5. Abschnitt: Kommunikation mit externen Beschäftigten
§ 13
Telearbeit
(1) Findet die Datenverarbeitung im Rahmen von Telearbeit statt, bleibt der Auftraggebende als verantwortliche Stelle nach § 3 Absatz 7 des Bundesdatenschutzgesetzes für die Datenverarbeitung verantwortlich; für Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag gelten die Vorschriften des § 11 des Bundesdatenschutzgesetzes.
(2) Eine Fernüberwachung zur Leistungs- oder Verhaltenskontrolle
von Personen, die in Telearbeit nach § 2 Nummer 8 tätig sind, ist unzulässig, wenn sie über den betriebsüblichen Rahmen hinausgeht.
(3) Der Arbeitgebende hat als verantwortliche Stelle für die in Telearbeit geleistete Verarbeitung personenbezogener Daten die erforderlichen technischen und organisatorischen Maßnahmen nach § 9 des Bundesdatenschutzgesetzes zu treffen. Für die Telearbeitsplätze in privaten Räumen ist ein Datenschutzkonzept festzulegen, das die Vertraulichkeit der verarbeiteten Daten gegenüber Dritten, die Sicherheit der Datenintegrität sowie eine ausreichende Revision der Verarbeitung gewährleistet.
§ 14
Einsatz von Ortungssystemen
(1) Der Einsatz von Ortungssystemen zur Erhebung von Beschäftigtendaten ist nur zulässig, wenn
1. wenn die Daten für die Sicherheit des Beschäftigten und die Koordinierung wechselnder Einsatzorte geeignet und erforderlich sind,
2. der Beschäftigte nach § 4a Absatz 1 des Bundesdatenschutzgesetzes eingewilligt hat und
keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Beschäftigten überwiegen.
(2) Eine Verwendung der Daten für andere Zwecke, insbesondere für die Erstellung von Bewegungsprofilen der Beschäftigten und zur Leistungskontrolle, ist unzulässig.
(3) Die Daten sind nach Erreichen des Zwecks ihrer Erhebung unverzüglich zu löschen.
§ 15
Einsatz biometrischer Verfahren
(1) Die Erhebung biometrischer Merkmale einschließlich der Verwendung von Lichtbildern zur Erhebung von Beschäftigtendaten ist nur zulässig, wenn
1. dies zu Autorisierungs- und Authentifizierungszwecken erforderlich ist,
2. der Beschäftigte nach § 4a Absatz 1 des Bundesdatenschutzgesetzes eingewilligt hat und
3. keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der Beschäftigten überwiegen.
(2) Die Erhebung biometrischer Daten zur Zeiterfassung ist unzulässig.
(3) Zugriffe auf biometrische Daten sind zu protokollieren.
§ 16
Auftragsdatenverarbeitung
(1) Findet die Datenverarbeitung als Auftragsdatenverarbeitung statt, bleibt der Auftraggebende als verantwortliche Stelle nach § 3 Absatz 7 des Bundesdatenschutzgesetzes für die Datenverarbeitung verantwortlich; für Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag gelten die Vorschriften des § 11 des Bundesdatenschutzgesetzes.
§ 17
Trennung der Daten aus Arbeits- und Schuldverhältnis
(1) Arbeitgebende dürfen personenbezogene Daten aus einem anderen Rechtsgeschäft mit einem Beschäftigten nicht mit den jeweiligen Beschäftigtendaten zusammenführen. Die jeweils für die Verarbeitung der rechtsgeschäftlichen Daten und der Beschäftigtendaten zuständigen Personen sind auf die Einhaltung der unterschiedlichen Zweckbestimmung der Daten hinzuweisen.
(2) Die personalverantwortliche Stelle darf auf die Daten aus anderen Rechtsgeschäften keinen Zugriff haben; die Unterlagen sind grundsätzlich getrennt aufzubewahren. Für die technischen und organisatorischen Maßnahmen gilt § 9 des Bundesdatenschutzgesetzes entsprechend.