Mündliche Datenverarbeitung im Arbeitsverhältnis
Auch nach dem EuGH-Urteil vom 30. März 2023 (C-34/21) bleibt die nationale Regelung des § 26 Abs. 7 BDSG wirksam. Der Hessische Datenschutzbeauftragte betont: Mündliche Datenverarbeitungen sind datenschutzrechtlich zu bewerten und bedürfen einer belastbaren Rechtsgrundlage, auch wenn sie nicht dokumentiert werden. Ein Fall aus dem aktuellen Tätigkeitsbericht des HBDI (Ziffer 7.2) zeigt die praktischen Folgen fehlerhafter Praxis.
Kein Ausschluss durch die DS-GVO
Die Datenschutz-Grundverordnung findet gemäß Art. 2 Abs. 1 keine Anwendung auf nichtautomatisierte Verarbeitungen, die nicht in einem Dateisystem gespeichert sind. Damit verbleibt dem nationalen Gesetzgeber die Befugnis, auch solche mündlichen Verarbeitungsformen eigenständig zu regeln. § 26 Abs. 7 BDSG weitet den Anwendungsbereich explizit auf diese Fälle aus – und wird deshalb nicht durch die DS-GVO verdrängt.
In einem konkreten Fall einer Verdachtskündigung bewertete der Hessische Datenschutzbeauftragte die Befragung eines Kollegen durch die Geschäftsführung kritisch. Während der Befragung wurden sensible Informationen über den betroffenen Beschäftigten offenbart, darunter eine frühere Abmahnung und dessen Initiative zur Betriebsratsgründung. Diese mündliche Datenverarbeitung erfolgte ohne belastbare Rechtsgrundlage.
Bewertung und Konsequenz
Der Arbeitgeber vertrat die Auffassung, § 26 Abs. 7 BDSG sei wegen der Anforderungen aus Art. 88 DS-GVO nicht anwendbar. Dem widersprach der HBDI: § 26 Abs. 7 stützt sich nicht auf die Öffnungsklausel der DS-GVO, sondern entfaltet als autonome nationale Vorschrift Wirkung in einem Bereich, den die Verordnung nicht regelt.
Daraus folgt:
- Mündliche Datenverarbeitungen im Beschäftigtenkontext unterliegen grundsätzlich § 26 BDSG.
- Auch ohne Speicherung in einem Dateisystem bedarf es einer belastbaren datenschutzrechtlichen Rechtsgrundlage.
(Foto: bnenin – stock.adobe.com)
Verwandte Produkte
Das könnte Sie auch interessieren
-
Webinar Verarbeitungsverzeichnis softwaregestützt erstellen, dokumentieren, pflegen und archivieren
Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager
Mehr erfahren -
BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit
Mehr erfahren -
Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?
Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO
Mehr erfahren
