[Sammelthread] Der DSGVO | Datenschutz Laberthread

@Nenharma Was ist denn eigentlich dein Ziel bzw. Anliegen? Teslas verhindern? Teslas ermöglichen? Teslas den Mitarbeitern aufzwingen?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Nichts davon muss zutreffen, die Frage kann einfach sein: Wies stelle ich das rechtssicher auf?
Selbst wenn das nicht möglich ist, dann kann die Hausleitung immer noch sagen "Wir machen das so!" - bDSB berät den/die Verantwortlichen ja nur.
 
Nicht zwingend, man kann ja zu dem Schluss kommen: "Geht nicht (mit realistischem/vertretbarem Aufwand)!"

Mal ne andere Frage:
Kann man die Einwilligung "gemäß Artikel 6 (1) a DSGVO in Verbindung mit §26 (2) BDSG" formulieren?
Oder ist es nur Art 6 (1) a?
Oder hält irgendwer §26 BDSG für eine eigenständige Rechtsgrundlage? (sehe ich nicht)

Im Netz habe ich als "den klassischen Fall" für Beschäftigtendaten immer nur Artikel 6 (1) b iVm §26 BDSG gefunden, weil es um letztlich meist um vertragliche Sachen geht.
Im vorliegenden Fall geht es aber um eine Einwilligungs-basierte Geschichte, die den Mitarbeitern gewisse Vorteile einräumt, sofern sie einwilligen, dass aus Abrechnungsgründen bestimmte (unkritische) Informationen an den Arbeitgeber gehen müssen. Rechtlich sehe ich da kein Problem, mir geht's nur um die Formulierung.
 
Ich halte die Erwähnung des 26 Abs. 2 BDSG für überflüssig. Rechtsgrundlage ist alleine der Art 6. EU-DSGVO 26 Abs. 2 BDSG konkretisiert nur die Freiwilligkeit, die steht aber nicht in Art. 6 EU-DSGVO, sondern in Art. 4 EU-DSGVO. Also müsstest du auch Art. 4 Ziffer 11 EU-DSGVO erwähnen, wenn du 26 Abs. 2 BDSG nennst.
 
@craxity
Nennen wir es mal Machbarkeitsstudie ...
Die Ideen sind da, Gründe sind Grüner werden, attraktiver werder usw..
Aber bevor man da was startet, möchte man wissen was geht und/oder ob es geht, die Prüfung ist damit ergebnisoffen
und die Geschäftsführung kann dann entscheiden.

@Kuzorra
§26 BDSG kann aus meiner Sicht keine eigenständige Rechtsgrundlage sein!
BDSG wird im Zweifel von der DSGVO gestochen, deutsches vs. unionsrecht ...., die DSGVO ist ja nur die deutschsprachige Umsetzung.
Artikel 6 (1) b iVm §26 BDSG ist die klassische Rechtsgrundlage für vieles und hier im speziellen für den Mitarbeiterdatenschutz, da bin ich bei dir.
Wir standen mit verschiedenen Dingen auch vor deiner Frage und haben dann nur 6 1 a genommen, somit in Entscheidung des Mitarbeiters selbst
einzuwilligen und Vorteile zu genießen oder eben nicht. Jeder darf damit priorisieren!
Beitrag automatisch zusammengeführt:

Ich halte die Erwähnung des 26 Abs. 2 BDSG für überflüssig. Rechtsgrundlage ist alleine der Art 6. EU-DSGVO 26 Abs. 2 BDSG konkretisiert nur die Freiwilligkeit, die steht aber nicht in Art. 6 EU-DSGVO, sondern in Art. 4 EU-DSGVO. Also müsstest du auch Art. 4 Ziffer 11 EU-DSGVO erwähnen, wenn du 26 Abs. 2 BDSG nennst.

Genau darüber haben wir uns letzte Woche einen ganzen Vormittag zu acht die Köpfe dampfend diskutiert ....
Ich meine es gibt auch anhängige Verfahren beim EUGH ob der gesonderten Betrachtung des Mitarbeiterdatenschutz.
Aktueller Wasserstand ist wohl, Mitarbeiterdatenschutz fällt, pbD overrullt alles, keine deutsche Sonderlocken .... mit allen Vor- und Nachteilen.
 
Nicht zwingend, man kann ja zu dem Schluss kommen: "Geht nicht (mit realistischem/vertretbarem Aufwand)!"

Mal ne andere Frage:
Kann man die Einwilligung "gemäß Artikel 6 (1) a DSGVO in Verbindung mit §26 (2) BDSG" formulieren?
Oder ist es nur Art 6 (1) a?
Oder hält irgendwer §26 BDSG für eine eigenständige Rechtsgrundlage? (sehe ich nicht)

Im Netz habe ich als "den klassischen Fall" für Beschäftigtendaten immer nur Artikel 6 (1) b iVm §26 BDSG gefunden, weil es um letztlich meist um vertragliche Sachen geht.
Im vorliegenden Fall geht es aber um eine Einwilligungs-basierte Geschichte, die den Mitarbeitern gewisse Vorteile einräumt, sofern sie einwilligen, dass aus Abrechnungsgründen bestimmte (unkritische) Informationen an den Arbeitgeber gehen müssen. Rechtlich sehe ich da kein Problem, mir geht's nur um die Formulierung.
Im Prinzip muss der Mitarbeiter die AGBs und Datenschutzerklärung von Tesla akzeptieren, weil er dessen Dienste nutzt.
Normalerweise macht man das umgekehrt man weist den Mitarbeiter auf mögliche Risken und damit verbundenen Konsequenzen hin.
Er kann zustimmen oder auch nicht, aber zwingen kann man ihn ja nicht. Mit seiner Zustimmung kann dann ein Tesla beschafft werden.

Du kannst aber auch einen Mitarbeiter dazu zwingen, durch Weisungsbefugnis. Z. B du installierst zur Parkplatzüberwachung eine Überwachsungskamera um die Sicherheit zu gewährleisten.
Er kann sich nicht dagegen wehren, da es ja nicht um ihn Persönlich geht so um die Allgemeinheit geht.

Beim Tesla besteht ja ein Vertrag zwischen Tesla und Firma XYZ, das der Mitarbeiter das Fahrzeug nutzt ist er nicht teil des Vertrages. Die Firma XYZ muss ihn halt darauf hinweisen das bei der Benutzung Daten erhoben werden können etc. und der Mitarbeiter dem zustimmen muss. Ist er nicht einverstanden muss er das Fahrzeug nicht nutzen. Es ist zwingend erforderlich weil es notwendig ist für die Ausübung seiner Arbeitsstelle (z. B LKW mit Telematik) kann ihm natürlich die Firma auch kündigen.

Ein anderes Beispiel ist ein Geschäftshandy: Natürlich darfst du das Handy privat nutzen, aber du musst damit rechnen das dein AG die Verbindungsdaten einsehen kann und Rückschlüsse möglich sind.
 
Danke @craxity und @Nenharma

@n3cron Hm, prinzipiell gebe ich Dir in vielen Punkten völlig recht, trotzdem geht da für mein Verständnis einiges etwas durcheinander:
Er kann zustimmen oder auch nicht, aber zwingen kann man ihn ja nicht. Mit seiner Zustimmung kann dann ein Tesla beschafft werden.
Wenn wir über Einwilligung reden, die jederzeit widerrufen werden kann, was machst Du dann? Dann hast Du gerade 10 Tesla beschafft, der Personalrat empfiehlt plötzlich allen MA die Einwilligung nicht zu erteilen bzw. zu widerrufen, und dann...

Du kannst aber auch einen Mitarbeiter dazu zwingen, durch Weisungsbefugnis. Z. B du installierst zur Parkplatzüberwachung eine Überwachsungskamera um die Sicherheit zu gewährleisten.
Er kann sich nicht dagegen wehren, da es ja nicht um ihn Persönlich geht so um die Allgemeinheit geht.
Das ist mMn ein ganz anderer Fall, das stützt man ja nicht auf eine Einwilligung.

Ist er nicht einverstanden muss er das Fahrzeug nicht nutzen. Es ist zwingend erforderlich weil es notwendig ist für die Ausübung seiner Arbeitsstelle (z. B LKW mit Telematik) kann ihm natürlich die Firma auch kündigen.
Theoretisch mag das ähnlich klingen, aber wenn ich über Telemetrie und Tracking in LKW rede, dann sind mitunter ganz andere Gründe (Kühlkette, Sicherheit der Ladung...) im Spiel - das Argument "unsere Außendienstler können nur mit einem Tesla zum Kunden (und nicht mit einem anderen E-Fzg, weil das unserem grüneren Image nicht genügt)" wirst Du bei einer Aufsichtsbehörde nicht durchbekommen. (Klingt abr auch nicht wirklich so, als ob Du diesen Ansatz vertreten würdest.)

Ein anderes Beispiel ist ein Geschäftshandy: Natürlich darfst du das Handy privat nutzen, aber du musst damit rechnen das dein AG die Verbindungsdaten einsehen kann und Rückschlüsse möglich sind.
Natürlich darfst Du das nicht, wenn es z.B. per Dienstvereinbarung ausgeschlossen ist. Dass Du es trotzdem tun kannst, steht auf einem anderen Blatt - ist aber sicher (in den allermeisten Fällen) auch was ganz anderes als die Frage nach einer Einwilligung.
 

Der Vertreter der EU KOM sagt die ganze Zeit DGSVO, das macht mich latent aggressiv 🙄
 
Wenn wir über Einwilligung reden, die jederzeit widerrufen werden kann, was machst Du dann? Dann hast Du gerade 10 Tesla beschafft, der Personalrat empfiehlt plötzlich allen MA die Einwilligung nicht zu erteilen bzw. zu widerrufen, und dann...
Er kann morgen kündigen oder muss außerordentlich gekündigt werden und dann? Das Fahrzeug gehört in erster Linie der Firma. Wer das Fahrzeug dann fahren darf ist Formalie, dass kann sich immer mal ändern. Ein Mitarbeiter kündigt, der andere beerbt das Fahrzeug. Meistens ist es sowieso Leasing und kann zeitnah zurück gegeben werden. Ich behaupte mal die Einwilligung kann er nicht mehr einfach so einseitig widerrufen.

Auch wenn es etwas spät ist, ist da jetzt was rum gekommen?
 
Ich behaupte mal die Einwilligung kann er nicht mehr einfach so einseitig widerrufen.
Hm, Artikel 7 (3)
Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen....
Ist halt was anderes als "der MA kündigt und der nächste bekommt das Auto"
Auch wenn es etwas spät ist, ist da jetzt was rum gekommen?
Würde mich auch interessieren.
 
Also bei uns wird es absehbar keine Tesla im Fuhrpark geben!
Man könnte viel über explizite Vereinbarungen und Zustimmungen regeln, aber das ist ja alles eher schwebend und keine abschließende Wirkung.
Der Aufwand und das Risiko sind es derzeit nicht wert, zumindest in unseren Augen.
Gibt ja andere Modelle die jetzt geprüft werden.
 
Schöne neue Büchse der Pandora....

Hier im öff. Dienst sind eh alle auf korrekte Handhabung vertraulich zu haltender Daten eingeschworen, aber das ist durchaus ein Verfahren, was ich bisher nicht auf dem Schirm hatte.
Würde mal auf Dienstvereinbarung bzw. Prozesshandbuch tippen, aber das muss ich mal nachschauen.
 
Ja dachte ich mir auch als unser DSB das hat anwaltlich bestätigen lassen - ist laut Fachanwalt also notwendig, da Ticketsystem zweckgebunden ist blablabla und zeitnah nach Ticketschließen es gelöscht oder anonymisiert (schwierig) werden muss.
Kann mir nur nicht wirklich vorstellen dass das so viele andere Firmen auf dem Schirm haben ^^
 
Zauberwort "prozessbasierte Verarbeitung von Mitarbeiterdaten"
 
Meiner Auffassung nach sind es ja notwendige Datenverarbeitungen, damit der ITler seinen Arbeitsvertrag erfüllen kann (Vertragserfüllung). AVV mit dem Betreiber des Ticketsystems (sofern extern betrieben) muss natürlich geschlossen sein. Mitarbeiter die Zugriff auf Ticketsystem haben werden auf Verschiegenheit vertraglich seperat verpflichtet und datenschutztechnisch entsprechend geschult. Prozessbeschreibungen und Verarbeitungsverzeichnisse regeln, welche Daten erhoben und wie lange gespeichert werden müssen.

@Cyrrel das mit dem löschen bzw. anonymisieren nach Ticketschließen sehe ich anders:
Im Ticket können ggf. nachweispflichte sachen stehen die die IT bei einem Vorfall abrufen muss, bspw. Anweisung von Abteilungsleiter X das Mitarbeiter Y Zugriff auf System Z haben muss. Kommt es dann zu einem meldepflichtigen Datenschutzvorfall weil Y auf Daten zugegriffen hat die laut Arbeitsvertrag nicht in seinen Tätigkeitsbereich fallen muss zurückverfolgt werden wer wann wieso diese Zugriffsrechte angefordert und freigegeben hat.

Alles dazu aber nur mutmaßungen meinerseits, da wir kein Ticketsystem haben kann ich schwer aus der Praxis berichten.
 
Wenn ich Zeit übrig hätte, würde ich "zeitnah" in unserer IT nachfragen, wir haben aber gerade andere Baustellen....Probleme auf OSI Layer 8
 
Na ich wollte es auch gerne behalten wegen Dokumentation der Probleme, Statistiken wie oft Systeme ausfallen etc. aber der DSB war da eindeutig dass wir das anders machen müssen.
Frag ja extra hier nach ob andere da mal drüber gesprochen haben, find das na auch nicht so super, aber das Wissen kommt dann eben ohne Userdaten ins Wiki . Ist übrigens alles on premise
 
Bei uns läuft das definitiv auch on premise, aber ich wüsste zum Beispiel nichtmal, ob für das Ticketsystem bzw die Pflege irgendein ext. Dienstleister eingebunden ist.
Für den wäre ja dann wahrscheinlich eine AVV nötig...

Verzeichnis der Verarbeitungstätigkeiten ist bei uns sicher lückenhaft, mir fehlt die Zeit und die Muße, allen (mehrfach) hinterherzulaufen - und das kann ich eh nur bei den Dingen tun, von denen ich überhaupt weiß.

Naja, vielleicht bekomme ich bald einen Vertreter, das wäre ein schöner Anlass, ein paar Aufgaben zu delegieren un ein wenig (zu versuchen) "klar Schiff" zu machen....
 
nee, Datenschutz
 
Interner bestellter DSB? Nebenhertätigkeit oder Hauptaufgabe? Wie groß ist euer Unternehmen? Ich habe nach 6 Jahren DSB nun endlich die Position abgeben dürfen.
 
Ja. Auf mein anraten wurde die Position entsprechend besetzt da ich "nebenher" nicht mehr genug zeit für das Thema hatte. Ich berate den DSB jetzt nur, habe aber wesentlich mehr Zeit mich auf meine eigentlichen Aufgaben zu konzentrieren.
 
Mach das "nebenher", bin in einer Behörde
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh