Allgemeines zum Beschäftigtendatenschutz

Lesezeit: ca. 5 Minuten

Ab dem 25.05.2018 gilt die Datenschutzgrundverordnung, welche auch den Beschäftigtendatenschutz maßgeblich beeinflusst. Durch die Verordnung kommt es besonders im Arbeitsverhältnis zu einer Ausweitung des Beschäftigtendatenschutzes. Die Verwendung von personenbezogenen Daten setzt dabei grundsätzlich eine Einwilligung voraus. Der Begriff der Einwilligung wird in Art 4 Nr. 11 DS-GVO wie folgt definiert:

„Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Entscheidend ist vor allem, dass es sich um eine freiwillige Einwilligung seitens des Arbeitnehmers handelt. Mit der Einführung der Datenschutzgrundverordung hat sich dieser Punkt nun dahingehend verändert, dass eine Freiwilligkeit auch dann vorliegen kann, wenn durch die Einwilligung bei dem Arbeitnehmer ein rechtlicher oder ein wirtschaftlicher Vorteil erreicht wird. Für Arbeitgeber ist es daher besonders wichtig festzustellen, ob eine Einwilligung tatsächlich vorliegt oder nicht.

Wann liegt eine Einwilligung vor?

Durch die am 25.05.2018 in Kraft tretende Datenschutzgrundverordnung muss eine freiwillige Einwilligung seitens des Arbeitnehmers vorliegen, um dem Beschäftigtendatenschutz gerecht zu werden. Arbeitgeber stehen hier in der Pflicht sicherzustellen, dass auch eine solche freiwillige Einwilligung, wie sie von der Datenschutzgrundverordnung gefordert wird auch vorliegt. Dabei gilt es grundsätzlich die bereits vorliegenden Einwilligungen zu überprüfen. Denn diese müssen den neuen Anforderungen genügen und auch eine geeignete Grundlage für die jeweilige Datenverarbeitung darstellen.

Das bedeutet, dass Einwilligungen auch auf einer für die Datenschutzgrundverordnung zulässigen Rechtsgrundlage beruhen müssen. Ist dies nicht der Fall, so ist die Datenverarbeitung nicht zulässig und muss daher eingestellt und die jeweiligen Daten gelöscht werden. In diesem Zusammenhang sind auch bestehende Arbeitsverträge zu überprüfen, ob diese Klauseln enthalten, die sich auf das Verarbeiten von personenbezogenen Daten beziehen. Eine freiwillige Einwilligung nach der DS-GVO liegt so beispielsweise nicht vor, wenn eine Unterschrift des Arbeitsvertrages auch gleichzeitig eine Einwilligung in die Verarbeitung von personenbezogenen Daten darstellt. Denn in einem solchen Fall besteht für den Arbeitnehmer keinerlei Wahlmöglichkeit. Will er den Arbeitsplatz, muss er den Arbeitsvertrag unterschreiben, weshalb ihm durch die Verweigerung der Einwilligung ein Nachteil entsteht. Doch genau dies soll den Beschäftigtendatenschutz ausmachen, eine Wahlmöglichkeit hinsichtlich der Einwilligung zur Datenverarbeitung.

In Augenschein genommen werden muss daher auch grundsätzlich der Art. 7 Abs. 4 DS-GVO, in dem es heißt „Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“ Die Erfüllung eines Vertrages darf daher nicht von dem Erteilen einer Einwilligung durch den Arbeitnehmer abhängig gemacht werden.

Unterschieden werden muss ebenfalls zwischen den Zwecken zu denen die personenbezogenen Daten erhoben und verwendet werden. Fallen diese auseinander, muss der Arbeitnehmer in die einzelnen Vorgänge gesondert einwilligen. Es widerspricht dem Beschäftigtendatenschutz, wenn der Arbeitgeber sämtliche Vorgänge zusammenfasst und lediglich eine einzige Einwilligung verlangt. Geschieht dies, wird die Voraussetzung einer freiwilligen Einwilligung verfehlt.

Die Einwilligung ist einem Arbeitgeber zudem nur möglich, wenn durch den Arbeitgeber alle für eine Entscheidung benötigten Informationen zusammengetragen wurden. Neben diesen Informationen muss der Arbeitgeber den Arbeitnehmer auch über den Zweck der Datenverarbeitung und auch über das Widerrufsrecht belehren.

Die Personalakte (Beschäftigtendatenschutz)

Grundlegend für den Beschäftigtendatenschutz ist die Personalakte und die Personen, die mit dieser zu tun haben. Die Personalakte stellt dabei nichts anders dar als eine Sammlung von Unterlagen, die für das Arbeitsverhältnis relevanten personenbezogenen Daten enthalten. Anwendung finden hier arbeitsrechtliche Vorschriften, die unter anderem bestimmte Einsichtsrechte vorsehen. Mit der Datenschutzgrundverordnung werden dem Beschäftigten ebenfalls Rechte zugesprochen. Dazu gehört zum einen auch das Auskunftsrecht nach Art. 15 DS-GVO, das Recht auf Berichtigung nach Art. 16 DS-GVO und die Löschung nach Art. 17 DS-GVO.

Diese Rechte gelten allerdings nur, wenn es sich um Arbeitsunterlagen handelt. Unterschieden werden muss daher zwischen Arbeitsunterlagen und Sachakten. Denn das Recht auf Einsicht und Berichtigung von Sachakten besteht nicht. Zu diesen Sachakten zählen beispielsweise Arbeitsunfähigkeitsbescheinigungen und Abmahnungen. Obwohl eine Einsicht in Sachakten grundsätzlich nicht möglich ist, sind auch hier die Vorgaben des Datenschutzes bei der Aufbewahrung bzw. bei der Speicherung einzuhalten.

Welche Rechte stehen dem Arbeitnehmer zu?

Die oben bereits dargestellten grundsätzlichen Rechte eines Arbeitnehmers werden für den Beschäftigtendatenschutz allerdings noch weiter konkretisiert. So ist es die Aufgabe des Arbeitgebers, die personenbezogenen Daten nur insoweit zu sammeln, wie dies auch tatsächlich erforderlich ist. Die Gründe für das die geplante Nutzung bestimmter personenbezogener Daten sind dem Arbeitnehmer mitzuteilen und von diesem zu bewilligen. Auch der zeitliche Rahmen, in dem die Personalabteilung auf Anfragen von Mitarbeitern zu reagieren hat ist begrenzt. So muss diese Zeitnah auf Anfragen reagieren, sofern sich der jeweilige Arbeitnehmer innerhalb der betriebsüblichen Arbeitszeit an die Personalabteilung wendet. Verfällt der ursprüngliche Zweck der Verwendung der Daten, sind diese umgehend zu löschen.

Was passiert, wenn Daten verloren gehen?

Durch den Verlust von vertraulichen Daten kann es zu enormen Schäden für ein Unternehmen kommen. Doch bestehen auch rechtliche Pflichten bei einem solchen Verlust?

Bei dem Abhandenkommen von vertraulichen Daten besteht nach Art. 33 DS-GVO grundsätzlich eine Meldepflicht „Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 55 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.“ Dadurch soll dem Beschäftigtendatenschutz Rechnung getragen werden und schnellstmöglich versucht werden, weitere Schäden zu vermeiden. Besteht durch den Verlust der personenbezogenen Daten ein konkretes Risiko für den Betroffenen, so ist dieser über den Verlust der Daten zu unterrichten „Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.“

Aufgaben eines Datenschutzbeauftragten bezüglich Beschäftigtendatenschutz

Der Datenschutzbeauftragte ist grundsätzlich für den Datenschutz innerhalb eines Unternehmens zuständig. Für Unternehmen besteht grundsätzlich nicht die Pflicht, einen Datenschutzbeauftragten zu benennen. Diese Pflicht besteht nur dann, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder für die Markt- oder Meinungsforschung verarbeitet werden. Eine weitere Ausnahme liegt vor, wenn mindestens zehn Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Unternehmen, die sich auf die Verarbeitung von personenbezogenen Daten spezialisiert haben, müssen ebenfalls einen Datenschutzbeauftragten benennen.

Die Aufgaben eines Datenschutzbeauftragten gehen aus Art. 39 DS-GVO hervor. Im Mittelpunkt der Tätigkeit steht dabei jedoch grundsätzlich die Überwachung der Einhaltung der datenschutzrechtlichen Regelungen. Hierfür ist eine zudem eine besonders enge Zusammenarbeit mit der Aufsichtsbehörde erforderlich, um einen ausreichenden Beschäftigtendatenschutz gewährleisten zu können.

 
1 Star2 Stars3 Stars4 Stars5 Stars 1 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen