Im letzten Teil unseres Spezialbeitrags zum Umgang mit Beschäftigten- / Arbeitnehmerdaten gem. DSGVO geht es abschließend um Fragen der Anpassung technischer Ausstattung sowie der vertraglichen Gestaltung mit externen Service-Dienstleistern. 

7. Müssen eigentlich die sowohl in der Abteilung Human Resources als auch sonst Arbeitnehmern zur Verfügung gestellten dienstlichen IT-Geräte geändert werden?

Die gesetzliche Vorgabe ist, dass dienstlich genutzte PCs, Laptops, Smartphones etc. so eingerichtet bzw. voreingestellt sein sollten, dass sie besonders datensparsam arbeiten. Außerdem muss beispielsweise bei einer erlaubten Privatnutzung von dienstlichen Smartphones darauf geachtet werden, dass in keinem Fall privat genutzte Bereiche des Smartphones durch den Arbeitgeber oder andere Beschäftigte des Arbeitgebers eingesehen werden können. Bitte beachten Sie, dass derartige Änderungen an der Hard-/Software eventuelle Beteiligungsrechte der Arbeitnehmervertretungen auslösen können.

 

8. Muss ich irgendetwas bei der vertraglichen Gestaltung mit externen Service-Dienstleistern beachten, wie beispielsweise bei externen Payroll-Services, Travel Management oder externer „Performance Evaluation“?

Bei der Überprüfung bestehender Service-Verträge oder dem Abschluss neuer Service-Verträge mit sogenannten Auftragsverarbeitern ist unserer Auffassung nach derzeit größte Sorgfalt angezeigt. Denn gerade die Verarbeitung von Arbeitnehmer-/Beschäftigtendaten und damit im Zusammenhang stehende Datenschutzverstöße können erhebliche Schadens-ersatzansprüche oder Bußgelder nach sich ziehen. In der Regel ist mit dem Auftragsverarbeiter unter den in Art. 28 DSGVO normierten Bedingungen ein Auftragsverarbeitungsvertrag zu schließen. Hier ist insbesondere darauf zu achten, dass gesetzliche Verpflichtungen, die nach dem Gesetz immer auch den Arbeitgeber treffen, so weit wie möglich durch eine entsprechende Vertragsgestaltung mit dem Service-Dienstleister auf diesen übertragen werden. Nur so kann zum einen die datenschutzrechtliche Compliance mit den Anforderungen an Auftragsverarbeitung sichergestellt und zum anderen etwaige Schadensersatzansprüche gegen den Service-Dienstleister begründet werden für den Fall, dass der Auftragsverarbeiter seinen ihm obliegenden datenschutzrechtlichen Vorgaben nicht nachkommt. Unsere Praxis hat gezeigt, dass gerade im Zusammenhang mit Service-Dienstleister-Verträgen im Rahmen von Auftragsverarbeitung noch ein enormer Nachverhandlungs- und Nachjustierungsbedarf besteht, der bis zum 25. Mai 2018 idealerweise abgeschlossen werden sollte.

Sollte sich ein Unternehmen zudem sogenannter „Cloud-Solutions“ bedienen, so ist zwingend zu recherchieren, ob in diesem Zusammenhang genutzte Rechenzentren beispielsweise außerhalb der Europäischen Union eingerichtet worden sind. Viele Länder außerhalb der Europäischen Union – so wie beispielsweise die USA – werden von der Europäischen Kommission als Länder mit nicht ausreichendem Datenschutzniveau angesehen. In diesem Fall muss dringend darauf hingewirkt werden, dass diese als Service-Dienstleister genutzten Unternehmen – z.B. für US-Unternehmen – eine sogenannte Privacy-Shield-Zertifizierung vorlegen können. Diese rechtlichen Anforderungen sollten zur Vermeidung von Risiken in jedem Fall vor Abschluss eines solchen Vertrages mit dem Auftragsverarbeiter verifiziert werden bzw. zwingend nachverhandelt werden, soweit festgestellt wird, dass ein Auftragsverarbeiter die gesetzlichen Anforderungen gemäß DSGVO/BDSG-neu nicht vorweisen/erfüllen kann.

Topics


Browse More Insights

Sign up to receive emails about new developments and upcoming programs.

Sign Up Now