Arbeitnehmerdaten sind ab dem 25.5.2018 deutlich stärker geschützt Bild: Veer Inc.

Arbeitgeber müssen bis spätestens 25.5.2018 ihren Umgang mit den Beschäftigten-Daten grundlegend überarbeiten, wollen sie sich nicht der Gefahr von Klagen und Sanktionen aussetzen. Das neue Gesetz zur Anpassung des Datenschutzes (DSGVO) gibt Beschäftigten scharfe Waffen in die Hand, um den Schutz ihrer Daten durchzusetzen. Auch Datenschutzbeauftragte können auf Verstöße reagieren.

Europaweit wird in Sachen Datenschutz weitgehend gleichgezogen. Die EU-Datenschutz-Grundverordnung (DSGVO) tritt am 25.5.2018 in allen Mitgliedsstaaten in Kraft.

  • Die DSGV gilt unmittelbar und vorrangig vor dem jeweiligen nationalen Recht.
  • Den nationalen Gesetzgebern ist es aber freigestellt, die Leitlinien der DSGVO in eigenen Gesetzen zu spezifizieren.
  • Deutschland hat dies mit der grundlegenden Überarbeitung v.a. des Bundesdatenschutzgesetzes (BSDG) getan.

Im Zentrum der Neuregelungen steht § 26 BDSG n.F. mit Regelungen zum Beschäftigtenschutz

Von der DSGVO betroffene Daten

  • Die Verordnung gilt dabei für alle ganz oder auch nur teilweise automatisierten Verarbeitungsvorgänge personenbezogener Daten.
  • Personenbezogene Daten sind dabei als solche Informationen definiert, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Ein nochmals deutlich höheres Schutzniveau gilt für personenbezogene Daten, wenn diese benutzt werden,

„um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen“ Art. 4 Nr. 4 DSGVO.

Es gilt ein erweiterter Beschäftigtenbegriff

Der Beschäftigtenbegriff wurde ausgedehnt. Beschäftigtendatenschutz genießen neben Arbeitnehmern, Leiharbeitnehmern und Auszubildenden auch

  • Heimarbeiter, Beamte, Richter, Soldaten, Zivildienstleistende, Freiwillige,
  • Rehabilitanden, arbeitnehmerähnliche Personen, in Behindertenwerkstätten beschäftigte Menschen sowie
  • Bewerber und ehemalige Beschäftigte.

Einbeziehung von Kollektivvereinbarungen

Zu beachten ist der Datenschutz,

  • wenn das Beschäftigungsverhältnis begründet wird,
  • solange es besteht,
  • wenn es beendet wird.

Außerdem und - das ist neu – wenn Rechte und Pflichten der Interessenvertretung des Beschäftigten, die sich aus Gesetz oder Kollektivvereinbarung ergeben, ausgeübt oder erfüllt werden.

Damit geraten neben Arbeitgebern insbesondere auch Betriebsräte und Gewerkschaften in Zugzwang, ihre Betriebsvereinbarungen und Tarifverträge an das neue Datenschutzrecht anzupassen.

Weniger Datenverarbeitung ist mehr

Verantwortliche müssen künftig noch sensibler mit persönlichen Daten ihrer Beschäftigten umgehen. Es dürfen nur so wenig wie nötig Daten verarbeitet werden, sie müssen immer das mildeste aller gleich effektiven Mittel sein und die Verarbeitung muss für den angestrebten Zweck erforderlich sein.

Der Gesetzgeber erwartet hier, dass der Verantwortliche die eigenen Interessen an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten miteinander in Einklang bringt. Für diese beiden Interessenlagen ist bei jeder Datenverarbeitungsmaßnahme der goldene Mittelweg zu finden, um sie so gut und schonend es geht miteinander zu verquicken.

Einwilligung der Mitarbeiter in die Verabeitung bleibt möglich

Der Beschäftigte kann freiwillig, grundsätzlich schriftlich, in die Verarbeitung einwilligen. Als Indiz für die Freiwilligkeit gilt,

  • wenn für den Mitarbeiter ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder
  • wenn arbeitgeberseitige und die Interessen des Beschäftigten gleichgelagert sind.

Der Beschäftigte muss über den Zweck der Datenverarbeitung und die Widerruflichkeit seiner Einwilligung aufgeklärt werden.

Umfassende Dokumentations- und Informationspflichten

Zu jeder Datenverarbeitung trifft den Arbeitgeber eine Dokumentation- und Informationspflicht. Er muss präzise in verständlicher Weise erklären,

  • warum, zu welchem Zweck, wie lange er die Daten verarbeitet und
  • welche Wege sie gehen.

Er muss sein Datenverarbeitungssystem gegenüber seinen Beschäftigten transparent machen und die Daten schützen, indem er sie z.B. so schnell wie es geht anonymisiert oder löscht und indem er technische Sicherheitssysteme einbaut, um die Daten vor unberechtigtem Zugriff oder unbeabsichtigtem Verlust zu schützen.

In Art. 15 DSGVO sind die Auskunftsrechte definiert, nach denen etwa Angaben zu Verarbeitungszweck, Kategorie der erhobenen Daten, Empfängern der Daten, oder geplanter Speicherungsdauer zu geben sind. Ebenso muss ein Hinweis auf das Recht zur Löschung oder Berichtigung der Daten erfolgen und auf das Beschwerderecht gegenüber der zuständigen Aufsichtsbehörde hingewiesen werden.

Art. 17 DSGVO beschreibt die Löschungsrechte, die etwa dann bestehen, wenn die mit der Verarbeitung der Daten verfolgten Zwecke erreicht sind oder ein Widerruf der erteilten Einwilligung vorgenommen wird. 

Den Arbeitgeber trifft eine umfassende, jederzeit abrufbare Rechenschaftspflicht. Damit einher geht die Beweislast des Arbeitgebers für die Einhaltung aller Datenschutzmaßnahmen.

Schlagworte zum Thema:  Datenschutz-Grundverordnung, Datenschutz, Compliance, Datenschutzbeauftragter, Arbeitnehmerdatenschutz

Aktuell
Meistgelesen