Datenschutz im Betrieb

  1. Europarechtlicher Bezug

Am 25. Mai 2018 wird die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung) (ABl. L 119 vom 4.5.2016, S. 1) unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen Union sein.

Ziel dieser Verordnung (EU) 2016/679 ist ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten.

Die Verordnung gilt unmittelbar auch für Deutschland. Allerdings enthält die Verordnung sogenannte Öffnungsklauseln, so dass der nationale Gesetzgeber zum Handeln gezwungen wird.

Vor diesem Hintergrund sind teilweise schon Gesetzgebungsverfahren angelaufen bzw. werden noch anlaufen. Die neuen gesetzlichen Regelungen werden wir nach Abschluss des Gesetzgebungsverfahrens vorstellen.

In den weiteren Ausführungen wird jeweils auf künftige Regelungen verwiesen, sofern dies möglich ist.

  1. Allgemeines

Zu den allgemeinen Neben- bzw. Schutzpflichten des Arbeitgebers im Rahmen des Arbeitsverhältnisses gehört die Wahrung des Datenschutzes im Betrieb, der bezogen auf Arbeitnehmer allgemeiner Persönlichkeitsschutz ist.

Sie als Arbeitgeber haben dabei die Vorschriften des Bundesdatenschutzgesetzes (BDSG) bei der Erhebung personenbezogener Daten zu beachten.

Dies gilt auch in Bezug auf Personen, die noch keine Arbeitnehmer sind, wenn beispielsweise Daten aus der Bewerbung verarbeitet oder gespeichert werden.

Ab 25. Mai 2018 soll auch explizit geregelt werden, dass nicht nur Bewerber zu den „Beschäftigten“ gehören (unabhängig davon, ob sie später tatsächlich eingestellt werden oder nicht), sondern auch Personen, deren Beschäftigungsverhältnis beendet ist.

  1. Verarbeitung personenbezogener Daten im Arbeitsverhältnis

Die Verarbeitung personenbezogener Daten ist - soweit hier relevant - rechtmäßig, wenn der Arbeitnehmer seine Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat oder die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei der Arbeitnehmer ist, erforderlich ist oder die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher der Arbeitgeber unterliegt.

3.1 Personalverwaltung/Lohnabrechnung:

Jeder Arbeitgeber verarbeitet automatisiert personenbezogene Daten, wenn er die Lohnabrechnungen vornimmt. Die diesbezügliche Verarbeitung wird auch nach den neuen Regelungen rechtmäßig sein, da anderenfalls keine Abrechnung erfolgen kann und mit der Abrechnung eine rechtliche Verpflichtung erfüllt wird.

3.2. Erhebung weiterer Daten:

Sollten bei Ihnen darüber hinaus Daten Ihrer Beschäftigten verarbeitet werden, so ist genau zu prüfen, ob diese Verarbeitung rechtmäßig ist.

Zu denken ist hier beispielsweise an die Verarbeitung von krankheitsbedingten Ausfallzeiten Ihrer Arbeitnehmer.

3.3 Einwilligung:

Sofern die Verarbeitung der personenbezogenen Daten nicht aus anderen Gründen rechtmäßig ist, kann auch zukünftig (also ab 25. Mai 2018) die Einwilligung der Arbeitnehmer eingeholt werden.

An diese Einwilligung werden jedoch nach der Verordnung (EU) 2016/679 höhere Anforderungen gestellt als bisher; folgende Voraussetzungen müssen dann erfüllt sein:

  • klare und einfache Sprache
  • Information darüber, dass die Einwilligung jederzeit widerrufen werden kann
  • die Einwilligung muss freiwillig erfolgen

Insbesondere das Kriterium der Freiwilligkeit kann im Einzelfall Probleme bereiten. In den Gründen zur Verordnung wird ausgeführt, dass die Freiwilligkeit voraussetzt, dass der Arbeitnehmer eine echte oder freie Wahl hat, die Einwilligung zu verweigern. Dies dürfte bei einer Einwilligung, die im Arbeitsvertrag enthalten ist, nicht der Fall sein.

3.4. Mitteilungspflicht:

Nach den Regelungen der Verordnung (EU) 2016/679 hat der Verantwortliche ab dem 25. Mai 2018, also in aller Regel der Arbeitgeber den Arbeitnehmer zum Zeitpunkt der Erhebung der personenbezogenen Daten über bestimmte Punkte zu informieren; hierzu gehören u.a.:

  • den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
  • wenn die Verarbeitung aufgrund einer gegebenen Einwilligung erfolgt: das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (in Deutschland ist dies der Bundesbeauftragte für Datenschutz)
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte

3.5 Weitere Verpflichtungen ab 25. Mai 2018:

Auch als Arbeitgeber treffen Sie darüber hinaus weitere Verpflichtungen, die mit der Verarbeitung der Daten einhergehen; so beispielsweise die Verpflichtung durch technische und organisatorische Maßnahmen insbesondere die Menge, den Umfang, die Speicherfrist und die Zugänglichkeit der verarbeiteten Daten zu begrenzen. Also: „so wenig wie möglich und möglichst anonymisiert oder „pseudonymisiert“.

Ab 250 Mitarbeitern hat jeder Verantwortliche und gegebenenfalls sein Vertreter sowie der Auftragsverarbeiter ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Der aktuelle Gesetzesentwurf enthält eine generelle Verpflichtung zum Führen des Verzeichnisses - unabhängig von der Anzahl der Beschäftigten. Das Verzeichnis ist auf Verlangen dem Bundesbeauftragten vorzulegen.

Denken Sie auch daran, dass ein bestehender Betriebsrat zu beteiligen ist. Dies kann für Sie auch von Vorteil sein, da nach derzeitigem Entwurf des neuen Gesetzes die Verarbeitung personenbezogener Daten einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen zulässig ist. Durch eine Betriebsvereinbarung können Sie also die Verarbeitung personenbezogener Daten für den gesamten Betrieb regeln.

  1. Anzeigepflicht

Unternehmen müssen jetzt und auch künftig den Bundesbeauftragten für Datenschutz und die Betroffenen über Datenschutzverstöße informieren, es sei denn, dass die Verletzung voraussichtlich keine Gefahr für die Rechtsgüter natürlicher Personen mit sich gebracht hat.

Ab 25. Mai 2018 hat die Information an den Bundesbeauftragten innerhalb von 72 Stunden zu erfolgen.

  1. Bußgelder

Zurzeit können die Bußgelder für formale Verstöße bis zu 50.000 € betragen und bei materiellen Verstößen können bis zu 300.000 € verhängt werden. Wenn Verstöße zu weitergehenden Gewinnen führen, können auch höhere Bußgelder verhängt werden.

Ab 25. Mai 2018 können Geldbußen von bis zu 20.000.000 € oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.

  1. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist zu benennen, soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Die Abberufung des Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 BGB, also bei Vorliegen eines Grundes, der zur fristlosen Kündigung berechtigen würde, möglich.

Der betriebliche Datenschutzbeauftragte hat einen besonderen Kündigungsschutz (ähnlich wie ein Betriebsratsmitglied) und ist hinsichtlich der Tätigkeit als Datenschutzbeauftragter weisungsfrei.

  1. So helfen wir Ihnen:

In einem persönlichen Gespräch klären wir den datenschutzrechtlichen Status Quo Ihres Unternehmens, prüfen diesen und unterbreiten Ihnen gegebenenfalls Handlungsvorschläge. Insbesondere ist im Hinblick auf die mit Wirkung zum 25.05.2018 anstehende Änderung der gesetzlichen Regelungen zu überprüfen, ob sich für Sie ein konkreter Handlungsbedarf ergibt. Nehmen Sie Kontakt zu uns auf.