AKTUELL: Besonderheiten im Umgang mit Beschäftigten- / Arbeitnehmerdaten gem. DSGVO und BDSG-neu (Teil III)

(Berlin)

19. Februar 2018

Im letzten Teil unseres Spezialbeitrags zum Umgang mit Beschäftigten- / Arbeitnehmerdaten gem. DSGVO geht es abschließend um Fragen der Anpassung technischer Ausstattung sowie der vertraglichen Gestaltung mit externen Service-Dienstleistern.

 

7. Müssen eigentlich die sowohl in der Abteilung Human Resources als auch sonst Arbeitnehmern zur Verfügung gestellten dienstlichen IT-Geräte geändert werden?

Die gesetzliche Vorgabe ist, dass dienstlich genutzte PCs, Laptops, Smartphones etc. so eingerichtet bzw. voreingestellt sein sollten, dass sie besonders datensparsam arbeiten. Außerdem muss beispielsweise bei einer erlaubten Privatnutzung von dienstlichen Smartphones darauf geachtet werden, dass in keinem Fall privat genutzte Bereiche des Smartphones durch den Arbeitgeber oder andere Beschäftigte des Arbeitgebers eingesehen werden können. Bitte beachten Sie, dass derartige Änderungen an der Hard-/Software eventuelle Beteiligungsrechte der Arbeitnehmervertretungen auslösen können.

 

8. Muss ich irgendetwas bei der vertraglichen Gestaltung mit externen Service-Dienstleistern beachten, wie beispielsweise bei externen Payroll-Services, Travel Management oder externer „Performance Evaluation“?

Bei der Überprüfung bestehender Service-Verträge oder dem Abschluss neuer Service-Verträge mit sogenannten Auftragsverarbeitern ist unserer Auffassung nach derzeit größte Sorgfalt angezeigt. Denn gerade die Verarbeitung von Arbeitnehmer-/Beschäftigtendaten und damit im Zusammenhang stehende Datenschutzverstöße können erhebliche Schadens-ersatzansprüche oder Bußgelder nach sich ziehen. In der Regel ist mit dem Auftragsverarbeiter unter den in Art. 28 DSGVO normierten Bedingungen ein Auftragsverarbeitungsvertrag zu schließen. Hier ist insbesondere darauf zu achten, dass gesetzliche Verpflichtungen, die nach dem Gesetz immer auch den Arbeitgeber treffen, so weit wie möglich durch eine entsprechende Vertragsgestaltung mit dem Service-Dienstleister auf diesen übertragen werden. Nur so kann zum einen die datenschutzrechtliche Compliance mit den Anforderungen an Auftragsverarbeitung sichergestellt und zum anderen etwaige Schadensersatzansprüche gegen den Service-Dienstleister begründet werden für den Fall, dass der Auftragsverarbeiter seinen ihm obliegenden datenschutzrechtlichen Vorgaben nicht nachkommt. Unsere Praxis hat gezeigt, dass gerade im Zusammenhang mit Service-Dienstleister-Verträgen im Rahmen von Auftragsverarbeitung noch ein enormer Nachverhandlungs- und Nachjustierungsbedarf besteht, der bis zum 25. Mai 2018 idealerweise abgeschlossen werden sollte.

Sollte sich ein Unternehmen zudem sogenannter „Cloud-Solutions“ bedienen, so ist zwingend zu recherchieren, ob in diesem Zusammenhang genutzte Rechenzentren beispielsweise außerhalb der Europäischen Union eingerichtet worden sind. Viele Länder außerhalb der Europäischen Union – so wie beispielsweise die USA – werden von der Europäischen Kommission als Länder mit nicht ausreichendem Datenschutzniveau angesehen. In diesem Fall muss dringend darauf hingewirkt werden, dass diese als Service-Dienstleister genutzten Unternehmen – z.B. für US-Unternehmen – eine sogenannte Privacy-Shield-Zertifizierung vorlegen können. Diese rechtlichen Anforderungen sollten zur Vermeidung von Risiken in jedem Fall vor Abschluss eines solchen Vertrages mit dem Auftragsverarbeiter verifiziert werden bzw. zwingend nachverhandelt werden, soweit festgestellt wird, dass ein Auftragsverarbeiter die gesetzlichen Anforderungen gemäß DSGVO/BDSG-neu nicht vorweisen/erfüllen kann.

Hendrik Muschal  (Berlin)

Hendrik Muschal ist Fachanwalt für Arbeitsrecht und Managing Partner des Berliner Büros von Ogletree Deakins. Als anerkannter und erfahrener Experte berät er bundesweit zahlreiche deutsche und internationale Mandanten verschiedenster Industrien in den Bereichen des Individualarbeitsrechts, des Betriebsverfassungsrechts, des Personalvertretungsrechts-sowie im arbeitsrechtsbezogenen Strafrecht.

Ein Schwerpunkt seiner Beratungstätigkeit liegt zum einen im Bereich der innovativen  Personalkostenoptimierung. Zum anderen begleitet Hendrik Muschal Mandanten in der öffentlichen Verwaltung, insbesondere  bei der Stellenanpassung (Behandlung von Überhangdienstposten),  der Reorganisation, Tarifwechselmodellen (insbes. Beteiligungsgesellschaften) sowie bei der tariflichen Eingruppierung etc.

Als Experte für Datenschutzrecht ist Hendrik Muschal Co-Chair der Ogletree Deakins Data Privacy Praxisgruppe und unterstützt Unternehmen bei nationalen und internationalen datenschutzrechtlichen Problemstellungen.

Als Fachanwalt widmet sich Hendrik Muschal auch der arbeitsrechtlichen Beratung im Rahmen internationaler Investitionsaktivitäten und grenzüberschreitender Transaktionen sowie im Bereich des globalen HR Management.

Vor seiner Tätigkeit bei Ogletree Deakins war Hendrik Muschal Partner bei der internationalen Wirtschaftskanzlei Beiten Burkhardt und Partner sowie Co-Chair der globalen Praxisgruppe Arbeitsrecht bei Dentons (vormals Salans LLP).

Hendrik Muschal spricht verhandlungssicher Englisch.