BLOG -


Update DSGVO – alles fit im Personalbereich?

Seit dem 25. Mai 2018 entfalten die EU-Datenschutzgrundverordnung (DSGVO) sowie das diese flankierende neue Bundesdatenschutzgesetz (BDSG n. F.) ihre volle Wirkung. Da zahlreiche Anforderungen der DSGVO auch den Personalbereich betreffen, lohnt es sich, die folgenden Punkte zu prüfen, um Haftungsrisiken und Bußgelder zu vermeiden.

1. Zur Erinnerung: Die wichtigsten Regelungen im Überblick

Im BEITEN BURKHARDT Newsletter Arbeitsrecht haben wir bereits mehrere Male über die DSGVO und das BDSG n. F. berichtet (vgl. grundlegend Ausgabe September 2016, Seiten 2 ff. zur DSGVO, und Ausgabe März 2017, Seiten 8 f. zum BDSG n. F.). Hier zur Erinnerung die wichtigsten Regelungen für die Personalpraxis:

Herzstück der DSGVO sind erhöhte Transparenz-, Rechenschafts- und Dokumentationspflichten, die Ausweitung der Betroffenenrechte, erhöhte Informationspflichten für den Arbeitgeber sowie – im Vergleich zum früheren BDSG – erhöhte Bußgelder. Die DSGVO knüpft nahezu an den Verstoß gegen jede ihrer Regelungen Bußgelder (bis zu 4 % des Jahresumsatzes des Konzerns).

Eine der wichtigsten Neuerungen ist die Rechenschaftspflicht der DSGVO. Als deren direkte Auswirkung ergibt sich die Verpflichtung, jederzeit die Befolgung aller Vorschriften der DSGVO nachweisen zu können. Insbesondere auch die Personalabteilungen müssen deutlich mehr dokumentieren als vorher. Die erhöhten Rechenschaftspflichten bewirken de facto eine Beweislastumkehr. In einem Verfahren oder auch vor der Aufsichtsbehörde muss der Arbeitgeber nachweisen, dass er die Anforderungen der DSGVO eingehalten hat.

Zwar gelten auch die alt bekannten Prinzipien des BDSG a. F., wie z. B. Treu- und Glauben, Rechtmäßigkeit, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung und Datensicherheit. Diese werden z. T. verschärft und im Gegensatz zu früher mit Sanktionen belegt (z. B. bei der Datensicherheit). Die DSGVO ist – ebenso wie das BDSG a. F. – ein Verbotsgesetz mit Erlaubnisvorbehalt, d. h. das Verarbeiten personenbezogener Daten ist grundsätzlich verboten, sofern nicht eine Rechtsvorschrift oder eine Betriebsvereinbarung dies erlaubt oder der Betroffene einwilligt. An die Einwilligung (insbesondere im Beschäftigtenkontext) werden erhöhte Anforderungen gestellt.

Die Betroffenen haben erweiterte Auskunftsrechte in Bezug auf die Herkunft und Verarbeitungszwecke ihrer Daten und ihnen werden Schadensersatzansprüche zubilligt, wenn gegen eine Vorschrift der DSGVO verstoßen wurde. Es sind auch vermehrte Prüfungen durch die Datenschutzbehörden zu erwarten.

Dies alles zeigt, dass insbesondere die Transparenz- und Dokumentationspflichten auch für den Personalbereich relevant werden, um die Einhaltung der DSGVO nachweisen zu können. Vor diesem Hintergrund sollten insbesondere folgende Punkte geprüft werden:

2. Die wichtigsten Prüfungspunkte für die Personalpraxis

Die Betroffenenrechte
Sind die Beschäftigten (Neueingestellte und Bestandsmitarbeiter) sowie auch Bewerber nach Artikel 13, 14 DSGVO darüber informiert worden, zu welchen Zwecken ihre personenbezogenen Daten erhoben werden, wer Datenschutzbeauftragter ist, an welche Empfänger die Daten gehen und welche Betroffenenrechte die Arbeitnehmer nach der DSGVO haben?

Die Informationspflicht gilt im Zeitpunkt der Datenerhebung, bei Arbeitnehmern also bei der Einstellung. Für Bestandsmitarbeiter gilt, dass diese so schnell wie möglich nach Inkrafttreten der DSGVO informiert werden müssen. Hier ist die Informationspflicht nicht anders umsetzbar. Unterbleibt die Information, drohen Bußgelder.

Praxistipp
Die Information kann schriftlich oder in einer anderen Form, d. h. auch elektronisch erfolgen. Sie kann z. B. über Informationsblätter (sollten aus Beweisgründen von den Mitarbeitern gegengezeichnet werden) oder auch über das Intranet (sofern alle Mitarbeiter über einen Zugang verfügen und vorher darauf hingewiesen wurden) erfolgen. Bei Bewerbern bietet sich z. B. eine Umsetzung der Information mit der Eingangsbestätigung der Bewerbung an.

Das Datengeheimnis
Sind die Arbeitnehmer neu nach den Vorschriften der DSGVO auf den Datenschutz (früher auf das Datengeheimnis nach § 5 BDSG) verpflichtet worden?

Praxistipp
Auch wenn sich letztlich nur die Vorschriften ändern und sich die Verpflichtung aus Artikel 29 DSGVO, Artikel 32 Absatz 4 und Artikel 5 Absatz 1 Buchstaben b und f DSGVO nur mittelbar ergibt, sollte die Verpflichtung auf das Datengeheimnis an die DSGVO angepasst werden. Dies ist jedenfalls vor dem Hintegrund der besonderen Rechenschaftspflicht der DSGVO sinnvoll.

Betriebsvereinbarungen
Sind die bestehenden Betriebsvereinbarungen auf DSGVO-Konformität überprüft worden?

Eine Betriebsvereinbarung ist nach der DSGVO weiterhin Erlaubnisgrundlage für die Verarbeitung personenbezogener Daten. Zudem erfüllt sie die Mitbestimmungsrechte des Betriebsrats. Betriebsvereinbarungen müssen insbesondere transparent sein; die Beschäftigten, deren Daten verarbeitet werden, müssen wissen,

  • warum und zu welchem Zweck dies geschieht,
  • wie lange genau und welche Informationen verarbeitet werden,
  • welche Wege sie gehen,
  • wie sie gespeichert und geschützt werden.

Dies alles muss in klarer und verständlicher Sprache in der Betriebsvereinbarung zum Ausdruck kommen.

Praxistipp
Bei Missachtung besteht die Gefahr, dass eine Betriebsvereinbarung als datenschutzrechtliche Erlaubnisgrundlage nicht ausreicht. Dann ist die Verarbeitung von personenbezogenen Daten ohne Erlaubnisgrundlage erfolgt, sofern sie nicht im Einzelfall bereits durch ein Gesetz (z. B. § 26 Absatz 1 BDSG) gedeckt ist. Dies kann wiederum zu Bußgeldern führen.

Einwilligungserklärungen
Sind Einwilligungserklärungen auf DSGVO- / BDSG-Konformität überprüft worden?

Die Einwilligung nach der DSGVO muss gemäß Artikel 7 DSGVO i.V.m. § 26 Absatz 2 BDSG n. F.

  • informiert erfolgen, d. h. der Arbeitgeber muss den Arbeitnehmer zuvor in klarer und einfacher Sprache, getrennt von anderen Sachverhalten (insbesondere dem Arbeitsvertrag) über den Zweck der Datenerhebung und ihre jederzeitige Widerruflichkeit (mindestens in Textform) zwingend aufklären,
  • sie muss sich auf die konkret zu verarbeitenden Daten und den konkreten Verwendungszweck beziehen, sie darf nicht pauschal und muss grundsätzlich durch eigenhändige schriftliche Namensunterschrift des Arbeitnehmers erklärt werden.
  • Die Einwilligung muss freiwillig sein. Die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person ist zu berücksichtigen. Wann z. B., wie § 26 Absatz 2 BDSG fordert, ein rechtlicher oder wirtschaftlicher Vorteil mit der Datenverarbeitung erreicht wird (laut Gesetzesbegründung z. B. bei Einführung eines betrieblichen Gesundheitsmanagements) oder rechtlich gleichgelagerte Interessen verfolgt werden (dies soll z. B. bei der Aufnahme von Name und Geburtsdatum in eine Geburtstagsliste der Fall sein), ist allerdings im Einzelfall noch unklar. Es muss die Rechtsprechung dazu abgewartet werden.

Praxistipp
Im Ergebnis sollte auf die Einwilligung als alleinige Rechtfertigungsgrundlage nur abgestellt werden, wenn andere Rechtfertigungsgründe ersichtlich ausscheiden. Als Rechtfertigungsgrundlage sollte sie nur genutzt werden, wenn die Freiwilligkeit der Einwilligung zweifelsfrei feststeht. Besteht keine Freiwilligkeit der Einwilligung, könnte die Datenverarbeitung ggf. auch nicht mehr auf andere, bestehende Rechtfertigungsgründe gestützt werden.

3. Wechselwirkungen mit anderen Fachbereichen

Auch bei Vorgaben der DSGVO, die eventuell nicht direkt durch die Personalabteilung umzusetzen sind, bestehen aufgrund der Transparenz- und Dokumentationspflichten erhebliche Wechselwirkungen mit dem Personalbereich. Im Zusammenspiel zwischen Fachbereichen, Datenschutzbeauftragten und Personalbereich ist daher z. B. darauf zu achten, dass Datenverarbeitungsprozesse sauber beschrieben werden, ein sauberes Verfahrensverzeichnis mit allen Datenverarbeitungsprozessen geführt wird, Softwareprodukte ausschließlich notwendige Daten verarbeiten, ein dokumentiertes Rechtekonzept (Zugriffskonzept) vorliegt, technisch-organisatorische Sicherheitsmaßnahmen etabliert, fristgerechte Datenlöschungen sichergestellt und bei Einsatz von Dienstleistern Auftragsverarbeitungsverträge auf DSGVO-Konformität überprüft werden.

4. Ausblick

In der Praxis führt die DSGVO zu einer Verstärkung der Verantwortung aller Führungskräfte, für ihre Einhaltung in ihrem jeweiligen Zuständigkeitsbereich zu sorgen und ggf. auch bereichsübergreifend zusammenzuarbeiten. Datenschutz soll nach dem Willen der DSGVO Teil der Unternehmenskultur werden. Hierfür ist ein Management-Commitment erforderlich. Zudem sind – unter Einbindung des Datenschutzbeauftragten – wiederkehrende Trainings für die Mitarbeiter zur Einhaltung der DSGVO –
abgestuft nach Risikobereich – zu implementieren. Angesichts der zahlreichen Neuerungen ist deshalb zu empfehlen, schnell zu identifizieren, welche Anforderungen der DSGVO bereits erfüllt sind und welche Maßnahmen noch notwendig sind, um etwaige Lücken zu schließen.

Wenn Sie Fragen zu diesem Thema haben, wenden Sie sich gerne an Dr. Anja Branz.

Der Beitrag ist in einer etwas ausführlicheren Form im Personalmagazin, Ausgabe 9/2018, Seiten 80 ff. erschienen.

TAGS

Arbeitsrecht DSGVO Datenschutzgrundverordnung Personalabteilung Einstellung