Datenschutz im Personalwesen / 1 Datenschutz im Personalwesen

Der Personalabteilung kommen aus Datenschutzsicht u. a. folgende Aufgaben zu, ggf. in Zusammenarbeit mit dem betrieblichen Datenschutzbeauftragten (DSB) oder einem externen DSB, sofern das Unternehmen einen solchen bestellt hat:

  • Schutz der Mitarbeiterdaten vor unbefugtem Zugriff und Verlust
  • Verpflichtung aller Beschäftigter zur Verschwiegenheit
  • ggf. Verpflichtung auf das Fernmeldegeheimnis gemäß § 88 Telekommunikationsgesetz (TKG) für Mitarbeiter, die Einsicht in Telekommunikationsdaten nehmen (z. B. IT-Administratoren)
  • Erstellung und Veröffentlichung von Richtlinien über den ordnungsgemäßen Umgang mit personenbezogenen Daten (pbD) am Arbeitsplatz
  • Überprüfung der Mitarbeiter hinsichtlich der Eignung zum Umgang mit (sensiblen) pbD
  • Ständiger Kontakt mit dem betrieblichen oder externen DSB sowie den Unternehmensführung und dem Betriebsrat

Geschützt werden von der Personalabteilung vor allem Beschäftigtendaten. In § 26 Abs. 8 BDSG wird der Begriff des Beschäftigten definiert. Dieser orientiert sich zwar weitgehend am Arbeitnehmerbegriff, weitet ihn aber darüber hinaus auf alle abhängig Beschäftigten aus. So werden hiervon z. B. auch Bewerber, aber auch "Personen, deren Beschäftigungsverhältnis beendet ist", erfasst. Ebenso sind Mitarbeiter aus einer Arbeitnehmerüberlassung als Beschäftigte des Unternehmens anzusehen, bei denen sie tagtäglich arbeiten.

Da die Personalabteilung unweigerlich mit datenschutzrechtlichen Bestimmungen in Kontakt kommt, sollte sie die wichtigsten Rechtsquellen kennen. Für die Personalabteilung relevante datenschutzrechtliche Bestimmungen sind u. a. zu finden in:

Von den oben genannten möglichen Rechtsquellen sind nicht alle immer für jede Personalabteilung relevant. Dennoch können sie, je nach Einzelfall, eine wichtige Rolle spielen. Wichtig ist, sich bewusst zu sein, dass das Datenschutzrecht nicht nur aus einem Regelungskatalog, sondern aus dem Zusammenspiel mehrerer Vorschriften und Gesetze besteht.

1.1 Die Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung ist am 24.6.2016 in Kraft getreten und entfaltet ab dem 25.5.2018 unmittelbare Wirkung. Zum 25.5.2018 hatdie DSGVO die bisherigen Regelungen zum Schutz personenbezogener Daten, wie z. B. die Richtlinie 95/46/EG (kurz Datenschutzrichtlinie) und das bisherige Bundesdatenschutzgesetz (kurz BDSG) abgelöst. Die DSGVO umfasst insgesamt 99 Artikel, die den Rahmen für den Umgang mit personenbezogenen Daten definieren. Daneben enthält die DSGVO zahlreiche Erwägungsgründe, die bei der Auslegung der Normen behilflich sein können.

Wie funktioniert die DSGVO?

Die DSGVO entfaltet direkte und unmittelbare Wirkung in jedem Mitgliedstaat der Europäischen Union. Der Gesetzestext der DSGVO musste demzufolge nicht erst in nationales Recht umgesetzt werden, sondern kommt direkt zur Anwendung. Allerdings enthält die DSGVO eine Reihe von sog. Öffnungs- und Spezialklauseln, die den Mitgliedstaaten spezielle Gestaltungsräume ermöglicht.

Erlaubnisvorbehalt

Den Schutz personenbezogener Daten gewährleistet die DSGVO durch einen sog. Erlaubnisvorbehalt. Das bedeutet, dass für die Verwendung personenbezogener Daten immer eine Rechtsgrundlage oder eine Einwilligung des Betroffenen benötigt wird. Anders ausgedrückt: Alle Verarbeitungen, die nicht explizit durch die DSGVO erlaubt sind, sind verboten. Findet sich in der DSGVO oder in den oben beschriebenen ergänzenden nationalen Regeln keine passende Rechtsgrundlage für die geplante Verwendung und liegt keine Einwilligung vor, so wäre die Datenverwendung rechtswidrig. Für rechtswidrige Verarbeitungen personenbezogener Daten können durch die Aufsichtsbehörden Bußgelder von bis zu 20 Mio. EUR bzw. von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.

 

Praxis-Beispiel

Beschäftigtendaten in der betrieblichen Altersvorsorge

Wünschen Mitarbeiter an einer Regelung für die betriebliche Altersvorsorge teilzunehmen (z. B. im Rahmen einer Entgeltumwandlung), ist oftmals die Übermittlung von Daten an die Versicherung, den Makler und andere Beteiligte notwendig. Diese Übermittlung wird oft durch das Unternehmen vorgenommen. Im Gesetz, insbesondere in § 26 BDSG, findet sich hierzu keine Legitimation, da die Teilnahme hieran für die Durchführung des Beschäftigungsverhältnisses nicht erforderlich ist. Eine gesetzliche Grundlage hierzu gibt es also nicht. Um die Datenübermittlung zu legitimieren, muss das Unternehmen deshalb eine Einwilligung des Beschäftigten einholen. Die Einwilligungserklärung muss dem Beschäftigten transparent auf...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge