Home / Aktuelles & Termine / it.sec blog

Beim betrieblichen Eingliederungsmanagement (BEM) geht es in erster Linie um die Verwendung von Informationen über die Gesundheit des Mitarbeiters. Dabei handelt es sich um sensiblen Daten, für die das Unternehmen verantwortlich ist. Eine datenschutzrechtliche Bewertung ist also unumgänglich. Die Datenschutzgrundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten. Bei der Umstellung auf die DSGVO müssen alle Prozesse und die dazu gehörenden Dokumente überprüft werden, also auch die des BEM. Die Missachtung des Datenschutzes bei der Gestaltung des BEM stellt eine fehlerhafte Datenverarbeitung dar, was wiederum zum Bußgeld führen kann.

Auch das BEM braucht eine Rechtsgrundlage nach DSGVO

Da kommen gleich mehrere Rechtsgrundlagen in Betracht:

• Die Betriebsvereinbarung

• Datenverarbeitung aufgrund einer gesetzlichen Verpflichtung

• Einwilligung

Betriebsvereinbarung

Betriebsvereinbarungen (BV) können eine Rechtsgrundlage sein, sie müssen aber den Anforderungen von Art. 88 Abs. 2, Art. 9 Abs. 2 lit. h), Abs. 3 DSGVO, § 26 Abs. 3 BDSG entsprechen. Daher sind BV, die vor der DSGVO abgeschlossen wurden, daraufhin zu überprüfen.

Gesetzliche Pflicht

§ 167 Abs. 2 SGB IX regelt die Verpflichtung des Arbeitgebers zur Durchführung des BEM. Unter Berufung auf Art. 6 Abs. 1 lit. c), Art. 9 Abs. 2 lit. b) DSGVO, § 26 Abs. 3 BDSG dürfen also alle Daten erhoben werden, die für die Durchführung des BEM tatsächlich erforderlich sind.

Einwilligung

Zusätzlich muss der Arbeitgeber die Einwilligungserklärung der betroffenen Mitarbeiter einholen, da nicht die gesamte für das BEM erforderliche Datenverarbeitung auf die oben genannten Rechtsgrundlagen gestützt werden kann. Die Einwilligung muss dabei den Anforderungen aus Art. 6 Abs. 1 lit. a), Art. 9 Abs. 2 lit. a), Art. 7 DSGVO i.V.m. § 26 Abs. 2 BDSG entsprechen.

Informationspflichten

Die Mitarbeiter müssen zudem gemäß Art. 13, 14 DSGVO informiert werden über die Verarbeitung ihrer personenbezogenen Daten.

Michaela Dötsch

Rechtsanwältin

Microsoft wird sein Cloud-Angebot in Deutschland erheblich erweitern und plant den Bau von zwei Datenzentren in Berlin und Frankfurt. Die Rechenzentren sollen die gleiche Leistung wie die bereits vorhandenen Rechenanlagen bieten. Die Inbetriebnahme ist für 2019 und 2020 geplant. Aus den neuen Rechenzentren werden Microsoft Azure, Office 365 und Dynamics 365 in vollem Funktionsumfang bereitgestellt. Damit kann Microsoft individuelle Compliance-Anforderungen erfüllen.

 

Die neuen Rechenzentrums-Regionen in Deutschland werden, so Microsoft, als Teil des globalen Microsoft-Cloud-Netzwerks die gleichen Service-Level und Sicherheitsstandards bieten wie die weltweiten Microsoft-Cloud-Angebote.

 

Microsoft bekennt sich zur Einhaltung der EU-Datenschutz-Grundverordnung (DSGVO) für die Cloud-Dienste und hat, so das Unternehmen, entsprechende Regelungen in die vertraglichen Verpflichtungen aufgenommen.

 

Die neuen, deutschen Rechenzentren sind eine Reaktion auf neue und veränderte Geschäftsanforderungen. Es wurden, so teilt das Unternehmen mit, Strategien entwickelt, mit denen die Umsetzung der DSGVO für die Kunden vereinfacht werden sollen.

 

Zukünftig können Neukunden wählen, ob sie die derzeit schon verfügbaren europäischen Regionen oder die neuen Regionen in Deutschland nutzen wollen.

 

Aus datenschutzrechtlicher Sicht wäre die Speicherung von Daten in Deutschland sehr begrüßenswert. Dennoch wird einem eine genaue Überprüfung der vertraglichen Gestaltung nicht erspart bleiben. Auch Datenübermittlungen in Drittstaaten ohne angemessenes Datenschutzniveau sind dadurch nicht automatisch ausgeschlossen. Denn bereits der Zugriff auf die in Deutschland gespeicherten Daten aus Drittstaaten, bspw. durch die System-Administratoren von Microsoft, stellt eine Datenübermittlung i.S.v. Art. 44 ff DSGVO dar und muss entsprechend abgesichert werden.

 

Michaela Dötsch

 

Rechtsanwältin

Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Angemessenheitsbeschluss Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsrecht Automatisierte Einzelentscheidung Autsch Backup BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Beschäftigtendatenschutz besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung Betroffenenrechte BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonitätsprüfung Brexit Browser Bund Bundesarbeitsgericht Bußgeld Bußgelder BVG Cloud CNIL Compliance Cookie Custom Audience Cyber Dashcam Daten Datenlöschung Datenminimierung Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datensicherheit Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Deutsche Bahn Dienstleister Do not track-Funktion Donald Trump Dritter Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSGVO DSK dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entsorgung Erhebung Erhebung personenbezogener Daten Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EuGH Europäische Union Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis FlugDaG Fluggastdaten Folgenabschätzung Foto Funkmäuse Funktastaturen Geldbörse Gemeinsam Verantwortliche Gericht Gesetz gegen den Unlauteren Wettbewerb Gesundheitsdaten Google Google Analytics hacken Hacker Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme ITSECX Jin-hyok Joint Control Kanada Keynote Klagebefugnis Klingelschilder Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Kunsturhebergesetz Lazarus Leistungs- und Verhaltenskontrolle Löschung personenbezogener Daten Löschungsrecht Lösegeld Malware Markennamen Markenrecht Marktortprinzip MD5 Meldepflicht Meldescheine Meldung Meltdown Messenger Microsoft Mieter Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Netzwerklabor NIST Nordkorea Nutzungsbedingungen Öffnungsklauseln One Stop Shop Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien personenbezogene Daten Personenbilder Persönlichkeitsrechte Pflichten Plattformbetreiber PNR-Daten PNR-Instrumente POODLE Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management SamSam Sanktionen Schaden Schadprogramm Seitenbetreiber SHA1 sicher Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke Spectre Sponsoren Standardvertragsklauseln Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telemediendienst Telemediengesetz Telstra Security Report TKG TLS TMG Tracking Tracking Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unpersonalisierter Benutzer-Account Unternehmensgruppe US-Regierung USA UWG Verantwortlicher Verantwortung Vereinbarung Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31