Impfen & Testen: Welche Daten dürfen Arbeitgeber erheben und verarbeiten?

Stand: 01.10.2021 Auch über ein Jahr nach Beginn der Corona-Pandemie stellt die Einhaltung der Hygieneschutzvorschriften Arbeitgeber im Betriebsalltag sowie in der Mitarbeiterorganisation immer wieder vor Herausforderungen. Nun kommen mit Fortschritten und Änderungen in Bezug auf die Durchführung von Corona-Impfungen und Schnell-/Selbsttest neue Anforderungen hinzu – auch aus Sicht des Datenschutzes. Mit Inkrafttreten der zweiten Verordnung zur Änderung der SARS-CoV-2-Arbeitsschutzverordnung sind Arbeitgeber seit Mitte April 2021 dazu verpflichtet, ihren Mitarbeitern, die nicht im Homeoffice arbeiten, mindestens einmal pro Woche einen Corona-Test anzubieten. Nach der dritten Verordnung zur Änderung der SARS-CoV-2-Arbeitsschutzverordnung wurde die Zahl der anzubietenden Tests Ende April auf zwei Stück pro Woche erhöht. Nur in Ausnahmefällen sind Arbeitgeber nicht verpflichtet, ein solches Testangebot bereitzustellen, die Maßnahmen gelten aktuell bis 24.11.2021. Die Teilnahme an den [...]

Schwere Missachtung des Beschäftigten-Datenschutzes: 35 Millionen € Bußgeld

Ende Januar 2020 eröffnete der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gegen die bekannte Modekette H&M ein Bußgeldverfahren wegen Verstöße gegen den Beschäftigtendatenschutz. Nach umfangreichen Ermittlungen verhängte er nun gegen das Modehaus wegen der jahrelangen schwerwiegenden strukturellen Missachtung des Beschäftigtendatenschutzes das bisher höchste deutsche Bußgeld in Höhe von über 35 Millionen Euro. Das Wichtigste in Kürze Mitarbeiter des Unternehmens am Standort Nürnberg sammelten bei Gesprächen mit ihren Angestellten in großem Umfang private Informationen über diese. Die umfangreichen Datensätze mit detaillierten Informationen zum Gesundheitszustand und Beziehungsleben der Mitarbeiter existierten spätestens seit 2014 und waren bis zu deren Entdeckung im Oktober 2019 bis zu 50 Führungskräften zugänglich. Die betroffenen Mitarbeiter hatten keine Kenntnis davon, dass diese Daten gesammelt wurden. Durch einen Konfigurationsfehler war der Ordner im [...]

Urteil Schrems gegen Facebook – EuGH erklärt US-Privacy-Shield für ungültig

Die Social-Media-Plattform Facebook steht wegen ihrer Datenschutzpolitik und dem Umgang mit den persönlichen Daten ihrer User immer wieder in Kritik. Fast schon regelmäßig laufen gegen das Unternehmen Bußgeld- sowie Gerichtsverfahren und es wurden bereits mehrere Strafen gegen den Internetriesen verhängt. Mehr als einmal endeten Rechtsstreitigkeiten mit Facebook vor dem Europäischen Gerichtshof (EuGH). Gegenstand des neuesten Gerichtsverfahrens gegen Facebook – genauer gesagt gegen die europäische Tochtergesellschaft Facebook Ireland Limited – war die Übermittlung personenbezogener Daten von Nutzern der Plattform auf Server in den Vereinigten Staaten von Amerika (USA) und die dortige Verarbeitung durch die Konzernmutter Facebook Inc. Die Entscheidung des EuGH hat erhebliche Auswirkung für die Datenübermittlung in die USA, denn der Gerichtshof erklärte das sog. US-Privacy-Shield für ungültig. Hintergrund Die irische Tochtergesellschaft Facebook Ireland [...]

Gewinnspieldaten für Werbezwecke genutzt: 1,2 Millionen Bußgeld

Das Wichtigste in Kürze: Eine Krankenkasse in Baden-Württemberg veranstaltete von 2015 bis 2019 mehrere Gewinnspiele. Dabei wurden die klassischen Informationen der Teilnehmer erfasst. Die personenbezogenen Daten wurden später für Werbezwecke verwendet. Die Krankenkasse nutzte dabei auch personenbezogene Daten von Personen, von denen keine Einwilligung vorlag. Der Landesdatenschutzbeauftragte verhängte ein Bußgeld von 1,2 Millionen Euro. Ziel der Aufsichtsbehörde sei es nach Herrn Brink aber nicht, besonders hohe Bußgelder zu verhängen, sondern ein besonders gutes und angemessenes Datenschutzniveau zu gewährleisten. Die Aufsichtsbehörde betonte, dass der Datenschutz eine Daueraufgabe sei. Wirksamer Datenschutz erfordere daher regelmäßige Kontrollen und Anpassungen. Der Fall im Detail Eine Krankenkasse in Baden-Württemberg veranstaltete von 2015 bis 2019 eine Reihe von Gewinnspielen, um damit fleißig persönliche Informationen der Teilnehmer – wie bspw. Kontaktdaten oder [...]

Frankreich: Bußgeld wegen unangemessener Informationen im CRM-System

Systeme zum Customer-Relationship-Management (CRM) sind für die meisten Unternehmen heute gar nicht mehr wegzudenken. Das Angebot an CRM-Software ist vielfältig und die Funktionen der Systeme werden stets verbessert und ausgebaut. Was bei vielen Produkten und bei der Arbeit mit CRM-Systemen allerdings nur wenig oder gar nicht beachtet wird, ist der Datenschutz. Die datenschutzrechtlichen Vorgaben sind nämlich nicht nur mit einem gewissen technischen und arbeitsintensiven Aufwand verbunden, sie widersprechen zum Teil auch den Zielen der Unternehmen. Aus Sicht der Unternehmen sollen nämlich möglichst viele Informationen über die eigenen Kunden und die Kundenhistorie an einer Stelle gesammelt werden und bei Bedarf abrufbar sein. Das gilt nicht nur für Kontaktdaten oder Angaben mit Bezug auf die Geschäftsbeziehung. In vielen Fällen werden auch über die Dauer des Geschäftsverhältnisses [...]

Personenbezogene Daten – Dreh- und Angelpunkt des Datenschutzes

Die DS-GVO regelt die Verarbeitung von personenbezogenen Daten. Die Vorschriften der DS-GVO sind daher immer dann zu beachten, wenn im Unternehmen personenbezogene Daten verarbeitet werden. Das personenbezogene Datum gehört damit zu den wichtigsten Begriffen der DS-GVO, denn es legt sozusagen das Spielfeld für den Datenschutz fest. Wenn man sich mit dem Datenschutz beschäftigt, muss man also als Erstes klären, welche Daten im Unternehmen personenbezogen sind und welche nicht. Gesetzliche Definition der personenbezogenen Daten Die DS-GVO enthält in Art. 4 eine ganze Reihe von Definitionen für die wichtigsten datenschutzrechtlichen Begriffe. Hierzu gehört auch der Begriff personenbezogenes Datum, der als Dreh- und Angelpunkt der DS-GVO gleich in Nr. 1 des Artikels wie folgt definiert wird: Der Begriff personenbezogene Daten bezeichnet im Sinne dieser Verordnung „alle Informationen, [...]

Nach oben