DSGVO: Wie Sie mit den persönlichen Daten Ihrer Mitarbeiter, Freiberufler und europäischen Kontrahenten arbeiten

Der Artikel ist eine kurze Zusammenfassung und meine Auslegung der Bestimmungen der DSGVO-Verordnung („die Verordnung“) in Verbindung mit der Stellungnahme 2/2017 zur Datenverarbeitung bei der Arbeit vom 06.08.2017. Es richtet sich an Unternehmen mit vollwertigen Büros oder Remote-Mitarbeitern und / oder Freiberuflern in den EU-Ländern sowie an Auftragnehmer (Partner) mit europäischen Mitarbeitern, deren Daten Sie bei der Arbeit an gemeinsamen Projekten erhalten können.

Wir analysieren die Probleme bei der Verarbeitung personenbezogener Daten bei der Einstellung (Einstellung) von Mitarbeitern und schließen Vereinbarungen mit Freiberuflern oder Geschäftspartnern. Überwachung der Mitarbeiter am Arbeitsplatz und aus der Ferne, auch durch automatische Datenerfassungssysteme.

Die Schlussfolgerung wurde vor dem Datum des Inkrafttretens der Verordnung gezogen und basiert auf der Richtlinie 95/46 / EG vom 24.10.2005. Es berücksichtigt jedoch die Bestimmungen der DSGVO.

Der Einfachheit halber und wenn dies nicht dem Kontext widerspricht, werden Mitarbeiter, Freiberufler und Kontrahenten gemeinsam als „Mitarbeiter“ bezeichnet.

Stellen Sie sicher, dass Sie einen Grund haben, Mitarbeiterdaten zu verarbeiten

Die Verarbeitung personenbezogener Daten von Mitarbeitern erfolgt in der Regel mindestens aus einem der folgenden Gründe:

• persönliche Zustimmung;
• die Notwendigkeit, die gesetzlichen Anforderungen einzuhalten (normalerweise Arbeitsrecht oder Geldwäsche / Terrorismusfinanzierung bei Zahlungen);
• die Notwendigkeit, eine bereits geschlossene Vereinbarung zu erfüllen, oder die Notwendigkeit, eine Vereinbarung auf Anfrage des Inhabers personenbezogener Daten abzuschließen;
• das Vorhandensein eines berechtigten Interesses an Ihrem Unternehmen an einer solchen Verarbeitung.

Die Verarbeitung auf der Grundlage der gesetzlichen Anforderungen wird außerhalb des Geltungsbereichs des Artikels belassen. Wir werden auch nicht auf die persönliche Zustimmung eingehen. Wie bereits im vorherigen Artikel erwähnt, ist die Zustimmung zur Verarbeitung von Daten zur DSGVO: Eine detaillierte Analyse , die Verarbeitung personenbezogener Daten von Mitarbeitern auf der Grundlage ihrer persönlichen Zustimmung, eine schwierige Option. Es besteht immer das Risiko, dass die Einwilligung irgendwo falsch erstellt und als nicht frei anerkannt wird und Ihr Unternehmen gegen die DSGVO-Regeln verstößt.

Im Verhältnis zu den Mitarbeitern ist die Verarbeitung personenbezogener Daten aufgrund der geschlossenen Vereinbarungen zuverlässiger. Wenn alle Verarbeitungsprobleme in Verträgen technisch schwierig oder unpraktisch zu beheben sind, müssen Sie sich verantwortungsbewusst mit der Rechtfertigung des berechtigten Interesses Ihres Unternehmens an einer solchen Verarbeitung befassen.

Überlegen Sie, welche Bedingungen und wie Sie in Arbeits- oder Handelsverträgen formulieren, damit Sie personenbezogene Daten gemäß der DSGVO verarbeiten können. (Da die Verarbeitung auf der Grundlage eines berechtigten Interesses sowie die Verarbeitung auf der Grundlage eines Vertrags ebenfalls dokumentiert werden muss und in vielerlei Hinsicht mit letzterem übereinstimmt, werden wir dies nicht separat betrachten.)

Wir geben den vollständigen Wortlaut von Artikel 6 Absatz 1 Buchstabe b der Verordnung (Übersetzung aus dem Englischen) an: „Die Verarbeitung ist erforderlich, um den Vertrag auszuführen, an dem der Dateneigentümer beteiligt ist, oder um auf Antrag des Eigentümers personenbezogener Daten vor Abschluss des Vertrags Maßnahmen zu ergreifen .“

Aus diesem Wortlaut folgt eine Reihe von verbindlichen Elementen.

Der Bedarf an Daten aus dem Vertrag

Gemäß Paragraph 44 der Präambel der Geschäftsordnung ist die Verarbeitung gegebenenfalls im Rahmen des Vertrags oder der Absicht, ihn abzuschließen, rechtmäßig. Wir betrachten also den Kontext des Vertrags selbst. In Schlussfolgerung 2/2017 wird empfohlen, in solchen Fällen einen Verhältnismäßigkeitstest durchzuführen, um zu beurteilen, ob eine Verarbeitung erforderlich ist, um ein legitimes Ziel zu erreichen (insbesondere um einen Vertrag auszuführen oder abzuschließen), und welche Maßnahmen ergriffen werden sollten, um die Beeinträchtigung der Privatsphäre zu verringern auf ein Minimum.

Die Verordnung entschlüsselt nicht, was eine "Verhältnismäßigkeitsprüfung" beinhaltet. Schlussfolgerung 2/2017 enthält nur den Vorbehalt, dass ein solcher Test Teil des DPIA- Verfahrens werden kann. Im DPIA-Verfahren selbst wird die Verhältnismäßigkeit der Verarbeitung anhand vieler Kriterien beschrieben, denen das Controller-Unternehmen folgen muss. Meiner Meinung nach sind die wichtigsten:

• Angemessenheit der verarbeiteten Daten für die Verarbeitungszwecke;
• Die Verarbeitungsziele selbst müssen spezifisch und explizit sein.

Folglich impliziert die Verhältnismäßigkeitsprüfung nicht nur die Notwendigkeit, im Vertrag die Verpflichtung zur Bereitstellung einiger personenbezogener Daten für die Verarbeitung festzulegen oder den Dateneigentümer vor Abschluss des Vertrags über eine solche Pflicht zu informieren. Die vertraglichen Verpflichtungen des Arbeitnehmers, auf deren Grundlage die Daten erhoben werden, müssen sich unmittelbar aus der Art seiner künftigen Arbeit oder den Merkmalen des Projekts ergeben, an dem er beteiligt sein wird. Die vertraglichen Verpflichtungen sollten die Verarbeitung nur der minimal erforderlichen personenbezogenen Daten unter Bezugnahme auf ein bestimmtes Verarbeitungsziel vorsehen, das sehr klar und klar formuliert ist.

Beispiel A : Es ist sinnvoll, einen PR-Spezialisten oder Kundendienstmanager zu verpflichten, Ihr Foto zur Veröffentlichung auf der Website Ihres Unternehmens einzureichen. Dies kann durch die Merkmale der Arbeit dieser Mitarbeiter gerechtfertigt werden, wenn das Aussehen eine psychologische Rolle bei der Förderung der Interessen des Unternehmens und des Umsatzwachstums spielt. Im Gegenteil, es ist kaum erforderlich, Fotos von Entwicklern, die an Rallyes teilnehmen, per Sprache zu fordern und an Kunden zu senden (oder öffentlich zu veröffentlichen), auch ohne Webcam, und von ihnen wird nie mehr verlangt.

Ich denke, es wird unverhältnismäßig sein, die Bedingung für die Kontaktdaten im Vertrag wie folgt zu formulieren:

Beispiel B : „Kontaktdaten der Mitarbeiter: ... E-Mail zum Senden eines Stellenangebots, eines Arbeitsvertrags oder von Informationsmaterialien / UNTERNEHMEN /“. Die Ausrichtung von „Informationsmaterialien“ ist eindeutig ein unnötiges Ziel für die Erfüllung eines Arbeitsvertrags und impliziert auch die Verbreitung von Werbung. Wenn Sie jedoch etwas anders schreiben: „Benachrichtigungen über Änderungen des Arbeitsplans, Informationen über die freien Tage usw.“, ist dies ein klar ausgedrücktes, spezifisches Ziel, und die Verwendung von E-Mail ist angemessen.

(Natürlich ist es auch nicht akzeptabel, einfach eine „E-Mail“ anzugeben und diese dann zum Versenden von Marketingmaterialien zu verwenden.)

Beispiel C : Ihr Unternehmen arbeitet als Agent und fördert die Dienste derselben Entwickler auf internationalen Märkten. Da die Platzierung des Fotos auf die Besonderheiten der Zusammenarbeit mit Kunden zurückzuführen ist und diese das Bild / psychologische Porträt des Entwicklers bewerten müssen, bevor sie eine Entscheidung über die Einstellung treffen, kann die Platzierung des Fotos gerechtfertigt sein .

(Vergessen Sie nicht, den Entwickler vor der Verwendung des Fotos zu warnen, bevor Sie eine Vereinbarung mit ihm abschließen. Es wird auch empfohlen, dass Entwickler, die nicht einverstanden sind, ihr Foto im Profil anzugeben, weiterhin die Möglichkeit bieten, die Dienste Ihres Unternehmens zu nutzen, auch wenn die Effektivität der Einstellung aufgrund des Mangels an Einstellungen abgenommen hat Foto).

Beispiel D : Ihr Mitarbeiter (z. B. ein Systemadministrator) arbeitet mit Servern, die umfangreiche und hoch ausgelastete Anwendungen bedienen, und sollte 24 Stunden am Tag verfügbar sein (es sei denn, Sie erfüllen natürlich auch die arbeitsrechtlichen Anforderungen für eine angemessene Bezahlung dieser Mitarbeiter). Sie können im Vertrag eine Bedingung für Anrufe an seine persönliche Telefonnummer im Notfall festlegen. Im Gegenteil, wenn ein Mitarbeiter außerhalb der Geschäftszeiten nicht benötigt wird, ist es besser, keine persönliche Telefonnummer zu verwenden (auch wenn Sie ihn kennen).

Und ein Beispiel aus Schlussfolgerung 2/201 7: Das Zustellunternehmen ist nicht berechtigt, Kurierfotos an Kunden zu senden (um zu überprüfen, ob es sich tatsächlich um einen Kurier handelt), da für die Zustellung von Paketen keine Fotos übertragen werden müssen.

WICHTIG! Die Verhältnismäßigkeitsprüfung wird nicht nur bei der Vorbereitung von Verträgen empfohlen, sondern auch bei der Bearbeitung aus anderen Gründen . Zum Beispiel durch Einholung einer Zustimmung (Artikel 6 Absatz 1 Buchstabe a) oder zur Wahrung der berechtigten Interessen Ihres Unternehmens (Artikel 6 Absatz 1 Buchstabe f der Geschäftsordnung).

Unabhängig von der Notwendigkeit, personenbezogene Daten in Ihrem Unternehmen zu sammeln, stellen Sie sich immer die Frage: Benötigen Sie diese Daten wirklich? Auch wenn es Ihrem Mitarbeiter nichts ausmacht, sie Ihnen zu geben. Denken Sie daran, dass Ihr Mitarbeiter zunächst aus Sicht der DSGVO als gefährdete Seite des Arbeitsverhältnisses angesehen wird und seine Zustimmung a priori nicht frei ist. Daher liegt die Aufgabe, eine minimale Beeinträchtigung der Privatsphäre (auch im Rahmen von Verträgen mit Mitarbeitern) sicherzustellen, bei Ihrem Unternehmen und nicht bei einem Mitarbeiter.

Darüber hinaus empfehle ich Ihnen, die Anforderungen der Aufsichtsbehörde zum Schutz personenbezogener Daten in Ihrem Unternehmen zu studieren. In Zypern, dem jüngsten Standort für die Verlagerung von IT- und Fintech-Unternehmen aus Russland und anderen GUS-Ländern, muss beispielsweise das DPIA-Verfahren angewendet werden, wenn eine systematische Überwachung der Mitarbeiteraktivitäten durchgeführt wird, einschließlich der Überwachung von Jobs, Internetaktivitäten oder der Verwendung von GPS an Arbeitnehmerfahrzeugen .

Der Dateneigentümer muss Vertragspartei sein

Hier scheint alles offensichtlich zu sein. Es gibt jedoch einen subtilen Punkt, auf den nur wenige Menschen achten. Dies ist die Verarbeitung personenbezogener Daten von Mitarbeitern Ihrer Partner (Kunden, Auftragnehmer, Vermittler usw.), bei denen eine rechtliche Lücke besteht.

Ihr Unternehmen hat keinen Vertrag mit Mitarbeitern Ihrer Partner. Und selbst die Zustimmung zur Verarbeitung von Daten funktioniert meistens nicht auf Anfrage. Ja, solche Personen sind Mitarbeiter Ihres Partners (obwohl es sich möglicherweise um Freiberufler und sogar um Mitarbeiter von Dritten handelt). Und es ist logisch anzunehmen, dass Sie, da sie für ihn arbeiten, im Rahmen des Vertrags mit Ihrem Partner bereits zugestimmt haben, Ihre Daten an Sie zu übertragen. Aber das ist nicht so.

Sie wissen nicht, wie gut Ihr Partner alle Dokumente im Rahmen der DSGVO ausgefüllt hat. Ob die Zustimmung von seinem Mitarbeiter erhalten wurde und ob sie frei gegeben wurde oder ob die Verarbeitung personenbezogener Daten in einer Vereinbarung mit einem solchen Mitarbeiter vereinbart wurde. Ich bezweifle sehr, dass Sie sich in dieser Angelegenheit voll und ganz auf Ihren Partner verlassen können. Nachdem Ihr Unternehmen die Daten seiner Mitarbeiter erhalten hat, wird es zumindest zu einem Verarbeiter, d. H. Verarbeitung personenbezogener Daten im Namen und im Namen des für die Verarbeitung Verantwortlichen. Und um eine Haftung für Verstöße gegen die DSGVO zu vermeiden, muss Ihr Verarbeitungsunternehmen zumindest auf der Grundlage der gesetzlichen Anweisungen Ihres Partners handeln.

Ihr Unternehmen ist nur dann ein Verarbeiter, wenn es aufgrund einer Vereinbarung mit Ihrem Partner klar vereinbarte personenbezogene Daten seiner Mitarbeiter (z. B. Name und Kontakte) erhält und diese nur für klar festgelegte Zwecke verwendet; Zum Beispiel Kommunikation per Telefon, E-Mail oder Instant Messenger während der Arbeit an einem Projekt. Wenn Sie sich plötzlich dazu entschließen, solchen Mitarbeitern einen Marketing-Newsletter oder ein Stellenangebot zu senden, fallen die automatischen mit zunehmender Verantwortung in die Kategorie „Controller“. Da Sie selbst bereits beginnen, die Ziele und Methoden der Verarbeitung personenbezogener Daten festzulegen.

In solchen Situationen würde ich empfehlen, dass Sie in jeden Vertrag mit Ihren Partnern eine separate Klausel aufnehmen, nach der die Gegenpartei garantiert, dass sie alle Regeln für die Arbeit mit den personenbezogenen Daten ihrer Mitarbeiter oder verbundenen Parteien einhält, die für sie am Geschäftssitz gelten können, einschließlich Ihr Unternehmen von jeglichen Ansprüchen, Ansprüchen, die mit Verstößen gegen geltendes Recht bei der Übermittlung von Daten an Sie verbunden sein können, und garantiert eine unabhängige Entschädigung für Schäden in solchen Ansprüchen und Ansprüchen. Die klassische Klausel über Freistellung und Freistellung, jedoch nur in Bezug auf personenbezogene Daten.

In der Praxis möchten die Anwälte Ihres Partners diese Klausel höchstwahrscheinlich löschen, sobald Sie eine Klausel zur Befreiung von der Haftung in den Vertrag aufnehmen. Wie man ist

Nehmen Sie die Übermittlung personenbezogener Daten gemäß den Bestimmungen der Regeln vor, und es wird für Ihren Partner schwierig sein, dem nicht zuzustimmen.

Für verarbeitende Unternehmen, die Daten von ihren Partnern (für die Verarbeitung Verantwortlichen) erhalten, enthält die Verordnung (Artikel 28 Absatz 3) verbindliche Anforderungen an den Vertragsinhalt in Bezug auf die übertragenen Daten. Insbesondere müssen Sie angeben, welche Daten (Kategorien), zu welchen Zwecken und wie lange an Ihr Unternehmen übertragen werden und vieles mehr. Wenn die personenbezogenen Daten von Ihrem Unternehmen weiter an den neuen Verarbeiter übertragen werden, müssen identische Verpflichtungen mit diesem koordiniert werden.

Wenn die gemeinsame Arbeit an dem Projekt die Übermittlung personenbezogener Daten außerhalb der Europäischen Union an Drittländer ohne ein angemessenes Maß an Schutz personenbezogener Daten zusammen mit dem geschlossenen Vertrag umfasst, müssen die Standardvertragsklauseln zum Schutz personenbezogener Daten erstellt und unterzeichnet werden (Artikel 46 Absatz 1 Nummer 2) ) (c) der Verordnung). Auch wenn der Partner ein solches Dokument nicht benötigt, ist es besser, eine vorgefertigte Vorlage zu haben und darauf zu bestehen, diese zu unterzeichnen, wenn Daten an europäische Mitarbeiter übertragen werden. Dadurch wird das Haftungsrisiko für die Verarbeitung personenbezogener Daten unter Verstoß gegen die DSGVO erheblich verringert.

Standardbedingungen, die von der Europäischen Kommission auf der Grundlage der Richtlinie 95/46 / EG für Verarbeiter entwickelt und genehmigt wurden, finden Sie hier . Dort finden Sie auch Standardbedingungen für Steuerungen.

Ergreifen der erforderlichen Maßnahmen vor Abschluss einer Vereinbarung auf Anfrage des Inhabers personenbezogener Daten

Es sollte eine klare Beziehung bestehen: Ereignisse werden in Bezug auf den Eigentümer der Daten abgehalten, und er selbst gibt die Erlaubnis für deren Implementierung in der Anfrage.

Beispiel : Überprüfung der Kriminalgeschichte eines Kandidaten, wenn seine Position die Arbeit mit Daten mit erhöhter Geheimhaltung beinhaltet und ohne Überprüfung keine Einladung zur Arbeit möglich ist. Gleichzeitig informiert der Arbeitgeber den Bewerber im Voraus in der Stellenbeschreibung über die Notwendigkeit, die Überprüfung einiger krimineller Tatsachen in seiner Biografie zu bestehen. Und der Kandidat bestätigt durch Senden seines Lebenslaufs oder auf andere Weise, dass er einer solchen Prüfung zustimmt .

Um eine berechtigte Anfrage eines Kandidaten für die Verarbeitung seiner Daten korrekt zu bilden, ist es erforderlich, dem Kandidaten die maximal erforderlichen Informationen über die zukünftige Verarbeitung bereitzustellen, einschließlich Methoden, um Entscheidungen über seine Ergebnisse zu treffen. (Weitere Informationen finden Sie in der folgenden Vorgehensweise: Erst informieren, dann verarbeiten .

Freiberufler: Sind sie auch Arbeiter?

In Schlussfolgerung 2/2017 wird unter den Arbeitnehmern empfohlen, nicht nur diejenigen zu berücksichtigen, die im Rahmen eines Arbeitsvertrags arbeiten, sondern auch Freiberufler, wenn die Beziehungen zu ihnen arbeitsrechtlicher Natur sind. Hier gibt es eine Schwierigkeit.

Was bedeutet „Arbeitsbeziehungen“ zu Freiberuflern im Sinne der DSGVO? Schlussfolgerung 2/2017 gibt keine Antwort auf diese Frage. Ich denke, wir müssen uns den Kontext ansehen, in dem Mitarbeiter in den Verordnungen erwähnt werden. Dies ist ein a priori Nachteil für den Arbeitgeber, wenn er die Bereitstellung seiner Daten nicht verweigern kann, ohne das Risiko, keinen Arbeitsplatz zu bekommen oder zu verlieren, oder andere negative Folgen. Wenn Sie dieser Logik folgen, kann ein Freiberufler in Situationen, in denen Ihr Unternehmen seine einzige Auftragsquelle ist, mit einem Mitarbeiter gleichgesetzt werden. Wenn der Anteil der Bestellungen (und Zahlungen) Ihres Unternehmens gering ist und der Freiberufler entscheiden kann, ob und unter welchen Bedingungen er mit Ihnen zusammenarbeiten möchte, hat er mehr Entscheidungsfreiheit in Bezug auf seine persönlichen Daten. In diesem Fall kann er als unabhängiger Unternehmer und nicht als Angestellter betrachtet werden.

In jedem Fall sollten Sie auf die Entwicklung der Praxis der Anwendung der DSGVO oder die Offenlegung dieses Problems in der sogenannten warten „Soft Laws“ der Europäischen Union: Schlussfolgerungen und Empfehlungen sowie in der nationalen Gesetzgebung.

Wir folgen dem Verfahren: zuerst - informieren, dann - verarbeiten

Der Dateneigentümer muss vor der Verarbeitung informiert werden. Dies ist eine allgemeine Anforderung von Artikel 13 der Geschäftsordnung. In jedem Einzelfall (Verarbeitung im Rahmen des Vertrags oder vor dessen Abschluss) sowie ohne Vertrag, aber wenn Ihr Unternehmen ein berechtigtes Interesse hat, sollte der Dateneigentümer die erforderlichen Mindestinformationen erhalten.

Bei Mitarbeitern erfolgt diese Information am besten gleichzeitig mit der Platzierung der Anforderungen an einen Kandidaten für eine freie Stelle. Wenn ein Handelsvertrag mit einem Freiberufler abgeschlossen wird, müssen Sie dies vor Abschluss des Vertrags oder im Extremfall gleichzeitig mit dessen Unterzeichnung mitteilen. Zusammen mit anderen in Artikel 13 der Geschäftsordnung aufgeführten Informationen muss angegeben werden, ob die Bereitstellung personenbezogener Daten in den Pflichten des künftigen Arbeitnehmers enthalten ist und welche Konsequenzen dies haben kann, wenn er sich weigert, diese bereitzustellen.

Vergessen Sie nicht, dass die Form der Kommunikation so einfach und zugänglich wie möglich sein sollte. Nehmen Sie diese Informationen nicht in den Text des Hauptvertrags auf, da sie verloren gehen können. Machen Sie in Form des separaten Dokuments besser aus. Es ist ratsam, ein solches Dokument vor dem Datum der Unterzeichnung des Hauptvertrags zu datieren.


Dies waren allgemeine Anforderungen für die Verarbeitung personenbezogener Daten auf der Grundlage eines Vertrags im Zusammenhang mit der Notwendigkeit, einen Vertrag auf Antrag des Dateneigentümers oder bei Vorliegen eines berechtigten Interesses abzuschließen. Als nächstes betrachten wir kurz die Verarbeitung personenbezogener Daten bei der Einstellung von Mitarbeitern, die Überwachung von Mitarbeitern am Arbeitsplatz und aus der Ferne sowie die Überwachung der Anwesenheitszeit am Arbeitsplatz und / oder der aufgewendeten Zeit.

Datenverarbeitung bei der Einstellung (Einstellung) von Mitarbeitern

Personalvermittler sehen sich gerne Profile von Kandidaten in sozialen Netzwerken an. Einige fragen sogar nach Verweisen auf sie in Profilen oder in Lebensläufen. Wenn Sie Daten aus sozialen Netzwerken Ihres Unternehmens sammeln, müssen Sie herausfinden, ob diese Profile für den persönlichen Gebrauch oder für geschäftliche Zwecke bestimmt sind. Der Schlüssel hier ist die Verwendung. Beachten Sie, dass selbst öffentlich zugängliche Profile nicht für die Rekrutierung und Bewertung eines Bewerbers verwendet werden können, wenn dies nicht in direktem Zusammenhang mit der zukünftigen Funktion des Bewerbers in Ihrem Unternehmen oder Projekt steht.

Beispiel : , . - , , . . , , .

Soziale Netzwerke

Eine allgemeine Überwachung der Daten ehemaliger Mitarbeiter anhand von Profilen in sozialen Netzwerken ist normalerweise nicht akzeptabel. (Eine solche Überwachung kann durchgeführt werden, um festzustellen, ob der ehemalige Mitarbeiter die Bedingung des Verbots, für einige Zeit zur Arbeit mit Wettbewerbern zu wechseln, nicht verletzt hat.) Wenn der Arbeitgeber jedoch nachweist, dass diese Informationen nur durch Anzeigen von Profilen abgerufen werden können, kann das Sammeln von Daten aus sozialen Netzwerken als zulässig anerkannt werden. Hierbei ist auch die Bedingung zu beachten, dass der Mitarbeiter im Voraus über die laufende Überwachung informiert werden muss.

Offensichtlich ist es besser, vor Beendigung des Vertrages (und im Idealfall vor dessen Abschluss) über die Überwachung zu informieren. Andernfalls ist es sehr wahrscheinlich, dass der Mitarbeiter nach Erhalt einer Benachrichtigung einfach alle Informationen und Kontakte löscht, die ihn gefährden.

Es ist nicht gestattet, Mitarbeiter zu zwingen, nur das mit dem Arbeitgeber verknüpfte Profil in sozialen Netzwerken zu verwenden . Selbst wenn eine solche Verpflichtung durch die Merkmale ihrer Arbeit vorgesehen ist (z. B. ein Vertreter des PR-Dienstes, ein Sprecher, ein Kundendienstmanager usw.). In jedem Fall sollten diese Mitarbeiter die Möglichkeit behalten, ein persönliches, nicht öffentliches Profil zu verwenden.

Installation von Tools (Systemen, Anwendungen) zur elektronischen Datenverarbeitung auf netzwerkfähigen Computern

Wir sprechen von Systemen und Anwendungen, die in der einen oder anderen Form personenbezogene Daten erfassen und an den Arbeitgeber oder Dritte weitergeben. Die Installation bedarf der Einwilligung des Mitarbeiters. Selbst unabhängige Aktionen eines Mitarbeiters zur Aktivierung der Anwendung auf seinem Arbeitscomputer oder zur Bereitstellung des Zugriffs für die Remote-Installation des Systems mit den Standardeinstellungen gelten nicht als Ausdruck der Zustimmung zur Installation. Da die Zustimmung durch die aktiven Aktionen des Benutzers erteilt werden muss, kann nur eine Installation mit einer Änderung der Standardeinstellungen mit einer informierten und freien Äußerung des Installationswillens des Mitarbeiters gleichgesetzt werden.

Bei der Überwachung von Mitarbeitern oder deren Gerätedaten (einschließlich persönlicher Daten, die mit einem Unternehmensnetzwerk oder WLAN verbunden sind) sollte der Arbeitgeber eine Richtlinie zur Überwachung des Arbeitsplatzes entwickeln, die für jeden Mitarbeiter leicht und ständig zugänglich und verständlich ist . Damit jeder klar versteht, was und wie es geht und für welche Zwecke es verwendet wird.

WICHTIG!Sie können nicht dem Ansatz folgen, den viele russische „Mitarbeiter“ lieben: Geben Sie ihnen bei der Einstellung hundert oder zweihundert Seiten mit Anweisungen zum Lesen und bitten Sie sie, sich an alles zu erinnern und zu vergessen, es für immer zu entfernen. Typ, habe mich kennengelernt. Die Richtlinie sollte jederzeit leicht zugänglich sein.

Die Überwachungsrichtlinie sollte wie jede andere Richtlinie zur Verarbeitung personenbezogener Daten (Datenschutz) regelmäßig überprüft werden. Eine Neubewertung ist erforderlich, soweit eine Überwachung erforderlich ist, um die berechtigten Interessen des Unternehmens zu befriedigen. Daher würde ich denjenigen empfehlen, die mögliche Ansprüche im Falle von Konflikten oder Überprüfungen entfernen möchten, aber nicht bereit sind, viele Ressourcen dafür aufzuwenden:

• Führen Sie mindestens einmal im Jahr Protokolle / Bestellungen mit Anweisungen durch, um eine Bestandsaufnahme Ihres gesamten Systems zur Erfassung und Verarbeitung personenbezogener Daten durchzuführen.
• Nehmen Sie gemäß den Ergebnissen des Inventars mindestens minimale Änderungen an der Richtlinie vor (z. B. Verkürzung der Haltbarkeit bestimmter Datenkategorien).

Versuchen Sie, unerwünschtes Verhalten zu verhindern, anstatt die Mitarbeiter ständig zu überwachen. Wenn Sie durch das Blockieren von Ressourcen / Websites Ihr Ziel erreichen können, ist es besser, den Zugriff der Mitarbeiter auf diese zu blockieren, als sie ständig zu überwachen. Dies ist ein allgemeines Prinzip der Interaktion zwischen Arbeitgeber und Arbeitnehmer, das in der Schlussfolgerung 2/2017 empfohlen wird.

Beispiel A aus Schlussfolgerung 2/2017 : Das Blockieren aller E-Mails in einer Reihe, die möglicherweise ein Risiko für Datenlecks durch das Arbeitgeberunternehmen darstellen könnten, erfordert, dass der Mitarbeiter darüber informiert wird (jedes Mal vor dem Senden eines Briefes), mit der Option, das Senden abzulehnen. Andernfalls besteht die Gefahr, dass die erforderlichen Eingriffe in die Privatsphäre und der willkürliche Zugriff auf die persönliche Korrespondenz eines Mitarbeiters überschritten werden.

Beispiel B der Schlussfolgerung 2/2017 : . , (, ).

2/2017 : , , , .

«home-office»

Mithilfe von Technologien, mit denen Sie Klicks und Mausbewegungen sowie andere ähnliche Aktionen von Mitarbeitern verfolgen sowie Screenshots (sowohl selektiv als auch regelmäßig) erstellen, Informationen über heruntergeladene Anwendungen und deren Downloadzeit erhalten, Daten von Webcams empfangen oder Lesungen über den Weg abrufen können. Vom Mitarbeiter übergeben (Hallo Resident Evil an Amazon und den Rest !), gilt es als unverhältnismäßig. Eine solche Überwachung liegt wahrscheinlich außerhalb der berechtigten Interessen des Arbeitgebers (Abschnitt 5.4.1. Schlussfolgerungen 2/2017).

Was kann hier empfohlen werden?

Erstens (als ob es Ihnen nicht bekannt vorkam), um zu verstehen, ob Sie eine solche Überwachung benötigen oder nicht. Zweitens geben Sie (mit Dokumentation) deutlich an, woran Ihr berechtigtes Interesse besteht, und zeichnen Sie diese Überwachung nach Möglichkeit in bestehenden Vereinbarungen auf.

Beispielsweise kann die Arbeit eines Programmierers an einem Projekt nicht im Voraus anhand der erforderlichen Zeit geschätzt werden. Die Zahlung ergibt sich aus der Anzahl der geleisteten Arbeitsstunden. Ihr Kunde besteht darauf, die Aktivitäten Ihres Mitarbeiters zu überwachen, indem er Screenshots macht oder seine Aktionen auf einem Cloud-Server überwacht. Der Zustand des Kunden bezüglich Screenshots oder Kontrolle auf dem Server sollte im Vertrag mit dem Kunden festgelegt werden (wenn die Arbeitszeit durch ein anderes Buchhaltungssystem geschätzt wird - ähnlich). Der Mitarbeiter, der an dem Projekt dieses Kunden arbeitet, sollte ebenfalls vor der Überwachung benachrichtigt werden, und die Möglichkeit einer solchen Überwachung sollte im Vertrag mit ihm festgelegt werden.

Überwachung der Arbeitszeit / Präsenz am Arbeitsplatz über das Zugangssystem

Dies ist ein beliebter „Trick“ vieler inländischer Unternehmen, von „klein bis groß“: Setzen Sie einen elektronischen Kontrollpunkt und berechnen Sie Strafen für winzige Verzögerungen oder geben Sie diese Informationen in eine persönliche Datei ein. Bei Ihren europäischen Mitarbeitern ist dies fast immer inakzeptabel.

Ein Beispiel aus der Schlussfolgerung 02/2017 : Sie können das Zugriffsabrechnungssystem (Datum, Uhrzeit, Eigentümer des Zugriffsschlüssels) verwenden, um den Zugriff auf besonders sensible Orte zu steuern. Zum Beispiel im Serverraum, in dem wichtige Informationen gespeichert sind. Es ist jedoch unmöglich, die erhaltenen Daten zur Beurteilung der Mitarbeiterproduktivität (Anwesenheits- / Abwesenheitszeit am Arbeitsplatz) zu verwenden.

Überwachung der "Atmosphäre des Glücks" im Unternehmen

Die Beobachtung von Gesichtsausdrücken von Mitarbeitern mit automatischen Mitteln darf keine Abweichungen von vordefinierten motorischen Mustern erkennen. Neben der Überwachung können die Daten einer solchen Beobachtung die Grundlage für die Profilierung eines Mitarbeiters und für automatische Entscheidungen in Bezug auf ihn bilden. Dies steht in keinem Verhältnis zu den Rechten und Freiheiten der Arbeitnehmer. In der Regel sollte ein Arbeitgeber solche Gesichtserkennungstechnologien nicht verwenden. Obwohl bestimmte Ausnahmen von der allgemeinen Regel zulässig sein können.

(Ich nehme an, Anfälle sind zulässig, wenn schädliche Produktion stattfindet (sind sie in Europa geblieben?) Oder um die Müdigkeit von Fahrern und Betreibern zu kontrollieren, wie im Artikel bei Amazon unter dem obigen Link beschrieben).

Kurze Schlussfolgerungen und Empfehlungen:

1. ( ) , . ( , )
2. , , ( ) . .
3. , . - ( , ), .
4. Entwickeln Sie als Vorlage die Standardvertragsklauseln zum Schutz personenbezogener Daten, die nach Erhalt personenbezogener Daten europäischer Mitarbeiter unterzeichnet werden müssen, wenn diese Daten ohne angemessenes Schutzniveau in ein Drittland übertragen werden.