Neuer Datenschutz: Auf Arbeitgeber kommen 2018 Informations-, Auskunfts-Dokumentations- und Meldepflichten zu. Bild: MEV-Verlag, Germany

Die EU-Datenschutzgrundverordnung (DSGVO) bringt ab Mai einige neue Pflichten – auch für HR. Welche neuen Vorgaben die DSGVO vorsieht und was diese künftig im Umgang mit personenbezogenen Daten von Beschäftigten bedeuten.

Die am 24. Mai 2016 in Kraft getretene Europäische Datenschutzgrundverordnung (DSGVO), die ab dem 25. Mai 2018 geltendes Recht für die Mitgliedstaaten der EU sein wird, birgt erhebliches Diskussionspotenzial. Ein Ziel des europäischen Gesetzgebers ist es, einen unionsweiten wirksamen Schutz personenbezogener Daten zu schaffen. Die Vorgänger-Vorschriften der DSGVO, die Datenschutzrichtlinie 95/46/EG, hat dieses Ziel nicht erreicht. Mit den insgesamt 99 Artikeln stärkt die DSGVO gerade die Betroffenenrechte im Verhältnis zur derzeitigen nationalen Gesetzeslage enorm. Die damit für Unternehmen einhergehenden Pflichten sollten unbedingt befolgt werden – gerade vor dem Hintergrund der drakonischen Sanktionsmöglichkeiten, die die DSGVO vorsieht.

Beschäftigtendatenschutz außen vor

Der Beschäftigtendatenschutz selbst hat keinen Eingang in Form einer eigenständigen Regelung in die DSGVO gefunden. Es gibt lediglich eine Öffnungsklausel in Art. 88 Abs. 1 DSGVO. Auch der nationale Gesetzgeber hat mit einem neuen Bundesdatenschutzgesetz (BDSG) den großen Wurf nicht gewagt. Kern ist in diesem Zusammenhang der neue § 26, der zum großen Teil dem bekannten (und noch geltenden) § 32 BDSG sehr ähnlich ist. Allerdings ist dennoch erhebliches Änderungspotenzial im Umgang mit personenbezogenen Daten von Beschäftigten zu beachten – wegen der in der DSGVO geregelten Betroffenenrechte.

DSGVO: Informationspflichten für mehr Transparenz 

So enthält die DSGVO in den Art. 12 ff. umfassende Informationspflichten, die wohl zu den wichtigsten Neuregelungen der DSGVO zählen. Sie setzen den Grundsatz der Transparenz maßgeblich um. Art. 13 und Art. 14 DSGVO unterscheiden zwischen der Datenerhebung bei dem Betroffenen und der Datenerhebung, die nicht bei der betroffenen Person erfolgt. Ob es sich hier um den bekannten Grundsatz der Direkterhebung handelt, ist in der datenschutzrechtlichen Literatur umstritten. Aus unserer Sicht spricht viel für die Fortgeltung der bereits in der Datenschutzrichtlinie von 1996 geltenden Zweiteilung.

Direkt bei der Datenerhebung informieren

Die neuen Informationsrechte gehen weit über die aus dem BDSG bekannten hinaus. Sowohl Art. 13 als auch Art. 14 enthalten in ihren ersten Absätzen einen Katalog an Angaben, die zwingend zu erfüllen sind. Absatz 2 enthält jeweils Angaben, die nicht bei jeder Datenerhebung mitzuteilen sind, sondern nur dann, wenn sie für eine transparente Datenerhebung erforderlich sind.

Zu beachten ist ferner der Zeitpunkt der Erfüllung der Informationspflicht: Bei der Datenerhebung, die unter Art. 13 DSGVO fällt, ist der Betroffene im Zeitpunkt der Erhebung der Daten zu informieren. Art. 14 DSGVO – wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden – sieht hingegen in Abs. 3 lit. a eine Informationspflicht innerhalb einer „angemessenen Frist“ vor, die maximal einen Monat betragen soll. 

Neuer Datenschutz beinhaltet Auskunftspflichten

Sodann gewährt Art. 15 DSGVO ein Auskunftsrecht. Danach haben Betroffene das Recht, von Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeiten werden. Ist dies der Fall, so regelt Abs. 1 Satz 2 den Inhalt des Auskunftsanspruchs. Darunter fallen etwa:

  • der Zweck der Verarbeitung,
  • die Kategorien der verarbeiteten Daten,
  • die Empfänger oder Kategorien von Empfängern, gegenüber denen die Daten offengelegt werden, insbesondere wenn die Offenlegung außerhalb der EU oder des EWR stattfindet,
  • die Dauer der Speicherung der Daten oder die Kriterien für die Festlegung dieser Dauer,
  • das Bestehen eines Rechts auf Berichtigung oder Löschung der Daten oder auf Einschränkung der oder Widerspruch gegen die Verarbeitung sowie
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.

Dokumentationspflichten im Beschäftigtendatenschutz

Neben den Betroffenenrechten in Art. 12 ff. regelt Art. 5 Abs. 2 DSGVO die sogenannte Rechenschaftspflicht. Danach ist der Verantwortliche verpflichtet, die Einhaltung der in Abs. 1 (und bereits oben) genannten Grundsätze nachweisen zu können. Art. 24 Abs. 1 DSGVO sieht zudem vor, dass der Verantwortliche die getroffenen technischen und organisatorischen Maßnahmen zu dokumentieren hat. Die verarbeitende Stelle muss also nicht nur sämtliche Vorgaben der DSGVO einhalten, sie muss die Einhaltung auch nachweisen können.

Ferner sehen zahlreiche Artikel noch eigenständige Pflichten zur Dokumentation vor. Insbesondere sind in diesem Zusammenhang das künftig vom Verantwortlichen und nicht mehr vom Datenschutzbeauftragten zu führende Verfahrensverzeichnis nach Art. 30 DSGVO anzuführen sowie die Datenschutzfolgeabschätzung nach Art. 35 DSGVO. 

Verfahrensverzeichnis nach DSGVO: Erforderliche Angaben

Das Verfahrensverzeichnis muss die in Art. 30 Abs. 2 DSGVO aufgeführten Angaben enthalten. Zu diesen zählen unter anderem:

  • der Name und die Kontaktdaten des Verantwortlichen,
  • die Zwecke der Verarbeitung,
  • eine Beschreibung der Kategorien betroffener Personen und der personenbezogenen Daten sowie der Empfänger, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden sowie
  •  gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation.

Autoren:

Dr. Arno Frings ist Fachanwalt für Arbeitsrecht und Partner bei der Kanzlei Fringspartners in Düsseldorf.

Stephanie Simokat ist Rechtsanwältin bei der Kanzlei Fringspartners in Düsseldorf.

Hinweis: Mehr zur Datenschutzfolgeabschätzung, zu Meldepflichten sowie einen Überblick über die Sanktionen, lesen Sie im vollständigen Beitrag der Autoren, erschienen im Personalmagazin 01/18 (hier geht es zur Personalmagazin-App.)

Schlagworte zum Thema:  Datenschutz-Grundverordnung, Datenschutz

Aktuell
Meistgelesen