DSGVO - alles neu? Besonderheiten im Umgang mit Beschäftigtendaten
News
22.05.2018
Advertorial: Datenschutz für Personaler
Bild: Haufe Online Redaktion
Achtung Arbeitnehmerdatenschutz: Die DSGVO bringt neue Anforderungen mit sich.
Der Countdown läuft …
Ab Ende Mai wird auch die Verarbeitung von personenbezogenen Beschäftigtendaten durch die DSGVO als europarechtliche Verordnung, welche unmittelbar in den EU-Mitgliedsstaaten zur Anwendung gelangt sowie durch das komplett überarbeitete Bundesdatenschutzgesetz (BDSG-neu) geregelt. Welche Neuerungen kommen auf Personalverantwortliche zu? Was bedeuten sie für die HR-Praxis? Hinweise zu den vier wichtigsten Besonderheiten hinsichtlich des Umgangs mit Beschäftigtendaten sollen im Folgenden erläutert werden.
Arbeitnehmerdaten
1. Frage: Was ist erlaubt und darf verarbeitet werden?
Sogenannte „personenbezogene Daten“ können nur dann zulässig verarbeitet werden, soweit dies gesetzlich erlaubt ist. Die „Verarbeitung“ von Beschäftigtendaten wird nun weitreichender verstanden und erfasst das Erheben, Erfassen, Speichern, Abfragen, Abgleichen und Löschen von personenbezogenen Daten. Jeder Umgang mit personenbezogenen Daten ist somit relevant. Dabei regelt § 26 Abs. 8 BDSG-neu, wer als Beschäftigter i.S.d. neuen Datenschutzrechts anzusehen ist.
Die Frage, welche personenbezogenen Daten im Rahmen des Beschäftigungsverhältnisses verarbeitet werden dürfen, lässt sich mit Blick auf Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG-neu beantworten. Danach ist eine Verarbeitung erlaubt, wenn sie
- für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses (z.B. Bewerbungsunterlagen) oder
- nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung (z.B. Name, Adresse, Bankverbindung etc.) oder
- zur Beendigung bzw. zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich sind.
Dabei spielt der Begriff der Erforderlichkeit eine große Rolle. Es ist nämlich eine fallbezogene Abwägung der Interessen vorzunehmen, um zu gewährleisten, dass eine rechtmäßige Verarbeitung von Beschäftigtendaten tatsächlich vorgenommen worden ist.
Praxis-Tipp: Die Entwicklung einer einfachen Matrix für bestimmte Stellenbeschreibungen kann hier die Arbeit im HR-Department erheblich erleichtern.
Bild: Ogletree Deakins
Der Countdown läuft: In wenigen Wochen tritt die DSGVO in Kraft.
2. Frage: Können wir Beschäftigtendaten auf Grund einer Einwilligung des Arbeitnehmers verarbeiten?
Ja, dies ist grundsätzlich möglich. Zwischenzeitlich ist allgemein anerkannt, dass auch ein Beschäftigter eine freiwillige und damit wirksame Einwilligung erteilen kann. Im Falle der Beurteilung der Freiwilligkeit einer Einwilligung sind stets die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände unter denen die Einwilligung erteilt worden ist, zu berücksichtigen.
Im Beschäftigungsverhältnis bedarf die Einwilligung auch weiterhin der Schriftform, sofern nicht wegen besonderer Umstände eine andere Form (z.B. Textform) angemessen ist. Allerdings muss die Einwilligungserklärung einen bestimmten Inhalt aufweisen, der sich letztlich nach Art. 7 Abs. 3 DSGVO bemisst. Bei der Verfassung von Einwilligungserklärungen ist daher äußerste Vorsicht geboten.
Praxis-Tipp: Es sollte bei jedem einzelnen Datenverarbeitungsvorgang von Beschäftigtendaten genau untersucht werden, ob die jeweilige Einwilligungserklärung der Beschäftigten wirklich eine geeignete Rechtsgrundlage für die Datenverarbeitung darstellen kann oder ob alternativ ein anderer Weg gesucht werden sollte.
Zu beachten ist auch, dass es im Hinblick auf sensible Daten von Beschäftigten gem. § 26 Abs. 3 BDSG-neu höhere Hürden zu meistern gilt.
Betriebsvereinbarungen
3. Frage: Können meine bisherigen kollektivrechtliche Regelungen als Rechtsgrundlage zur Verarbeitung von Beschäftigtendaten dienen?
Ja, dies ist nun auch ausdrücklich in § 26 Abs. 4 BDSG-neu geregelt, wonach die Verarbeitung personenbezogener Daten, für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen zulässig ist.
Achtung: Gemäß Art. 88 Abs. 2 DSGVO müssen kollektivrechtliche Regelungen „angemessene Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Personen“ umfassen. Diese gilt es insbesondere im Hinblick auf
- die Transparenz der Verarbeitung,
- die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe sowie
- die Überwachungssysteme am Arbeitsplatz.
Praxis-Tipp: Aus Expertensicht entspricht die ganz überwiegende Mehrheit der bisherigen kollektivrechtlichen Regelungen nicht dem ab dem 25. Mai 2018 geltenden Maßstab des Art. 88 Abs. 2 DSGVO. Es ist nicht davon auszugehen, dass es hier einen „Bestandsschutz“ nach bisherigem Recht geben wird.
Vertragsgestaltung mit Serviceprovidern
4. Frage: Was muss bei der vertraglichen Gestaltung mit externen Service-Dienstleistern beachtet werden?
Bei der Überprüfung bestehender oder dem Abschluss neuer Service-Verträge mit sogenannten Auftragsverarbeitern – beispielsweise externen Payroll-Services, Travel Management oder externer „Performance Evaluation" – ist derzeit größte Sorgfalt geboten.
Gerade die Verarbeitung von Beschäftigtendaten und damit im Zusammenhang stehende Datenschutzverstöße können erhebliche Schadensersatzansprüche oder Bußgelder nach sich ziehen.
Bei Vertragsabschluss mit dem Auftragsverarbeiter ist gem. Art. 28 DSGVO insbesondere darauf zu achten, dass gesetzliche Verpflichtungen, die nach dem Gesetz immer auch den Arbeitgeber treffen, so weit wie möglich durch eine entsprechende Vertragsgestaltung mit dem Service-Dienstleister auf diesen übertragen werden. Nur so kann zum einen die datenschutzrechtliche Compliance mit den Anforderungen an Auftragsverarbeitung sichergestellt und zum anderen etwaige Schadensersatzansprüche gegen den Service-Dienstleister begründet werden, falls der Auftragsverarbeiter seinen ihm obliegenden datenschutzrechtlichen Vorgaben nicht nachkommt.
Praxis-Tipp: Gerade im Zusammenhang mit Service-Verträgen im Rahmen von Auftragsverarbeitung besteht noch ein enormer Nachverhandlungs- und Nachjustierungsbedarf.
Fazit: Bei der Umsetzung der Anforderungen der DSGVO sollten Arbeitgeber zur Erleichterung der Umsetzung auf Vorlagen zurückgreifen, wobei sich bei der Gestaltung der Vorlagen auch die Unterstützung durch verschiedene
externe Spezialisten anbietet.
Schlagworte zum Thema:
Datenschutz-Grundverordnung, Beschäftigtendatenschutz
-
Entgeltfortzahlung: Wenn unterschiedliche Krankheiten aufeinander folgen
7.886
-
Wann Urlaubsverfall und Urlaubsübertragung möglich sind
7.2872
-
Wann müssen Arbeitgeber eine Abfindung zahlen?
6.0442
-
Zusatzurlaub bei Schwerbehinderung von Arbeitnehmenden
5.989
-
Urlaubsanspruch richtig berechnen
4.586
-
Wie Arbeitgeber in der Probezeit kündigen können
4.071
-
Urlaubsanspruch bei Arbeitgeberwechsel richtig berechnen
4.05016
-
Nebenjob: Was arbeitsrechtlich erlaubt ist
3.662
-
Wann Arbeitnehmende einen Anspruch auf Teilzeit haben
3.2071
-
Arbeitszeitkonto: Diese rechtlichen Vorgaben gelten für Arbeitgeber
3.181
-
Außertarifliches Gehalt benötigt nur geringen Mindestabstand zum Tarifgehalt
31.10.2024
-
Änderungen im Nachweisgesetz erleichtern digitalen Arbeitsvertrag
30.10.20241
-
Wann Duschen oder Umziehen als bezahlte Arbeitszeit gilt
29.10.2024
-
Warum der Referentenentwurf eines Beschäftigtendatengesetzes kaum weiterhilft
28.10.2024
-
Was bei der Befristung von Arbeitsverträgen zu beachten ist
25.10.20242
-
Was Arbeitgeber beim Antrag auf Elternzeit beachten müssen
24.10.2024
-
Auswirkungen der Zeitumstellung auf Arbeitszeit und Vergütung
23.10.2024
-
Unwirksame Abstiegsklausel im Trainervertrag
21.10.2024
-
Was Arbeitgeber beim Thema Mitarbeiterfotos beachten müssen
18.10.2024
-
Bürokratieentlastungsgesetz passiert Bundesrat
18.10.2024
Bild: Haufe Online Redaktion
Inspiration für das Corporate Learning frei Haus – abonnieren Sie unseren Newsletter rund um die Themen
- Personal- und Organisationsentwicklung
- Training, Coaching und Mitarbeiterführung
- Digitalisierung und Lerntechnologien