• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar
  • Skip to footer
Expertenforum Arbeitsrecht (#EFAR)
Expertenforum
Arbeitsrecht (#EFAR)

Expertenforum Arbeitsrecht (#EFAR)

Themen der arbeitsrechtlichen Blogosphäre

  • #EFAR-Beiträge
    • #EFAR-News
    • ArbeitsRecht Kurios
    • #EFAR–Suche
  • Live–Log
    • Registrierte Blogs
    • Blog registrieren
  • #EFAR-Stellenmarkt
  • Arbeitsrechts-Experten
    • #EFAR–Autoren
    • #EFAR–Fokusseiten
    • #EFAR-Webinare
LinkedIn
Twitter
Xing
Facebook
  • AI that detects your emotions: issues for employment?
    Quelle : KLIEMT.blog 27.05.2022 - 07:00 Von Ius Laboris
  • Wer zu spät kommt, ... - kein Anspruch des erstmalig gewählten Betriebsrats auf Sozialplan
    Quelle : VAHLE KÜHNEL BECKER (Blog: Arbeitsrecht FreshUp) 26.05.2022 - 16:47
  • ArbG Bonn: Kein Versand von Gewerkschaftsinformationen per E-Mail
    Quelle : Beck-Blog 25.05.2022 - 16:55 Von stoffels
  • „Wir suchen coole Typen“: AGG-konforme Stellenanzeige oder Diskriminierung?
    Quelle : KLIEMT.blog 25.05.2022 - 10:29 Von Tobias Klaus
  • Die Auswirkungen der elektronischen Arbeitsunfähigkeitsbescheinigung auf das Arbeitsverhältnis
    Quelle : ADVANT Beiten 24.05.2022 - 14:00 Von Dr. Anne Dziuba, Benedikt Holzapfel
  • Alles bleibt beim Alten: Überstunden muss weiterhin der Arbeitnehmer beweisen
    Quelle : KLIEMT.blog 24.05.2022 - 09:29 Von Cornelius Ziegler
  • Betriebsratswahlen 2022: Ermittlung der gewählten Kandidaten.
    Quelle : Buse 24.05.2022 - 08:00 Von Tobias Grambow
  • BAG zur Massenentlassungsanzeige: Soll-Angaben werden nun doch keine Muss-Angaben
    Quelle : Esche 24.05.2022 - 00:00
  • BAG zu Massenentlassungsanzeigen: „Soll“ ist doch nicht gleich „muss“!
    Quelle : Beck-Blog 23.05.2022 - 17:35 Von stoffels
  • „Einrichtungsbezogenen Impfpflicht“ verfassungsgemäß? BVerfG: verfassungsgemäß!
    Quelle : ADVANT Beiten 23.05.2022 - 14:00 Von Dr. Erik Schmid
  • Keine wirksame Befristung eines Arbeitsvertrags bei eingescannter Unterschrift
    Quelle : ADVANT Beiten 23.05.2022 - 14:00
  • Betriebliche Mitbestimmung bei Carve-Outs – ein Überblick
    Quelle : KLIEMT.blog 23.05.2022 - 08:00 Von Laura Louise Schmidt, LL.B.
  • Umsetzung der sog. Arbeitsbedingungenrichtlinie – Arbeitgeber müssen handeln
    Quelle : CMSHS 23.05.2022 - 06:30 Von Alexander Bissels
  • Kein Arbeitsverhältnis zum Entleiher trotz fehlender Überlassungserlaubnis des (ausländischen) Verleihers
    Quelle : ADVANT Beiten 20.05.2022 - 14:00 Von Dr. Gerald Peter Müller-Machwirth
  • Urteile zur einrichtungsbezogenen Impflicht
    Quelle : Beck-Blog 20.05.2022 - 08:55 Von stoffels
  • What are the new green reporting duties in France?
    Quelle : KLIEMT.blog 20.05.2022 - 07:00 Von Ius Laboris
  • Doch keine Freistellung ungeimpfter Beschäftigter im Gesundheitswesen?
    Quelle : CMSHS 19.05.2022 - 12:11 Von Alexander Bissels
  • Stellungnahme des DAV zum geplanten Hinweisgeberschutzgesetz
    Quelle : Beck-Blog 19.05.2022 - 11:09 Von stoffels
  • Wenn die Rente weniger wert ist (Video)
    Quelle : KLIEMT.blog 19.05.2022 - 09:00 Von Thorsten Lammers
  • Internal Investigations: Kostenersatz bei Compliance-Untersuchungen
    Quelle : KLIEMT.blog 18.05.2022 - 09:17 Von Lisa Ryßok-Lösch

Datenschutz beim Arbeitgeberwechsel: Löschung, Auskunft, Einsicht und Datenportabilität

  • 24. Januar 2019 |
  • Dr. Philipp Wiesenecker

Datenschutz beim Arbeitgeberwechsel: Die DSGVO hält bei einem Arbeitgeberwechsel einige Herausforderungen für die alte und neue Personalabteilung bereit.

  • twittern 
  • teilen 
  • mitteilen 
  • teilen 
  • E-Mail 

Das Thema

Neues Jahr, neuer Job? In Zeiten der seit 25. Mai 2018 geltenden EU Datenschutz-Grundverordnung (DSGVO) richten sich mit dem Arbeitgeberwechsel neue praktische Herausforderungen an alte und neue Personalabteilung:

  • Welche Rechte hat ein den Arbeitsplatz wechselnder Arbeitnehmer (gilt analog für den Wechsel in den Ruhesstand) gegenüber seinem bisherigen Arbeitgeber im Hinblick auf seine personenbezogenen Daten?
  • Kann dieser etwa Auskunft über die (in der Vergangenheit) verarbeiteten personenbezogenen Daten und deren (vollständige) Löschung verlangen?
  • Kann eine Herausgabe der personenbezogenen Mitarbeiterdaten oder deren (direkter) Transfer zu dem neuen Arbeitgeber verlangt werden und ggf. in welchem Format (analog und/oder digital)?
  • Welche Handlungsempfehlungen können dem bisherigen Arbeitgeber an die Hand gegeben werden, der sich mit Auskunfts- und Löschungsbegehren hinsichtlich der personenbezogenen Daten des ehemaligen Mitarbeiters und insbesondere einem Begehren auf deren Herausgabe oder Transfer zu einem neuen Arbeitgeber konfrontiert sieht?
  • Ist das (neue) Datenschutzrecht eine Gefahr für schützenswertes betriebliches Know-how (Betriebs- und Geschäftsgeheimnisse)?

 

Anzeige

 

Löschung, Auskunfts- und Einsichtsrechte nach Datenschutz- und Arbeitsrecht

Zentrale Rechte des Betroffenen (also des Arbeitnehmers) hinsichtlich seiner personenbezogenen Daten sind die Rechte auf Löschung und Auskunft. Beide Rechte existierten bereits vor Geltung der DSGVO (in § 35, 34 BDSG a.F.).

Das Recht auf Löschung (Art. 17 Abs. 1 DSGVO) gibt dem Betroffenen das Recht, von dem Verantwortlichen zu verlangen, dass ihn betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der in Art. 17 Abs. 1 DSGVO aufgezählten Gründe zutrifft und kein Einschränkungstatbestand des Art. 17 Abs. 3 DSGVO greift.

Das Recht auf Auskunft (Art. 15 DSGVO) gewährt dem Betroffenen das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden, und sofern das der Fall ist, ein Recht auf Auskunft über diese personenbezogenen Daten und weitere in Art. 15 DSGVO aufgelistete Informationen. Nach Abs. 3 S. 1 hat der Verantwortliche eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen.

Daneben bestand und besteht das Einsichtsrecht des Arbeitnehmers in seine Personalakte (§ 83 Abs. 1 BetrVG; § 26 Abs. 2 SprAuG für leitende Angestellte). Es gilt auch in betriebsratslosen Betrieben.

Das (neue) Recht auf „Datenportabilität“

Durch die DSGVO tritt zu diesen Rechten auf Löschung, Auskunft und Einsicht das Recht auf „Datenportabilität“ bzw. Datenübertragbarkeit (Art. 20 DSGVO) hinzu. Dieses gibt dem Betroffenen das Recht, personenbezogene Daten herauszuverlangen und an einen neuen Anbieter zu übertragen.

Ziel ist zum einen die Stärkung der Individuums im Hinblick auf seine Verfügungsmacht über die eigene Person betreffende Daten, und zum anderen das Brechen von Marktmacht durch Verhinderung sogenannter „Lock-in-Effekte“ und die Förderung des freien Datenverkehrs im europäischen Binnenmarkt.

Im Gesetzgebungsverfahren zielte der Anspruch zunächst nur auf Social-Media-Plattformen, wurde dann aber zum allgemeinen Recht auf „Datenportabilität“ beim Wechsel des Arbeitgebers.

Beschränkt ist die Portabilität allerdings auf

  • personenbezogenen Daten, die der Betroffene einem Verantwortlichen bereitgestellt hat,
  • deren Verarbeitung auf einer Einwilligung gemäß Artikel 6 Absatz 1 Buchstabe a oder Artikel 9 Abs. 2 lit. a) DSGVO oder auf einem Vertrag gemäß Artikel 6 Abs. 1 lit. b) DSGVO beruht und die
  • mithilfe automatisierter Verfahren gespeichert sind.

Der Anwendungsbereich ist damit in mehrfacher Hinsicht erheblich beschränkt.

Als „bereitgestellt“ gelten wohl nur aktiv hingegebene Daten. Zum Teil wird darüber hinaus schon das „Zugänglichmachen“ als hinreichend angesehen. Lediglich sogenannte derived/inferred data, die der Verantwortliche auf der Grundlage von zur Verfügung gestellten Daten selbst erstellt hat, sind in keinem Fall „bereitgestellt“.

Praktisch gilt der Anspruch also nur für elektronische Personalakten und Personalinformationssysteme, da „die Vermittlung mithilfe automatisierter Verfahren erfolgt“ sein muss (Art. 20 Abs.1 lit. b) DSGVO). Inhaltlich gilt der Anspruch zweifelsfrei für vom Arbeitnehmer aktiv zur Verfügung gestellte Daten, also etwa den Personalfragebogen, Versicherungsinformationen oder Zeugnisse. Weitere generierte Daten, wie etwa der Suchverlauf des Browsers, würden nach der weiten Auslegung wohl auch noch als „Bereitgestellt“ gelten, keinesfalls jedoch Analysen und Bewertungen solcher Daten durch den Arbeitgeber. Damit scheidet zum Beispiel eine Bewertung des Arbeitnehmers durch den Arbeitgeber, aber auch eine Abmahnung als Objekt der Transportabilität aus.

Sind die Voraussetzungen erfüllt und greift kein Ausschlussgrund, hat der Verantwortliche die Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung zu stellen oder – nach Art. 20 Absatz 2 DSGVO – direkt an einen anderen Verantwortlichen zu übermitteln. Erwägungsgrund 68 DSGVO bringt daneben noch den Begriff der Interoperabilität ins Spiel. So sind Unternehmen angehalten, aber nicht verpflichtet, interoperable Systeme zu entwickeln und zu verwenden.

Eine weitergehende Festlegung auf zu verwendende Systeme und Formate erfolgt nicht (um Offenheit für technologischen Fortschritt zu wahren, so heißt es). Beispielhaft nennt die WP 29-Gruppe sogenannte „open formats“ wie XML, JSON, CSV. Bei PDFs ist darauf zu achten, ob die Daten leicht extrahiert und weiterverarbeitet werden können, sowie was dargestellt werden soll (ein PDF, das den Email-Posteingang darstellt, erfüllt nach Ansicht der WP 29-Gruppe dabei nicht die Voraussetzungen der potentiellen Weiterverarbeitung).

Form der Datenübertragung

Für die Form der Übermittlung kämen das zur Verfügung stellen in einem Portal verbunden mit der Möglichkeit zum Herunterladen der Dateien sowie das Übersenden in Betracht (bei der Direktübermittlung nach Art. 20 Abs. 2 DSGVO wohl eher nur das Übersenden). Eine generelle Annahmepflicht des neuen Verantwortlichen besteht nicht. Auch ist in diesem Kontext die Möglichkeit der Verweigerung der Direktübermittlung zu beachten. Art. 20 Abs. 2 DSGVO stellt die Direktübermittlung unter den Vorbehalt der „technischen Machbarkeit“. Da eine Ausweichmöglichkeit auf die Datenübertragung über den Betroffenen nach Abs. 1 besteht, sind daran auch keine zu großen Anforderungen zu stellen.

Eine wesentliche Einschränkung erfährt das Recht auf „Datenportabilität“ zudem durch Art. 20 Abs. 4 DSGVO. Danach dürfen Rechte und Freiheiten „anderer Personen“ nicht beeinträchtigt werden – nicht die eines betroffenen Dritten, aber auch nicht die des Verantwortlichen selbst. Damit ist der Schutz von Geschäfts- und Betriebsgeheimnissen gewahrt.

Datenübertragung beim Arbeitgeberwechsel: Handlungsempfehlungen

Festzuhalten ist: Neben den klassischen Rechten auf Auskunft und Löschung (nun Art. 15 und 17 DSGVO) gibt die DSGVO dem Arbeitnehmer das neu geschaffene Recht auf „Datenportabilität“ an die Hand. Die Relevanz dieses Rechts ist jedoch allein durch seinen eingeschränkten Anwendungsbereich (bereitgestellte Daten, auf Grund von Einverständnis oder Vertrag, Vermittlung mithilfe automatisierter Verfahren) geschmälert. Die Voraussetzungen werden wohl in eher wenigen Fällen kumulativ erfüllt sein.

Hinzu kommt, dass auch die Ziele des Art. 20 DSGVO – des Rechts auf „Datenportabilität“ – nicht auf die Situation des Arbeitgeberwechsels passen. Kein Arbeitnehmer dürfte ernsthaft darauf angewiesen sein, eine Zeugniskopie aus dem Personalinformationssystem seines Vorarbeitgebers in maschinenlesbarem Format transferieren zu lassen, sondern wird die entsprechenden Daten im Zweifel selbst verfügbar halten. Anderes würde vielleicht für Auswertungen von Leistung und Verhalten gelten – die aber gerade nicht vom Recht auf Datenübertragbarkeit erfasst sind, und an deren Übermittlung der durchschnittlich begabte Arbeitnehmer regelmäßig auch kein gesteigertes Interesse haben dürfte.

Praktisch führt der neue Anspruch daher weder für Arbeitnehmer zu einem spürbaren Mehrwert, noch scheint er für neue Arbeitgeber von echtem Interesse zu sein: Es dürfte leichter sein, sich die Daten beim neuen Arbeitnehmer direkt zu beschaffen, als vom Altarbeitgeber ein ggf. inkompatibles Format importieren zu müssen.

Es hilft nicht, die Praxis der Personalabteilungen wird sich gleichwohl mit dem neuen Instrument beschäftigen müssen. Folgende Handlungsempfehlungen sollten dabei beachtet werden:

  1. Der Arbeitnehmer ist über das Bestehen seines Rechts auf „Datenportabilität“ aus Art. 20 DSGVO zu informieren – wie auch über seine Rechte auf Auskunft und Löschung (als allgemeine Pflicht aus Art. 12 DSGVO);
  2. Die zu übermittelnde Daten sind in einem möglichst leicht weiterzuverarbeitenden Format bereitzustellen (die W29-Gruppe nennt hier als Beispiele Formate wie XML, JSON und CSV);
  3. Sieht sich der Arbeitgeber mit den oben aufgeführten Ansprüchen konfrontiert, sind die Begehren einer sorgsamen Prüfung zu unterziehen, ob und inwieweit der Arbeitgeber diesem Verlangen nachzukommen hat.
  4. Anstellungsverträge sollten darauf überprüft werden, ob sie eine Regelung bezüglich des Urheberrechts an Arbeitsergebnissen enthalten. Ratsam ist es, eine Klausel aufzunehmen, die Schreiben und sonstige Arbeitsergebnisse mit schutzwürdiger Schöpfungshöhe dem Arbeitgeber zuordnen, damit jedenfalls dieser Bereich zweifelsohne der Datenportabilität entzogen ist.

 

RA/FAArb Dr. Philipp Wiesenecker,
Partner bei GvW Graf von Westphalen
(Büro Frankfurt)

Zum Autorenprofil einschließlich den Kontaktmöglichkeiten zum Autor in den sozialen Medien

RA Michael Herold, M.C.L.,
Rechtsanwalt bei GvW Graf von Westphalen
(Büro Frankfurt)

 

Unter Mitwirkung von Julia Beckmann, wiss. MA, und Michael Herold M.C.L., RA bei GvW Graf von Westphalen.

 

Kategorien: #EFAR-Beiträge Tags: Datenschutz

  • Dr. Philipp Wiesenecker

    RA/FAArb, Partner bei GvW Graf von Westphalen (Büro Frankfurt) #EFAR - Profil #EFAR - Fokusseite LinkedIn Xing

Ähnliche Beiträge

Betriebsrat
31. März 2022 - Tobias Neufeld, LL.M.

Betriebsrat: Datenschutzrechtliche Stellung und Pflichten nach der Betriebsverfassung, DSGVO und BDSG

Die datenschutzrechtliche Stellung des Betriebsrats und die daraus resultierenden Pflichten waren und sind auch nach der Einführung des § 79a BetrVG in der Diskussion. Zum aktuellen Stand eine Beitragsreihe mit Handlungsempfehlungen.
Lesen
Datenschutz
2. März 2022 - Dr. Philipp Wiesenecker

Beschäftigtendatenschutz: Vorschlag des DGB

Der DGB hat einen Entwurf für ein Beschäftigtendatenschutzgesetz vorgelegt. Was ist dort im Detail geplant und wie ist dies zu bewerten?
Lesen
Compliance
24. Februar 2022 - Sebastian Laoutoumai, LL.M.

Wann haften Geschäftsführer persönlich für DSGVO-Verstöße?

Haften Geschäftsführer persönlich für Datenschutzverstöße der GmbH? Zu dieser wichtigen Frage hat das OLG Dresden jüngst eine überraschende Entscheidung getroffen.
Lesen

Primary Sidebar

Mehr Informationen

  • Anzeige schalten
  • #EFAR-Beiträge
  • #EFAR-News
  • ArbeitsRecht kurios
  • Live–Log
  • #EFAR-Stellenmarkt
  • #EFAR–Autoren
  • #EFAR–Fokusseiten
Anzeige

#EFAR–Fokusseiten

Dynamische Profilseiten namhafter Kanzleien mit Fokus Arbeitsrecht

Aktuelle Beiträge

  • Kündigungsgrund gefälschter Genesenennachweis
  • Kein Versand von Gewerkschaftsinformationen per E-Mail
  • Unwirksame Rückzahlungsklausel in Fortbildungsvereinbarung
  • Corona-Arbeitsschutzverordnung wird nicht verlängert
  • Massenentlassungsanzeige – Fehlen der sog. Soll-Angaben

#EFAR – Jobs

  • Küttner Arbeitsrechtler (m/w/d) mit Berufserfahrung Köln
  • DLR Volljuristin oder Volljurist (w/m/d) Bonn - Bad Godesberg
  • Hays Volljurist/ Inhouse Counsel (m/w/d) Mannheim
  • ADVANT Beiten RECHTSANWÄLTE MIT BERUFSERFAHRUNG (W/M/D) FÜR DEN BEREICH ARBEITSRECHT MÜNCHEN

#EFAR – Newsletter

* indicates required

Vorherige Kampagnen ansehen.

Sie können sich jederzeit abmelden, indem Sie auf den Link in der Fußzeile unserer E-Mails klicken. Informationen zu unseren Datenschutzpraktiken finden Sie auf unserer Website.

Footer

Das #EFAR in den sozialen Medien
  • Über das #EFAR
  • Datenschutz
  • Haftungsauschluss
  • Mediadaten
  • Kontakt
  • Impressum
Blogverzeichnis - Bloggerei.de Cookie Einstellungen

Handcrafted with by Jung und Wild design.