Zahlreiche Anforderungen der neuen EU-Datenschutzgrundverordnung (DSGVO) betreffen den Personalbereich und hier vor allem den Umgang mit Mitarbeiterdaten. Anwältin Anja Branz rät HR mithilfe der folgenden Checkliste zu prüfen, ob die Vorgaben der DSGVO erfüllt werden oder Datenschutzlücken bestehen. 

Herzstück der seit 25. Mai 2018 geltenden DSGVO sind erhöhte Transparenz-, Rechenschafts- und Dokumentationspflichten, die Ausweitung der Betroffenenrechte, erhöhte Informationspflichten für den Unternehmer oder Arbeitgeber sowie – im Vergleich zum früheren BDSG – erhöhte Bußgelder. Die DSGVO knüpft nahezu an den Verstoß gegen jede ihrer Regelungen ein Bußgeld (bis zu vier Prozent des Jahresumsatzes des Konzerns). Die damit für Unternehmen einhergehenden Pflichten sollten unbedingt befolgt werden – gerade vor dem Hintergrund der drakonischen Sanktionsmöglichkeiten, die die DSGVO vorsieht.

DSGVO: Personalabteilungen haben strenge Rechenschaftspflicht

Eine der wichtigsten Neuerungen ist die Rechenschaftspflicht in der DSGVO. Als deren direkte Auswirkung ergibt sich die Verpflichtung, jederzeit die Befolgung aller Vorschriften der DSGVO nachweisen zu können. Daher muss insbesondere auch HR deutlich mehr Vorgänge dokumentieren als noch in Zeiten vor dem 25. Mai 2018. Die strengeren Rechenschaftspflichten bewirken de facto eine Beweislastumkehr. Das bedeutet: In einem Verfahren oder auch vor der Aufsichtsbehörde muss der Arbeitgeber nachweisen, dass er die Anforderungen der DSGVO eingehalten hat. Zum Beispiel muss er also belegen, dass eine wirksame Erlaubnisgrundlage für die Datenverarbeitung besteht oder dass geeignete Datenschutzvorkehrungen umgesetzt wurden.

Daneben gelten zudem die altbekannten Prinzipien, die auch schon früher dem BDSG zugrunde lagen, wie beispielsweise Treu und Glauben, Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Datensicherheit. Teilweise werden diese Grundsätze jedoch verschärft und im Gegensatz zu früher mit Sanktionen belegt. So ist zum Beispiel Datensicherheit jetzt bußgeldbewehrt.

DSGVO im Arbeitsrecht: Keine Verarbeitung personenbezogener Daten ohne Einwilligung

Die DSGVO ist – wie bereits die alte Fassung des BDSG – ein Verbotsgesetz mit Erlaubnisvorbehalt. Das bedeutet: Das Verarbeiten personenbezogener Daten ist grundsätzlich verboten, sofern nicht eine Rechtsvorschrift, eine Betriebsvereinbarung oder eine Einwilligung des Betroffenen dies erlaubt. An die Einwilligung – gerade im Beschäftigtenkontext – werden erhöhte Anforderungen gestellt. 

DSGVO zu Mitarbeiterdaten und Bewerberdaten: Mehr Betroffenenrechte

Die Betroffenen haben erweiterte Auskunftsrechte in Bezug auf die Herkunft und Verarbeitungszwecke ihrer Daten und ihnen werden Schadensersatzansprüche zugebilligt, wenn gegen eine Vorschrift der DSGVO verstoßen wurde. Nicht zuletzt sind mit der neuen DSGVO und dem neuen BDSG mehr Prüfungen der Datenschutzbehörden zu erwarten.

DSGVO: Transparenz- und Dokumentationspflichten relevant für HR – nicht nur beim Recruiting

Dies alles zeigt, dass insbesondere die Transparenz- und Dokumentationspflichten auch für HR relevant sind, um die Einhaltung der DSGVO nachweisen zu können.  Daher bestehen auch bei den Vorgaben der DSGVO, die eventuell nicht direkt durch die Personalabteilung, sondern zum Teil von den Fachbereichen unter Einbindung des Datenschutzbeauftragten umzusetzen sind, erhebliche Wechselwirkungen mit HR. Zudem sind – unter Einbindung des Datenschutzbeauftragten – wiederkehrende Trainings für die Mitarbeiter zur Einhaltung der DSGVO abgestuft nach Risikobereich zu implementieren.

Checkliste zur DSGVO: Einhaltung der Vorschriften bei Bewerber-und Mitarbeiterdaten

Vor dem Hintergrund der dargestellten Anforderungen des neuen Datenschutzrechts kann die nachfolgende Checkliste eine Hilfestellung geben. HR kann so prüfen, ob in den Kernbereichen die datenschutzrechtlichen Vorgaben erfüllt werden.

Prüfschritt 1: Die Betroffenenrechte

Sind die Beschäftigten sowie Bewerber nach Art. 13, 14 DSGVO darüber informiert worden, zu welchen Zwecken ihre personenbezogenen Daten erhoben werden, wer Datenschutzbeauftragter ist, an welche Empfänger die Daten gehen und welche Betroffenenrechte die Arbeitnehmer nach der DSGVO haben?

Die Informationspflicht gilt zum Zeitpunkt der Datenerhebung, bei Arbeitnehmern also bei der Einstellung. Für Bestandsmitarbeiter gilt, dass diese so schnell wie möglich nach Inkrafttreten der DSGVO informiert werden müssen. Unterbleibt die Information, drohen Bußgelder.

Praxistipp: Die Information kann schriftlich oder in einer anderen Form, das heißt auch elektronisch erfolgen. Sie kann zum Beispiel über Informationsblätter (diese sollten aus Beweisgründen von den Mitarbeitern gegengezeichnet werden) oder auch über das Intranet (sofern alle Mitarbeiter über einen Zugang verfügen und vorher darauf hingewiesen wurden) erfolgen. Bei Bewerbern bietet sich beispielsweise eine Umsetzung der Information mit der Eingangsbestätigung der Bewerbung an.

Prüfschritt 2: Das Datengeheimnis

Sind die Arbeitnehmer nach den Vorschriften der DSGVO erneut auf den Datenschutz (früher auf das Datengeheimnis nach § 5 BDSG) verpflichtet worden? Insbesondere aus der besonderen Rechenschaftspflicht nach der DSGVO ergibt sich: Eine Neubelehrung der Arbeitnehmer auf den Datenschutz ist sinnvoll, da diese die Bemühungen des Arbeitgebers zur Umsetzung der DSGVO manifestiert.

Praxistipp: Auch wenn sich letztlich nur die Vorschriften ändern und sich die Verpflichtung nach Art. 29 DSGVO, 5 Abs. 1 lit. b und f DSGVO nur mittelbar ergibt, sollte diese auf das Datengeheimnis an die DSGVO angepasst werden.

Prüfschritt 3: Die Betriebsvereinbarungen

Sind die bestehenden Betriebsvereinbarungen auf DSGVO-Konformität überprüft worden? Eine Betriebsvereinbarung ist gemäß Art. 88 DSGVO in Verbindung mit § 26 Abs. 4 BDSG weiterhin Erlaubnisgrundlage für die Verarbeitung personenbezogener Daten. Zudem erfüllt sie im Bereich der zwingenden Mitbestimmung (zum Beispiel bei § 87 Abs. 1 Nr. 6 BetrVG) zugleich die Mitbestimmungsrechte des Betriebsrats. Betriebsvereinbarungen müssen künftig insbesondere den Transparenzanforderungen der DSGVO gerecht werden: Die Beschäftigten, deren Daten verarbeitet werden, müssen wissen

  • warum und zu welchem Zweck dies geschieht,
  • wie lange genau und welche Informationen verarbeitet werden,
  • welche Wege sie gehen,                           
  • wie sie gespeichert und geschützt werden.

Dies alles muss in klarer und verständlicher Sprache in der Betriebsvereinbarung zum Ausdruck kommen.

Praxistipp: Werden diese Vorgaben missachtet, besteht die Gefahr, dass eine Betriebsvereinbarung als datenschutzrechtliche Erlaubnisgrundlage nicht ausreicht, da sie nicht den Anforderungen der DSGVO entspricht. Dann ist die Verarbeitung von personenbezogenen Daten ohne die erforderliche Erlaubnisgrundlage erfolgt, sofern sie im Einzelfall nicht bereits durch ein Gesetz (etwa § 26 Abs. 1 BDSG) gedeckt ist. Das ist zum Beispiel bei einem IT-System der Fall, das personenbezogene Daten speichert und nicht zwingend zur Durchführung des Arbeitsverhältnisses erforderlich ist, etwa bei einer IT-Beschwerdehotline oder Ähnlichem. Der Arbeitgeber riskiert dann ein Bußgeld.

Prüfschritt 4: Die Einwilligungen

Wurden die Einwilligungserklärungen auf DSGVO/BDSG-Konformität überprüft? Die Einwilligung nach der DSGVO muss gemäß Art. 7 DSGVO in Verbindung mit § 26 Abs. 2 BDSG,

  • informiert erfolgen. Das heißt, der Arbeitgeber muss den Arbeitnehmer zuvor in klarer und einfacher Sprache, getrennt von anderen Sachverhalten – insbesondere dem Arbeitsvertrag – über den Zweck der Datenerhebung und ihre jederzeitige Widerrufbarkeit – mindestens in Textform – aufklären.
  • sich auf die konkret zu verarbeitenden Daten und den konkreten Verwendungszweck beziehen. Sie darf nicht pauschal erteilt und muss grundsätzlich durch eigenhändige schriftliche Namensunterschrift des Arbeitnehmers erklärt werden.
  • freiwillig sein. Die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt wurde, sind zu berücksichtigen. Wann jedoch zum Beispiel, wie es § 26 Abs. 2 BDSG fordert, ein rechtlicher oder wirtschaftlicher Vorteil mit der Datenverarbeitung erreicht wird (dies kann nach der Gesetzesbegründung etwa bei Einführung eines betrieblichen Gesundheitsmanagements der Fall sein oder wenn der Arbeitgeber die private Nutzung von betrieblichen IT-Systemen erlaubt) oder rechtlich gleich gelagerte Interessen verfolgt werden (die Gesetzesbegründung nennt hier die Aufnahme von Name und Geburtsdatum in eine Geburtstagsliste), ist im Einzelfall unklar. Hier ist die diesbezügliche Rechtsprechung abzuwarten.

Praxistipp: Im Ergebnis ist auf die Einwilligung als alleinige Rechtfertigungsgrundlage nur dann abzustellen, wenn andere Rechtfertigungsgründe (Rechtsvorschrift, Betriebsvereinbarung) ersichtlich ausscheiden. Als zusätzliche Rechtfertigungsgrundlage sollte die Einwilligung jedoch auch nur dann genutzt werden, wenn Zweifel daran bestehen, dass andere Rechtfertigungsgründe tauglich sind.

Zudem muss die Freiwilligkeit der Einwilligung zweifelsfrei feststehen. Andernfalls besteht – anders als beim Widerruf der einmal erteilten freiwilligen Einwilligung – die Gefahr, dass die Datenverarbeitung auch nicht mehr auf andere, gegebenenfalls bestehende Rechtfertigungsgründe gestützt werden kann.


Die Autorin: Dr. Anja Branz ist Rechtsanwältin, Fachanwältin für Arbeitsrecht und Partnerin bei Beiten Burkhardt in Berlin.

Hinweis: Eine zweite Checkliste zum neuen Datenschutz im Zusammenspiel mit anderen Abteilungen, finden Sie im vollständigen Beitrag der Autorin, erschienen im Personalmagazin, Ausgabe 09/2018.

Mehr zum Thema:

Datenschutz: Dürfen Arbeitgeber über Bewerber im Internet recherchieren?

Dienstleisterverträge an die DSGVO anpassen

Whatsapp und DSGVO: "Arbeitgeber tragen die datenschutzrechtlichen Risiken"