Datenschutz im Personalwesen / 1.1 Die Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung ist am 24.6.2016 in Kraft getreten und entfaltet ab dem 25.5.2018 unmittelbare Wirkung. Zum 25.5.2018 hatdie DSGVO die bisherigen Regelungen zum Schutz personenbezogener Daten, wie z. B. die Richtlinie 95/46/EG (kurz Datenschutzrichtlinie) und das bisherige Bundesdatenschutzgesetz (kurz BDSG) abgelöst. Die DSGVO umfasst insgesamt 99 Artikel, die den Rahmen für den Umgang mit personenbezogenen Daten definieren. Daneben enthält die DSGVO zahlreiche Erwägungsgründe, die bei der Auslegung der Normen behilflich sein können.

Wie funktioniert die DSGVO?

Die DSGVO entfaltet direkte und unmittelbare Wirkung in jedem Mitgliedstaat der Europäischen Union. Der Gesetzestext der DSGVO musste demzufolge nicht erst in nationales Recht umgesetzt werden, sondern kommt direkt zur Anwendung. Allerdings enthält die DSGVO eine Reihe von sog. Öffnungs- und Spezialklauseln, die den Mitgliedstaaten spezielle Gestaltungsräume ermöglicht.

Erlaubnisvorbehalt

Den Schutz personenbezogener Daten gewährleistet die DSGVO durch einen sog. Erlaubnisvorbehalt. Das bedeutet, dass für die Verwendung personenbezogener Daten immer eine Rechtsgrundlage oder eine Einwilligung des Betroffenen benötigt wird. Anders ausgedrückt: Alle Verarbeitungen, die nicht explizit durch die DSGVO erlaubt sind, sind verboten. Findet sich in der DSGVO oder in den oben beschriebenen ergänzenden nationalen Regeln keine passende Rechtsgrundlage für die geplante Verwendung und liegt keine Einwilligung vor, so wäre die Datenverwendung rechtswidrig. Für rechtswidrige Verarbeitungen personenbezogener Daten können durch die Aufsichtsbehörden Bußgelder von bis zu 20 Mio. EUR bzw. von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.

 

Praxis-Beispiel

Beschäftigtendaten in der betrieblichen Altersvorsorge

Wünschen Mitarbeiter an einer Regelung für die betriebliche Altersvorsorge teilzunehmen (z. B. im Rahmen einer Entgeltumwandlung), ist oftmals die Übermittlung von Daten an die Versicherung, den Makler und andere Beteiligte notwendig. Diese Übermittlung wird oft durch das Unternehmen vorgenommen. Im Gesetz, insbesondere in § 26 BDSG, findet sich hierzu keine Legitimation, da die Teilnahme hieran für die Durchführung des Beschäftigungsverhältnisses nicht erforderlich ist. Eine gesetzliche Grundlage hierzu gibt es also nicht. Um die Datenübermittlung zu legitimieren, muss das Unternehmen deshalb eine Einwilligung des Beschäftigten einholen. Die Einwilligungserklärung muss dem Beschäftigten transparent aufzeigen wie und durch wen seine Daten verarbeitet werden. Nur mit diesem Wissen kann der Beschäftigte eine Entscheidung treffen, ob er der Datenweitergabe an die Versicherung oder an den Makler zustimmt. Sofern der Beschäftigte keine Einwilligung zur Datenweitergabe erteilen möchte, darf das Unternehmen die Daten nicht weitergeben.

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Artikel.


Meistgelesene beiträge