieden sind oder gegen die Untersuchung opponieren, weshalb zu erwarten ist, dass sie die Einwilligung nicht er-teilen oder widerrufen. Zudem können gerade im Fall von internen Untersuchungen Bedenken hinsichtlich der Freiwilligkeit einer Einwilligung bestehen (Ströbel/Böhm/Breuing/Wybitul, CCZ 2018, 14, 16; Datenschutzkonferenz, Kurzpapier Nr. 14 vom 8. Januar 2018, Beschäftigtendaten-schutz, S. 2.).

Die Einholung von Einwilligungen kann bei einer hohen Anzahl von Betroffenen und einer um-fangreichen, unübersichtlichen Datenmenge auch aus praktischen Gesichtspunkten ungeeignet sein. Die Einwilligungslösung trägt zudem dort nicht, wo in den relevanten Dokumenten nicht nur Daten der Mitarbeiter enthalten sind, sondern auch Daten von Personen, deren Identität (zu-nächst) nicht bekannt ist.

Muster – Einwilligung in das Screening von Datenträgern im Rahmen einer internen Untersuchung 1

[Briefkopf des Unternehmens]

Frau/Herrn

– im Hause –

[Datum]

Einwilligung in das Screening von Datenträgern

Sehr geehrte/r Frau/Herr ,

wie Ihnen bekannt ist, führt [das Unternehmen] aufgrund der erhobenen Vorwürfe [Bezeich-

nung der Vorwürfe] eine interne Untersuchung durch (»interne Untersuchung«).

83

84

85

86

▶

87

Luch

terh

and

Verla

g 20

19

Leseprobe

1425

Einwilligung in das Screening von Datenträgern im Rahmen einer internen Untersuchung U.V.

Jungkind

Ziel der internen Untersuchung ist die Aufklärung der möglichen Beteiligung des [Unternehmens], der mit dem [Unternehmen] verbundenen Unternehmen und ihrer jeweiligen Mitarbeiter (»[Unter-nehmensgruppe]«) an [Bezeichnung der Vorwürfe] . 2

Soweit das [Unternehmen] über den vorgenannten Gegenstand der Untersuchung hinaus auch Anhaltspunkte für vergleichbare Sachverhalte haben sollte, die sich aus der Zusammenarbeit mit [anderen Unternehmen der Branche] ergeben, kann das [Unternehmen] diese ebenfalls unter-suchen. 3

Die interne Untersuchung umfasst derzeit primär den Zeitraum vom bis zum .

Im Rahmen der internen Untersuchung kooperiert die [Unternehmensgruppe] mit nationalen und internationalen Ermittlungs- und Aufsichtsbehörden.

Zur Durchführung der internen Untersuchung bittet das [Unternehmen] Sie, ihre Dateien aller Dateiformate (»Daten«), die Sie in der Vergangenheit erstellt, bearbeitet, empfangen, versendet, gelöscht und/oder weitergeleitet haben, zur Überprüfung zu übergeben. Hierzu soll eine Kopie (Spiegelung) der Festplatte des von Ihnen im Zuge Ihrer Tätigkeit für das [Unternehmen] ver-wendeten Computers und/oder Desktops und/oder Notebooks (nebst möglicher weiterer elekt-ronischer Geräte) sowie ihrer sonstigen Daten angefertigt werden, die auf Server-Einheiten oder sonstigen Datenträgern (wie z.B. CD-ROMs oder USB-Sticks) gespeichert sind.

Die vorgenannten Daten sowie entsprechende Daten von anderen Mitarbeitern der [Unterneh-mensgruppe], die auch Gegenstand der Untersuchung sind, können Ihren Namen, Ihre beruflichen Kontaktdaten bei der [Unternehmensgruppe] sowie weitere personenbezogene Daten enthalten und Ihnen beispielsweise als Autor eines Dokuments, als Sender/Empfänger einer E-Mail oder aufgrund der Nennung Ihrer Person in einem Dokument oder einer E-Mail zugeordnet werden. 4

Anschließend sollen die kopierten Daten in einem speziellen Programm (z.B. ) ge-speichert und von den zu diesem Zweck beauftragten externen Prüfern oder Dienstleistern mit Hilfe eines speziellen Suchprogramms durchsucht werden. Dabei werden mit Hilfe von Suchwort-listen (search terms) relevante Dokumente identifiziert und, soweit die relevanten Dokumente Fragen aufwerfen, die beteiligten Mitarbeiter befragt. Die Befragungen finden durch externe An-wälte und Mitarbeiter der [Unternehmens-] Compliance-Abteilung statt.

Das [Unternehmen] hat die Rechtsanwaltskanzleien zusammen mit dem Dienstleis-ter (zusammen die »Prüfer«) beauftragt, die Untersuchung durchzuführen. 5 Für die Zwecke der Untersuchung durch diese Prüfer könnte es erforderlich werden, die kopierten Daten in Länder außerhalb des Europäischen Wirtschaftsraums zu transferieren. In diesen Ländern be-steht nach den dort anwendbaren Rechtsvorschriften möglicherweise ein geringeres Datenschutz-niveau als im Europäischen Wirtschaftsraum. Daher bitten wir Sie rein vorsorglich um Ihre Zu-stimmung auch zu einem solchen Datentransfer und versichern Ihnen, dass wir alle erforderlichen Anstrengungen unternehmen, Ihre Daten den europäischen Standards entsprechend zu schützen. 6

Im Rahmen der internen Untersuchung kann nicht ausgeschlossen werden, dass auch Daten mit privaten Inhalten oder Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheits-daten oder Daten zum Sexualleben oder der sexuellen Orientierung (»besondere Kategorien per-sonenbezogener Daten«) erfasst werden. 7 Allerdings wird die Suchwortliste so konzipiert, dass nicht gezielt nach Daten mit privatem Inhalt oder nach besonderen Kategorien personenbezo-gener Daten gesucht wird. Sollte die elektronische Suche im Einzelfall solche Daten als relevant anzeigen, haben die Mitarbeiter der Prüfer die strikte Anweisung, solche Daten inhaltlich nicht zu überprüfen und zu löschen. Das [Unternehmen] wird über elektronische Dokumente privaten Inhalts oder mit besonderen Arten personenbezogener Daten nicht informiert werden.

Luch

terh

and

Verla

g 20

19

Leseprobe

1426


Jungkind

Die kopierten Daten werden nach Abschluss der Überprüfung gelöscht. Die Prüfer werden jedoch Kopien solcher elektronischer Dokumente aufbewahren, die für sich genommen oder in Verbin-dung mit anderen Beweismitteln oder Informationen als Beweismittel im Zusammenhang mit der Untersuchung dienen können. Das [Unternehmen] behält sich das Recht vor, diese Kopien zur Wahrnehmung eigener Interessen gegenüber Behörden oder Dritten und möglicherweise vor Ge-richt zu verwenden.

Die vorgenannte interne Untersuchung ist für das [Unternehmen] von höchster Bedeutung, nicht nur aus wirtschaftlichen Gründen, sondern auch aufgrund unserer Compliance-Verpflichtungen. Wir bitten Sie daher, uns Ihre Einwilligung auf Grundlage von § 26 Abs. 2 BDSG n.F., Art. 6 Abs. 1 Satz 1 lit. a) DS-GVO zu erteilen, die Untersuchung wie vorstehend beschrieben durchzuführen. Sie unterstützen damit die Compliance-Anstrengungen des [Unternehmens].

Sie sind nicht zur Erteilung dieser Einwilligung verpflichtet. Sollten Sie sich gegen eine Einwilligung entscheiden, wird diese Entscheidung nicht zu arbeitsrechtlichen Maßnahmen des [Unterneh-mens] gegen Sie führen. Bei Rückfragen zu dem Inhalt dieser Einwilligung wenden Sie sich bitte an . Sie können die Einwilligung jederzeit ohne nachteilige arbeitsrechtliche Folgen mit Wirkung für die Zukunft widerrufen. Einen eventuellen Widerruf erklären Sie bitte ebenfalls gegenüber . Wir weisen Sie darauf hin, dass wir die interne Untersuchung auch ohne Ihre Einwilligung durchführen können, soweit dies gesetzlich zulässig ist. 8

Sie haben das Recht, Informationen über Ihre personenbezogenen Daten zu erhalten und die Be-richtigung oder Löschung Ihrer personenbezogenen Daten oder die Einschränkung der Verarbei-tung zu beantragen, soweit nach anwendbarem Recht zulässig. Darüber hinaus haben Sie das Recht Ihre personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format (Datenübertragbarkeit) zu erhalten. Ferner steht es Ihnen frei, Ihr Beschwerderecht bei einer Aufsichtsbehörde auszuüben. Sollten Sie Fragen, Anmerkungen oder Vorschläge zu diesem Informationsschreiben oder zu unserem Umgang mit dem Datenschutz haben, wenden Sie sich bitte an den Datenschutzbeauftragten [Kontaktdaten des Datenschutzbeauftragten] . 9

Wenn Sie mit der vorstehend beschriebenen Vorgehensweise einverstanden sind, reichen Sie bitte die beigefügte Einwilligungserklärung unterzeichnet an uns zurück.

Wir wären Ihnen dankbar, wenn Sie uns bis spätestens Rückmeldung geben könn-ten, auch wenn Sie keine Einwilligung erteilen wollen.

Mit freundlichen Grüßen

[Name des Unternehmens]

(Name, Vorname)

Einwilligung in das Screening von Datenträgern

Ich bestätige, dass ich den vorstehenden Text gelesen und verstanden habe, und erteile meine Einwilligung zu der im vorstehenden Text beschriebenen Vorgehensweise und dem genannten Verarbeitungszweck. Ich wurde darüber informiert, dass diese Einwilligung freiwillig ist und ich diese Einwilligung jederzeit ohne nachteilige arbeitsrechtliche Folgen widerrufen kann.

Ort: Datum: Unterschrift: 10

Erläuterungen

SchrifttumAuernhammer, DSGVO/BDSG Kommentar, 6. Aufl. 2018; Düwell/Brink, Beschäftigtendatenschutz nach der Umsetzung der Datenschutz-Grundverordnung: Viele Änderungen und wenig Neues, NZA 2017, 1081; Fuhlrott/Schröder, Beschäftigtendatenschutz und arbeitsgerichtliche Rechtsprechung, NZA 2017, 278; Fuhrmann, NZG 2016, 881; Fülbier/Splittgerber, Keine (Fernmelde-)Geheimnisse vor dem Arbeitgeber?, Lu

chte

rhan

d Ve

rlag

2019

Leseprobe

1427


Jungkind

NJW 2012, 1995; Gola, DS-GVO Kommentar 2017; Gola, Der »neue« Beschäftigtendatenschutz nach § 26 BDSG n.F. BB 2017, 1462; Henssler/Willemsen/Kalb, Arbeitsrecht Kommentar, 6. Aufl. 2014; Kort, Der Be-schäftigtendatenschutz gem. § 26 BDSG-neu, ZD 2017, 319; Kühling, Neues Bundesdatenschutzgesetz – Anpassungsbedarf bei Unternehmen, NJW 2017, 1985; Kühling/Buchner, Datenschutz-Grundverordnung, 2. Aufl. 2018; Maschmann, Datenschutzgrundverordnung: Quo vadis Beschäftigungsgrundsatz? DB 2016, 1480; Paal/Pauly, DS-GVO BDSG, 2. Aufl. 2018; Scheben/Klos, Analyse von Chatprotokollen und E-Mails – Was ist erlaubt? Was ist verwertbar?, CCZ 2013, 88; Simitis, BDSG, 8. Aufl. 2014; Ströbel/Böhm/Breuing/Wybitul, Beschäftigtendatenschutz und Compliance: Compliance-Kontrollen und interne Ermittlungen nach der EU-Datenschutz-Grundverordnung und dem neuen Bundesdatenschutzgesetz, CCZ 2018, 14; Taeger/Gabel, BDSG, 2. Aufl. 2013; Thüsing, Beschäftigtendatenschutz und Compliance, 2. Aufl. 2014; Wessing/Dann, Deutsch-Amerikanische Korruptionsverfahren, 2013; Wybitul, Handbuch Datenschutz im Unter-nehmen, 2. Aufl. 2014; Wybitul, Betriebsvereinbarungen im Spannungsverhältnis von arbeitgeberseitigem Informationsbedarf und Persönlichkeitsschutz des Arbeitnehmers NZA 2017, 1488; Wybitul, Der neue Be-schäftigtendatenschutz nach § 26 BDSG und Art. 88 DSGVO, NZA 2017, 413.

1. Rechtsgrundlage der Einwilligung in das Screening von Datenträgern ist § 26 Abs. 2 BDSG n.F. (iVm Art. 6 Abs. 1 lit. a), 88 Abs. 1 DS-GVO). Zum räumlichen Anwendungsbereich der DS-GVO vgl. U Rdn. 67 ff.

Die durch Art. 95 DS-GVO angeordnete Fortgeltung der RL 2002/58/EG bewirkt, dass die in Umsetzung dieser RL erlassenen datenschutzrechtlichen Vorgaben des TKG weiterhin anzuwen-den sind, so auch solche zur Einwilligung der betroffenen Person, vgl. §§ 94–96, 98 TKG (Wolff/Brink/Holländer, BeckOK Datenschutzrecht, 23. Edition 2018, Art. 95 Rn. 6; Gola/Schulz DS-GVO 2017, Art. 7 Rn. 15).Gestattet der Arbeitgeber den Mitarbeitern die private Nutzung der betrieblichen Internetzugänge und E-Mail-Accounts, wurde bereits unter der alten Rechtslage die Anwendbarkeit der §§ 88, 91 ff. TKG diskutiert (zum Meinungsstand ausführlich Wybitul Hand-buch Datenschutz im Unternehmen, Rn. 268 ff.). Die Vorschriften des TKG sind Spezialgesetze i.S.d. § 1 Abs. 2 BDSG n.F., die das BDSG n.F. verdrängen. Sie setzen voraus, dass der Arbeitgeber Anbieter von Telekommunikationsdienstleistungen ist, d.h., dass er ganz oder teilweise geschäfts-mäßig Telekommunikationsdienste erbringt oder an der Erbringung solcher Dienste mitwirkt (§ 3 Nr. 6 TKG). Dies ist nach zutreffender Ansicht zu verneinen mit der Konsequenz, dass das TKG keine Anwendung findet und das BDSG n.F. nicht verdrängt. Insbesondere fordert der Arbeitgeber für die gelegentliche private Nutzung der in erster Linie als Arbeitsmittel zur Verfügung gestellten betrieblichen IT-Systeme durch die Mitarbeiter in der Regel keine (finanzielle) Gegenleistung und erbringt mithin keine Telekommunikationsdienste i.S.d. Legaldefinition in § 3 Nr. 24 TKG (vgl. Scheben/Klos CCZ 2013, 88, 90). Arbeitnehmer sind im Verhältnis zu ihrem Arbeitgeber auch nicht Dritte i.S.d. § 3 Nr. 10 TKG (vgl. LAG Berlin-Brandenburg, Urt. v. 14.01.2016 – 5 Sa 675/15; VG Karlsruhe, Urt. v. 27.05.2013 – 2 K 3249/12, NVwZ-RR 2013, 797, 801; Fülbier/Splittgerber NJW 2012, 1995, 1999; Thüsing/Thüsing Beschäftigtendatenschutz und Compliance, § 3 Rn. 84).

Soweit eine Einwilligung nicht in Betracht kommt (vgl. U Rdn. 85 f.), bedarf es einer alternativen Rechtfertigungsgrundlage. Wurde nach alter Rechtslage insbesondere das Verhältnis der §§ 28 und 32 BDSG a.F. diskutiert (vgl. zum Meinungsstand u.a. Henssler/Willemsen/Kalb/Lembke Arbeits-recht Kommentar, § 32 BDSG Rn. 9; Taeger/Gabel/Zöll, BDSG, § 32 Rn. 29; Wessing/Dann/Pohle Deutsch-Amerikanische Korruptionsverfahren, § 9 Rn. 18; Simitits/Seifert BDSG, § 32 Rn. 101), stellt sich nun die Frage nach dem Verhältnis von Art. 6 Abs. 1 lit f ) DS-GVO (Verarbeitung zur Wahrung berechtigter Interessen) zu Art. 88 Abs. 1 DS-GVO iVm § 26 Abs. 1 Satz 1 BDSG n.F. (Verarbeitung für Zwecke des Beschäftigungsverhältnisses).

Interne Untersuchungen können verschiedene Zielrichtungen haben. Einerseits können interne Untersuchungen für Zwecke des Beschäftigungsverhältnisses durchgeführt werden. In diesen Kon-stellationen wird es einem Arbeitgeber vornehmlich darum gehen, mit internen Untersuchungen konkretes individuelles Fehlverhalten seiner Arbeitnehmer aufzudecken und arbeitsrechtlich zu sanktionieren. Derartige Maßnahmen lassen sich überwiegend auf § 26 Abs. 1 Satz 2 BDSG n.F. stützen. Andererseits können Arbeitgeber mit internen Untersuchungen das Ziel verfolgen, rechts-widriges Verhalten im Unternehmen zu verhindern und aufzudecken, sich in strafrechtlichen Er-

88

89

90

90.1

Luch

terh

and

Verla

g 20

19

Leseprobe

1428


Jungkind

mittlungsverfahren und Gerichtsverfahren zu verteidigen und Schäden vom Unternehmen abzu-wenden. Solche Maßnahmen dienen nicht den Zwecken des konkreten Beschäftigungsverhältnisses, sondern vielmehr der Sicherstellung der Corporate Compliance (vgl. hierzu ausführlich Fuhrmann, NZG 2016, 881 ff.). In diesem Zusammenhang erforderliche Datenverarbeitungen sind vornehm-lich auf Art. 6 Abs. 1 Satz 1 lit f.) DS-GVO zu stützen.

§ 26 BDSG n.F. ist eine spezifische Regelung des Beschäftigtendatenschutzes im Sinne des Art. 88 Abs. 1 DS-GVO und sperrt nach dem Spezialitätsgrundsatz innerhalb des Anwendungsbereichs den Rückgriff auf die allgemeinen Erlaubnistatbestände des Art. 6 DS-GVO. Umgekehrt bleibt es bei der Anwendung der allgemeinen Regelungen der DS-GVO (einschließlich Art. 6 Abs. 1 lit. f ) DS-GVO), soweit keine Konkretisierung durch nationales Recht erfolgt (Auernhammer/Forst, DS-GVO/BDSG, § 26 Rn. 8; Paal/Pauly/Gräber/Nolden, DS-GVO BDSG § 26 Rn. 10 ff.). Datenverarbeitungen in internen Untersuchungen lassen sich also nur dann auf Art. 6 Abs. 1 lit. f ) DS-GVO stützen, soweit der (begrenzte) Anwendungsbereich von § 26 Abs. 1 BDSG n.F. nicht eröffnet ist.

Verarbeitet der Arbeitgeber die Daten seiner Arbeitnehmer für die Zwecke des Beschäftigungsver-hältnisses, müssen sich interne Untersuchungen an § 26 BDSG n.F. messen lassen. Dies ist bei-spielsweise der Fall, wenn eine interne Untersuchung dazu dient, einzelnen Mitarbeitern individu-elles Fehlverhalten nachzuweisen, um daraus arbeitsrechtliche Konsequenzen für diese Mitarbeiter abzuleiten.

Vielfach verfolgen interne Untersuchungen diesen Zweck aber nicht, sondern haben andersgela-gerte Ziele, nämlich rechtswidriges Verhalten im Unternehmen aufzudecken (»Corporate Compli-ance«), von dem noch gar nicht bekannt ist, wo genau im Unternehmen es sich ereignet hat und welche Mitarbeiter daran beteiligt sind. Auch geht es den Unternehmen in erster Linie darum, sich in strafrechtlichen Ermittlungsverfahren und Gerichtsverfahren zu verteidigen und Schäden vom Unternehmen abzuwenden. In diesen Fällen erfolgt zwar eine Datenverarbeitung von Beschäftig-tendaten. Jedoch dient sie gerade nicht dem Zweck des Beschäftigtenverhältnisses, weil die interne Untersuchung nicht auf den einzelnen Mitarbeiter und sein Fehlverhalten abzielt, sondern vielmehr der Überprüfung des Verhaltens des Unternehmens. Die Folge ist, dass Art. 6 Abs. 1 lit. f ) DS-GVO auf Maßnahmen zur Sicherstellung der Corporate Compliance anwendbar und nicht durch § 26 BDSG n.F. gesperrt ist.

§ 26 Abs. 1 Satz 2 BDSG n.F. entspricht dem bisherigen § 32 Abs. 1 Satz 2 BDSG und legitimiert die Verarbeitung von Daten »zur Aufdeckung von Straftaten« im Beschäftigungsverhältnis, nicht aber von sonstigem rechtswidrigen Verhalten eines Mitarbeiters, das beispielsweise eine Ordnungs-widrigkeit oder eine sonstige, nicht unerhebliche arbeitsvertragliche Pflichtverletzung darstellt. § 26 Abs. 1 Satz 2 BDSG n.F. gilt nur, soweit die Datenverarbeitung für Zwecke des Beschäfti-gungsverhältnisses erfolgt und ist insbesondere nicht anwendbar auf Maßnahmen zur Sicherstel-lung der Corporate Compliance. Auch sind nur repressive Compliance-Maßnahmen gerechtfertigt (»Aufdeckung«). Im Gegensatz zu § 26 Abs. 1 Satz 2 BDSG n.F. ist § 26 Abs. 1 Satz 1 BDSG n.F. nicht auf das Aufdecken von Fehlverhalten des Arbeitnehmers ausgerichtet, sondern statuiert all-gemeine Anforderungen an eine Datenverarbeitung für die Zwecke des Beschäftigungsverhältnisses. Hier stellt sich die Frage, ob § 26 Abs. 1 Satz 2 BDSG n.F. einen Rückgriff auf § 26 Abs. 1 Satz 1 BDSG n.F. insofern sperrt, als es um weitergehende (repressive) Compliance-Maßnahmen geht, die ein Fehlverhalten des Arbeitnehmers unterhalb der Schwelle einer Straftat betreffen.

Von der wohl hM wird die Auffassung vertreten, dass § 26 Abs. 1 Satz 2 BDSG n.F. keine Sperr-wirkung gegenüber § 26 Abs. 1 Satz 1 BDSG n.F. entfalte und deshalb eine Rechtfertigung sämt-licher Compliance-Maßnahmen auf Grundlage von § 26 Abs. 1 Satz 1 BDSG n.F. in Betracht komme (Auernhammer/Forst DS-GVO/BDSG, 6. Auflg. 2018, § 26 Rn. 17; Ströbel/Böhm/Wybitul CCZ 2018, 14, 17 f.; Wybitul NZA 2017, 413, 416; Kühling/Buchner/Maschmann DS-GVO § 26 Rn. 58 mwN). Diese Auffassung beruft sich vornehmlich darauf, dass § 26 BDSG n.F. die Recht-sprechung zum bisherigen § 32 BDSG fortführe. Auch folge aus dem Gesetzgebungsverfahren,

91

91.1

91.2

92

92.1

Luch

terh

and

Verla

g 20

19

Leseprobe

1429


Jungkind

dass der deutsche Gesetzgeber präventive und repressive Compliance-Maßnahmen (einschließlich solcher, die sich nicht auf Straftaten beziehen) schon nach altem Recht für zulässig erachtet habe (maßgeblich stützte sich die bisherige hM auf BAG, Urt. v. 29.06.2017 – 2 AZR 597/16; vgl. auch Wolff/Brink/Riesenhuber, BeckOK Datenschutzrecht, 23. Ed. 01.02.2018, § 32 Rn. 115 mwN). Maßnahmen zur Aufklärung arbeitsrechtlicher Pflichtverletzungen unterhalb der Schwelle einer Straftat seien in der Regel für den Betroffenen weniger schwerwiegend, sodass die Anforderungen an die Verarbeitung von Beschäftigtendaten weniger hoch seien (Ströbel/Böhm/Wybitul, CCZ 2018, 14, 18).

Nach der hier vertretenen Ansicht ist ein Rückgriff auf § 26 Abs. 1 Satz 1 BDSG n.F. unzulässig (ebenso Düwell/Brink, NZA 2017, 1081, 1084). Hierfür spricht der klare Wortlaut von § 26 Abs. 1 Satz 2 BDSG n.F., der nur die Zulässigkeit der Datenverarbeitung zur »Aufdeckung« und nicht zur Verhinderung von Straftaten regelt. Zudem werden nur »Straftaten« und keine Ordnungswid-rigkeiten oder sonstiges Fehlverhalten erfasst. Hierdurch hat der Gesetzgeber zum Ausdruck ge-bracht, dass eine Datenverarbeitung zur Aufdeckung von sonstigem Fehlverhalten nach § 26 Abs. 1 BDSG n.F. unzulässig ist. Der Spezialregelung in § 26 Abs. 1 Satz 2 BDSG n.F. hätte es nicht bedurft, wenn für Compliance-Maßnahmen hilfsweise die Generalklausel des § 26 Abs. 1 Satz 1 BDSG n.F. stets als Rechtfertigungstatbestand herangezogen werden könnte. Dies kann nicht den Vorstellungen des Gesetzgebers entsprechen. Es wäre widersprüchlich, wenn für die Aufdeckung von Straftaten speziellere (und ggf. strengere) Regeln greifen würden als für die Aufdeckung sons-tiger Pflichtverletzungen.

Zudem ist gem. § 26 Abs. 4 Satz 1 BDSG n.F. die Verarbeitung personenbezogener Daten, ein-schließlich besonderer Kategorien personenbezogener Daten, auf der Grundlage von Kollektivver-einbarungen ausdrücklich zulässig, wobei der Begriff der Kollektivvereinbarung nunmehr in § 26 Abs. 1 Satz 1 BDSG n.F. legaldefiniert ist.

§ 26 Abs. 4 S. 2 BDSG n.F. weist auf die Einhaltung von Art. 88 Abs. 2 DS-GVO hin. Danach müssen angemessene und besondere Maßnahmen zum Schutz der betroffenen Beschäftigten, ins-besondere im Hinblick auf die Transparenz der Datenverarbeitung getroffen werden. Betriebs-vereinbarungen, die Compliance-Kontrollen rechtfertigen, dürfen weder das von der DS-GVO vorgegebene Datenschutzniveau unterschreiten, noch dürfen sie pauschale Verarbeitungsverbote statuieren, die einer einzelfallbezogenen Interessenabwägung nicht zugänglich sind (Maschmann, DB 2016, 2480, 2485 f; Paal/Pauly/Gräber/Nolden, DS-GVO BDSG § 26 Rn. 50; Wybitul, NZA 2017, 1488, 1489).

2. Um den Anforderungen der Art. 4 Nr. 11, 6 Abs. 1 lit. a), 7 DS-GVO zu genügen, muss die Einwilligung insbesondere auf Basis einer hinreichenden Informationsgrundlage erfolgen; mithin ist auch auf den Zweck der Verarbeitung der Daten hinzuweisen, vgl. Erwägungsgrund Nr. 42 DS-GVO. Mit Einholung der Einwilligung ist der Betroffene über die Informationspflichten des Art. 13 DS-GVO zu informieren. Dazu gehören u.a. Informationen über den Zweck der Verarbei-tung, die Speicherdauer seiner personenbezogenen Daten, die Rechtsgrundlage der Verarbeitung und beabsichtigte Datenübermittlungen in Drittländer, vgl. zu den konkreten Anforderungen des Art. 13 DS-GVO das Formularblatt Rdnr. 87. Die Verarbeitung von Daten, die zum Zwecke der internen Untersuchung erhoben wurden, muss auf eine andere Rechtfertigungsgrundlage gestützt werden, sobald die Datenverarbeitung zu einem anderen Zweck erfolgt. Die Verarbeitung zu unter-suchungsfremden Zwecken kann dann nicht auf diese Einwilligung gestützt werden.

3. Zum Umgang mit sog. Zufallsfunden, die im Rahmen einer internen Untersuchung gemacht werden, fehlen, soweit ersichtlich, bislang konkrete Äußerungen in der Rechtsprechung und Li-teratur. Das BAG hat zu Zufallsfunden bei heimlicher Videoüberwachung von Arbeitnehmern ausgeführt, dass solche dann verwendet werden können, wenn die jeweils vorzunehmende Ab-wägung zwischen Arbeitgeber- und Arbeitnehmerinteressen zugunsten der Verwertung ausfällt (BAG, Urt. v. 21.11.2013 – 2 AZR 797/11, juris Rn. 56). Diese Rechtsprechung hat das BAG in einer jüngeren Entscheidung bestätigt. Es hat die Verwertung von Zufallsfunden, die als »Bei-

92.2

93

94

95

Luch

terh

and

Verla

g 20

19

Leseprobe

1430


Jungkind

werk« einer nach § 32 Abs. 1 Satz 2 BDSG a.F. datenschutzrechtlich rechtmäßigen Ausgangs-untersuchung angefallen sind, als rechtmäßig anerkannt und ferner ausgeführt, dass im Falle datenschutzrechtswidriger Maßnahmen eine grundrechtliche Interessenabwägung vorzunehmen sei (BAG, Urt. v. 22.9.2016 – 2 AZR 848/15; vgl. hierzu auch Fuhlrott/Schröder, NZA 2017, 278 ff.). Unter Rückgriff auf die Wertung des § 4 Abs. 3 Satz 3 BDSG n.F. sind Zufallsfunde wohl jedenfalls verwertbar, wenn ihre Nutzung zur Verfolgung von Straftaten erforderlich ist. Eine Einwilligung in die Verwertung von Zufallsfunden ist mangels möglicher Konkretisierung der Art der betroffenen Daten und des Zwecks ihrer Verwendung mit den Bestimmtheitsanforde-rungen des Art. 4 Nr. 11 DS-GVO kaum in Einklang zu bringen. Zur umfassenden Information des Betroffenen über die Datenverarbeitung empfiehlt sich aber ein Hinweis zum Umgang mit Zufallsfunden.

4. Die Hinweispflicht der verantwortlichen Stelle bezieht sich auch auf die Art der Daten, vgl. U Rdn. 74.

5. Der Betroffene ist zudem über den potenziellen Empfängerkreis zu informieren, vgl. U Rdn. 76 f.

6. Zur Zulässigkeit einer Datenübermittlung in Drittländer und zu den Anforderungen an eine Einwilligung diesbezüglich vgl. U Rdn. 78 ff.

7. Werden besondere Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DS-GVO auf Grundlage einer Einwilligung verarbeitet, muss sich die Einwilligung auf diese Daten ausdrücklich beziehen, § 26 Abs. 3 Satz 2 Hs. 2 BDSG n.F. In der Regel sind besondere Kategorien personen-bezogener Daten für die Untersuchung nicht von Interesse. Um den Verhältnismäßigkeitsgrund-satz zu wahren, der auch bei der Einwilligung gilt, sollte das Unternehmen bei der Aufsetzung der Prozesse insbesondere darauf achten, dass besondere Kategorien personenbezogener Daten von dem Screeningprozess weitestgehend ausgenommen werden. Dies ist insbesondere durch die Festlegung der Search Terms möglich. Zudem sollte ein Prozess für den Umgang mit Dokumenten, die beson-dere personenbezogene Daten enthalten, aufgesetzt werden. Diese können z.B. besonders gekenn-zeichnet und gesondert abgelegt oder unmittelbar gelöscht werden.

8. Die Einwilligung muss freiwillig erfolgen; das Bestehen eines Arbeitsverhältnisses zwischen dem Unternehmen und dem jeweiligen Mitarbeiter schließt die Freiwilligkeit nicht per se aus. Für die Beurteilung der Freiwilligkeit sind gemäß § 26 Abs. 2 Satz 1 BDSG n.F. die Umstände der Ein-willigungserteilung sowie die Tatsache zu berücksichtigen, dass eine Abhängigkeit des Beschäftigten vom Arbeitgeber besteht. Von einer Freiwilligkeit der Einwilligung ist gemäß § 26 Abs. 2 Satz 2 BDSG n.F.dann auszugehen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder der Arbeitgeber und die beschäftigte Person gleichgelagerte Interessen verfolgen. Letztere Kriterien werden zumindest in Compliance-Situationen, bei denen individuelles Fehlverhalten aufgedeckt werden soll, regelmäßig nicht vorliegen, sodass Arbeitgeber Compliance-Ermittlungen nur in äußersten Ausnahmefällen auf Einwilligungen der betroffenen Person stützen sollten (Ströbel/Böhm/Breuing/Wybitul, CCZ 2018, 14, 16), vgl. im Einzelnen U Rdn. 70 ff. Zudem kann die Ankündigung einer internen Untersuchung, ggf. zusammen mit einer Konfrontation mit ersten Verdachtsmomenten, für den Arbeitnehmer eine Zwangslage begründen. Wenn der Arbeit-nehmer keine Wahl zu haben glaubt bzw. der Arbeitgeber dem Arbeitnehmer (ggf. trotz anders-lautender Formulierungen) »auf der Tonspur« keine Wahl lässt als die Einwilligungserklärung zu erteilen, ist die Einwilligung nicht freiwillig, d.h. unwirksam. Ist der Arbeitgeber entschlossen, die Untersuchung ungeachtet einer nicht erteilten Einwilligung durchzuführen oder trotz Widerrufs fortzusetzen, sollten anstelle der Einwilligung alternative Rechtfertigungsmöglichkeiten geprüft werden. Die Möglichkeit, sich durch einen eigenen Rechtsanwalt beraten zu lassen, kann die Frei-willigkeit fördern. Weiterhin ist der potenziell Einwilligende auf die Möglichkeit zum Widerruf der einmal erteilten Einwilligung hinzuweisen, vgl. U Rdn. 81. Auch die Aufklärung über die Folgen der Verweigerung der Einwilligung ist empfehlenswert, vgl. U Rdn. 73.

9. Zu den Informationspflichten des Art. 13 DS-GVO gehören insbesondere auch Informationen zu den Betroffenenrechten.

96

97

98

99

100

100.1

Luch

terh

and

Verla

g 20

19

Leseprobe

1431


Jungkind

10. Die Einwilligung bedarf gemäß § 26 Abs. 2 Satz 3 BDSG n.F. der Schriftform. Die Recht-mäßigkeit dieser Regelung ist allerdings umstritten. Teilweise wird vertreten, das strenge Schrift-formerfordernis des § 126 BGB sei unionsrechtswidrig, da es über die Vorgaben des Art. 4 Nr. 11 DS-GVO hinausgehe (so z.B. Kühling/Buchner/Maschmann, DS-GVO, § 26 Rn. 64). Für die Rechtmäßigkeit von § 26 Abs. 2 Satz 3 BDSG n.F. spricht jedoch, dass die Öffnungsklausel des Art. 88 Abs. 1 DS-GVO dem nationalen Gesetzgeber grundsätzlich gestattet, vom Schutzniveau der DS-GVO zugunsten des von der Datenverarbeitung Betroffenen im Rahmen des Beschäftig-tendatenschutzes abzuweichen (wohl hM., vgl. Kort, ZD 2017, 319, 321; Paal/Pauly, DS-GVO Art. 88 Rn. 18, 4; BeckOK DatensR/Riesenhuber, Art. 88 DS-GVO Rn. 72 mwN). Aus Gründen der Rechtssicherheit ist es für den Arbeitgeber jedenfalls ratsam, die Originalunterschrift seiner Beschäftigten einholen, zumal es für die Zwecke der internen Untersuchung in der Regel keinen Grund gibt, von der Schriftform abzuweichen.

Schließlich lässt § 26 Abs. 2 Satz 3 BDSG n.F. Ausnahmen vom Erfordernis der Schriftform zu, so-weit wegen besonderer Umstände eine andere Form angemessen ist. Besondere Umstände können sich etwa aus der betrieblichen Praxis oder den spezifischen Umständen der Verarbeitungssituation ergeben, wobei in diesem Zusammenhang beispielhaft ein Beschäftigter im Home-Office angeführt wird, dessen Einwilligung mittels E-Mail eingeholt werden könne (Gola BB 2017, 1462, 1467; Düwell/Bring, NZA 2017, 1081, 1084; Wybitul, NZA 2017, 413, 417). Ist die Einwilligung einer Vielzahl von Beschäftigten erforderlich und mit einem erheblichen logistischen Aufwand verbun-den, könnten auch diese besonderen Umstände für eine ausnahmsweise Abweichung vom Schrift-formerfordernis sprechen. Letztlich wird man im konkreten Einzelfall prüfen müssen, ob eine Aus-nahmesituation vorliegt. Zu beachten ist, dass es im Zweifel dem Arbeitgeber obliegt, die Gründe darzulegen, die das Berufen auf die Ausnahme rechtfertigen.

101

102

Luch

terh

and

Verla

g 20

19

Leseprobe

Documents

Formularbuch des Fachanwalts Arbeitsrecht · Formularbuch des Fachanwalts Arbeitsrecht Herausgegeben von Dr. Hans-Joachim Liebers, LL.M. Rechtsanwalt und Fachanwalt für Arbeitsrecht,