Mit der Datenschutzgrundverordnung (DSGVO) trat letztes Jahr auch das neue Bundesdatenschutzgesetz (BDSG) in Kraft. Dieses regelt in § 38 BDSG, dass Unternehmen ab zehn Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten benennen müssen. Hier wurde seitens Deutschlands die Öffnungsklausel in der der DSGVO genutzt. Kein anderes Land innerhalb der EU ist bei diesem Punkt derart streng.
Der Bundestag hat nun beschlossen, diese Schwelle auf 20 Mitarbeiter anzuheben. Dem muss der Bundesrat noch zustimmen. Begründet wird diese Änderung mit der Entlastung kleiner und mittlerer Unternehmen sowie ehrenamtlich tätiger Vereine.
Zu beachten ist jedoch, dass Unternehmen unabhängig von der Anzahl ihrer Mitarbeiter die Anforderungen der DSGVO erfüllen müssen. D.h. inhaltlich ändert sich durch diesen Beschluss für kleinere Unternehmen nichts. Ihnen wird lediglich die Möglichkeit eingeräumt die Anforderungen der DSGVO auch ohne einen Datenschutzbeauftragten zu erfüllen. Dann ist die Geschäftsführung und Vorstandschaft gefragt den Datenschutz im Unternehmen/Verein rechtskonform umzusetzen. Was ohne entsprechende Fachkunde oft schwierig werden kann.
Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Diese Frage sehen wir immer wieder in den Personalfragebögen bei unseren Mandanten und wir prüfen, ob diese Frage aus datenschutzrechtlichen Gründen überhaupt zulässig ist.
Schließlich geht es den Arbeitgeber nichts an, was die Mitarbeiter in ihrer Freizeit machen, oder vielleicht doch?
Aus (datenschutz)rechtlicher Sicht sieht das ganze so aus: Nach Art. 12 GG herrscht die Berufsfreiheit, d.h. prinzipiell darf jeder einen Nebenjob annehmen. Allerdings sind dem auch Grenzen gesetzt: Maximal 48 Stunden pro Woche sind gem. § 3 ArbZG erlaubt, vorübergehend darf dies sogar auf bis zu 60 Stunden (= 10 Stunden pro Werktag) erhöht werden. Dabei werden die Arbeitszeiten von Haupt- und Nebenjob zusammengezählt. Wichtig ist dabei vor allem, dass die Ruhe und Pausenzeiten auch eingehalten werden. Es müssen mindestens 11 Stunden gesetzliche Ruhezeit eingehalten werden, bevor die Arbeit erneut beginnt (§ 5 ArbZG). Abgestellt wird hierbei auf das tatsächliche Ende der Arbeitszeit, also sowohl des Haupt- als auch des Nebenjobs. Wer um 9 Uhr morgens mit seinem Hauptjob beginnt, muss also spätestens um 22 Uhr seine Arbeit im Nebenjob beendet haben.
Doch wer ist für die Einhaltung dieser Regelungen verantwortlich? Es sind die Arbeitgeber, die sich aufgrund ihrer Fürsorgepflicht um die Arbeits- und Ruhezeiten ihrer Mitarbeiter kümmern müssen.
Der Arbeitgeber, der hiergegen verstößt begeht eine Ordnungswidrigkeit, die mit einer Geldbuße von bis zu 15.000 Euro geahndet werden kann (§ 22 Abs.1, 2 ArbZG).
Jeder Arbeitgeber ist also gesetzlich dazu verpflichtet, dafür zu sorgen, dass er seinen Mitarbeiter die gesetzlichen Ruhezeiten gewährt. Insofern ist es gesetzlich geboten, eine eventuelle Nebentätigkeit abzufragen und ggfs. sogar zu verbieten, wenn zu befürchten ist, dass hierdurch gegen das Arbeitszeitgesetz verstoßen wird. Andernfalls würde dem Arbeitgeber fahrlässiges Verhalten vorgeworfen werden können. Als Rechtsgrundlage für die Erhebung dieser Daten dient damit Art. 6 Abs. 1 lit b), c) DSGVO. Ein Verstoß gegen datenschutzrechtliche Bestimmungen liegt somit nicht vor.
Falls Sie Fragen dazu haben, welche Informationen Sie im Rahmen Ihrer Personalfragebögen stellen dürfen sprechen Sie uns gerne an.
C. Lürmann
Rechtsanwältin
Consultant für Datenschutz
In unserem heutigen Blogbeitrag möchten wir zusammenfassend über datenschutzrelevante Ereignisse der letzten Monate informieren:
- Mit der Entscheidung des EuGH sind Fanpagebetreiber ebenso verantwortlich für die damit verbundene Datenverarbeitung wie die Plattformbetreiber (z.B. Facebook Ireland Ltd.).
- Mit der Entscheidung des Landgerichts Würzburg (LG Würzburg, Beschluss vom 13.9.2018, Az. 11 O 1741/18), können Verstöße gegen die DSGVO von Mitbewerbern abgemahnt werden. Bisher bestand hier erhebliche Unsicherheit, ob es sich bei der DSGVO überhaupt um eine drittschützende Norm im Sinne des § 3a UWG handelt.
- Der BGH hat nun endgültig entschieden, dass Befragungen zur Kundenzufriedenheit und Feedback-Anfragen Werbung sind.
- Derzeit verschickt die sog. "Datenschutzauskunft-Zentrale“ ein Schreiben, in dem Unternehmen aufgefordert werden, Angaben über ihren Betrieb zu machen, "um ihrer gesetzlichen Pflicht zur Umsetzung des Datenschutzes nachzukommen". Hierbei handelt es sich um eine Abo-Falle. .
- Die Aufsichtsbehörden haben klargestellt, dass Unternehmen den Messenger-Dienst ‚WhatsApp‘ derzeit nicht datenschutzkonform einsetzen können:
- vgl. auch Merkblatt der Landesbeauftragten für den Datenschutz Niedersachsen
- vgl. auch Thüringer Landesbeauftragter für Datenschutz und Informationsfreiheit: 3. Tätigkeitsbericht Datenschutz: Nicht-öffentlicher Bereich, 2016/2017, S. 375.
- Laut dem Thüringer Landesarbeitsgericht (Urteil vom 16.05.2018, Az. 6 Sa 442/17) ist die Erhebung der privaten Telefonnummer durch den Arbeitgeber ein erheblicher Eingriff in die Persönlichkeitsrechte des Mitarbeiters.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.