Ab dem 25. Mai 2018 müssen Arbeitgeber zwingend die Neuerungen der EU-Datenschutzgrundverordnung (DSGVO) sowie des Bundesdatenschutzgesetzes (BDSG-neu) beachten - insbesondere bei der Verarbeitung von Beschäftigtendaten. Welche vier wichtigen Fragen sollten Arbeitgeber bis dahin beantwortet haben?

Der Countdown läuft … 

Ab Ende Mai wird auch die Verarbeitung von personenbezogenen Beschäftigtendaten durch die DSGVO als europarechtliche Verordnung, welche unmittelbar in den EU-Mitgliedsstaaten zur Anwendung gelangt sowie durch das komplett überarbeitete Bundesdatenschutzgesetz (BDSG-neu) geregelt. Welche Neuerungen kommen auf Personalverantwortliche zu? Was bedeuten sie für die HR-Praxis? Hinweise zu den vier wichtigsten Besonderheiten hinsichtlich des Umgangs mit Beschäftigtendaten sollen im Folgenden erläutert werden.

Arbeitnehmerdaten 

1. Frage: Was ist erlaubt und darf verarbeitet werden?

Sogenannte „personenbezogene Daten“ können nur dann zulässig verarbeitet werden, soweit dies gesetzlich erlaubt ist. Die „Verarbeitung“ von Beschäftigtendaten wird nun weitreichender verstanden und erfasst das Erheben, Erfassen, Speichern, Abfragen, Abgleichen und Löschen von personenbezogenen Daten. Jeder Umgang mit personenbezogenen Daten ist somit relevant. Dabei regelt § 26 Abs. 8 BDSG-neu, wer als Beschäftigter i.S.d. neuen Datenschutzrechts anzusehen ist.

Die Frage, welche personenbezogenen Daten im Rahmen des Beschäftigungsverhältnisses verarbeitet werden dürfen, lässt sich mit Blick auf Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG-neu beantworten. Danach ist eine Verarbeitung erlaubt, wenn sie 

  • für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses (z.B. Bewerbungsunterlagen) oder 
  • nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung (z.B. Name, Adresse, Bankverbindung etc.) oder
  • zur Beendigung bzw. zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich sind. 

Dabei spielt der Begriff der Erforderlichkeit eine große Rolle. Es ist nämlich eine fallbezogene Abwägung der Interessen vorzunehmen, um zu gewährleisten, dass eine rechtmäßige Verarbeitung von Beschäftigtendaten tatsächlich vorgenommen worden ist.

Praxis-Tipp: Die Entwicklung einer einfachen Matrix für bestimmte Stellenbeschreibungen kann hier die Arbeit im HR-Department erheblich erleichtern.

Der Countdown läuft: In wenigen Wochen tritt die DSGVO in Kraft.

2. Frage: Können wir Beschäftigtendaten auf Grund einer Einwilligung des Arbeitnehmers verarbeiten?

Ja, dies ist grundsätzlich möglich. Zwischenzeitlich ist allgemein anerkannt, dass auch ein Beschäftigter eine freiwillige und damit wirksame Einwilligung erteilen kann. Im Falle der Beurteilung der Freiwilligkeit einer Einwilligung sind stets die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände unter denen die Einwilligung erteilt worden ist, zu berücksichtigen.

Im Beschäftigungsverhältnis bedarf die Einwilligung auch weiterhin der Schriftform, sofern nicht wegen besonderer Umstände eine andere Form (z.B. Textform) angemessen ist. Allerdings muss die Einwilligungserklärung einen bestimmten Inhalt aufweisen, der sich letztlich nach Art. 7 Abs. 3 DSGVO bemisst. Bei der Verfassung von Einwilligungserklärungen ist daher äußerste Vorsicht geboten.

Praxis-Tipp: Es sollte bei jedem einzelnen Datenverarbeitungsvorgang von Beschäftigtendaten genau untersucht werden, ob die jeweilige Einwilligungserklärung der Beschäftigten wirklich eine geeignete Rechtsgrundlage für die Datenverarbeitung darstellen kann oder ob alternativ ein anderer Weg gesucht werden sollte.

Zu beachten ist auch, dass es im Hinblick auf sensible Daten von Beschäftigten gem. § 26 Abs. 3 BDSG-neu höhere Hürden zu meistern gilt.

Betriebsvereinbarungen

3. Frage: Können meine bisherigen kollektivrechtliche Regelungen als Rechtsgrundlage zur Verarbeitung von Beschäftigtendaten dienen?

Ja, dies ist nun auch ausdrücklich in § 26 Abs. 4 BDSG-neu geregelt, wonach die Verarbeitung personenbezogener Daten, für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen zulässig ist.

Achtung: Gemäß Art. 88 Abs. 2 DSGVO müssen kollektivrechtliche Regelungen „angemessene Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Personen“ umfassen. Diese gilt es insbesondere im Hinblick auf

  • die Transparenz der Verarbeitung,
  • die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe sowie
  • die Überwachungssysteme am Arbeitsplatz.

Praxis-Tipp: Aus Expertensicht entspricht die ganz überwiegende Mehrheit der bisherigen kollektivrechtlichen Regelungen nicht dem ab dem 25. Mai 2018 geltenden Maßstab des Art. 88 Abs. 2 DSGVO. Es ist nicht davon auszugehen, dass es hier einen „Bestandsschutz“ nach bisherigem Recht geben wird.

Vertragsgestaltung mit Serviceprovidern

4. Frage: Was muss bei der vertraglichen Gestaltung mit externen Service-Dienstleistern beachtet werden?

Bei der Überprüfung bestehender oder dem Abschluss neuer Service-Verträge mit sogenannten Auftragsverarbeitern – beispielsweise externen Payroll-Services, Travel Management oder externer „Performance Evaluation" – ist derzeit größte Sorgfalt geboten.

Gerade die Verarbeitung von Beschäftigtendaten und damit im Zusammenhang stehende Datenschutzverstöße können erhebliche Schadensersatzansprüche oder Bußgelder nach sich ziehen.

Bei Vertragsabschluss mit dem Auftragsverarbeiter ist gem. Art. 28 DSGVO insbesondere darauf zu achten, dass gesetzliche Verpflichtungen, die nach dem Gesetz immer auch den Arbeitgeber treffen, so weit wie möglich durch eine entsprechende Vertragsgestaltung mit dem Service-Dienstleister auf diesen übertragen werden. Nur so kann zum einen die datenschutzrechtliche Compliance mit den Anforderungen an Auftragsverarbeitung sichergestellt und zum anderen etwaige Schadensersatzansprüche gegen den Service-Dienstleister begründet werden, falls der Auftragsverarbeiter seinen ihm obliegenden datenschutzrechtlichen Vorgaben nicht nachkommt.

Praxis-Tipp: Gerade im Zusammenhang mit Service-Verträgen im Rahmen von Auftragsverarbeitung besteht noch ein enormer Nachverhandlungs- und Nachjustierungsbedarf.


Fazit: Bei der Umsetzung der Anforderungen der DSGVO sollten Arbeitgeber zur Erleichterung der Umsetzung auf Vorlagen zurückgreifen, wobei sich bei der Gestaltung der Vorlagen auch die Unterstützung durch verschiedene externe Spezialisten anbietet.