Am 25. Mai 2018 endete die Übergangsfrist für die Umsetzung der europäischen Datenschutz-Grundverordnung (DSGVO). Damit ist das neue Datenschutzrecht in Kraft getreten, das mit durchaus gemischten Gefühlen erwartet worden ist. Laut einer aktuellen Umfrage sind nur rund die Hälfte aller deutschen Unternehmen ausreichend auf die neuen Regelungen vorbereitet, andere Erhebungen malen ein noch schwärzeres Bild der Lage. Dabei sollte mit den Vorgaben nicht leichtfertig umgegangen werden, denn bei einem Verstoß gegen die DSGVO drohen empfindliche Strafen: Bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes können die Behörden als Geldbußen verhängen.
Ziel des europäischen Gesetzgebers war es, mit der DSGVO einen unionsweit wirksamen Schutz von personenbezogenen Daten zu schaffen. Dies bringt auch neue Pflichten für Arbeitgeber mit sich. Welche Vorgaben die DSGVO vorsieht und wie sie künftig im Umgang mit personenbezogenen Daten von Beschäftigten relevant werden, erklären wir im heutigen Beitrag.
Enthält die DSGVO spezielle Regelungen zum Arbeitnehmerdatenschutz?
Der Beschäftigtendatenschutz ist in der DSGVO nicht eigenständig geregelt. Artikel 88 der DSGVO gibt aber die Möglichkeit, spezifischere Regelungen hinsichtlich der Verarbeitung von Beschäftigtendaten zu treffen. In diesem Zusammenhang ist der neue § 26 Bundesdatenschutzgesetz (BDSG) bedeutsam, durch den dies im nationalen Recht umgesetzt wurde. Aber auch ohne eigenständige Regelungen zum Beschäftigtendatenschutz birgt die DSGVO in dieser Hinsicht viel Potential für Änderungen, was in erster Linie an den Betroffenheitsrechten liegt.
Darf der Arbeitgeber personenbezogene Daten verarbeiten?
Grundsätzlich ist jede Verarbeitung personenbezogener Daten verboten, es sei denn, es liegt ein spezieller Rechtfertigungs- oder Ausnahmegrund vor. Erlaubnisgründe, die eine Verarbeitung von Daten rechtfertigen können, sind in Art. 6 der DSGVO festgelegt. So kann die Datenverarbeitung beispielsweise rechtmäßig sein, wenn sie zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen. Dieser allgemeine Rechtfertigungsgrund lässt sich ohne Weiteres auf ein Arbeitsverhältnis übertragen. Denn weder der Abschluss eines Arbeitsvertrages noch die Durchführung des Beschäftigungsverhältnisses wären ohne die Verarbeitung von personenbezogenen Daten denkbar.
§ 26 BDSG konkretisiert die allgemeine Vorschrift in Bezug auf das Arbeitsverhältnis wie folgt:
„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“
Darüber hinaus ist der Arbeitgeber auch aus sozialversicherungs- und steuerrechtlichen Gründen zur monatlichen Verarbeitung der Personaldaten verpflichtet. Auch dies ist in der DSGVO geregelt.
Mehr Transparenz durch Informationspflichten
In den Artikeln 12 ff. enthält die DGSVO umfassende Informationspflichten, die für mehr Transparenz im Umgang mit personenbezogenen Daten sorgen sollen. Dabei ist zunächst zwischen der Datenerhebung bei der betroffenen Person (Art. 13 DSGVO) und der Erhebung von Daten, die nicht bei der betroffenen Person erfolgt (Art. 14 DSGVO) zu unterscheiden. Beide Vorschriften erhalten einen Katalog an Angaben, die zwingend zu erfüllen sind.
Die DSGVO enthält auch Rechte auf Datenlöschung, Berichtigung, Datenübertragbarkeit, sowie ein Widerspruchsrecht. Besonders bedeutsam ist aber Art 15 der DSVGO, denn dieser regelt das Auskunftsrecht bei der Verarbeitung personenbezogener Daten. Nimmt ein Beschäftigter den Arbeitnehmer in die Pflicht zur Auskunftserteilung, so muss dieser offenlegen:
- Welche Art von Daten verarbeitet werden
- Wer Einsicht in die Daten erhält
- Zu welchem Zweck die Daten des Arbeitnehmers verarbeitet werden
- Wie lange die Daten voraussichtlich gespeichert bleiben werden
- Wie er an die Daten gelangt ist (in Fällen, in denen die Daten nicht direkt vom Arbeitnehmer selber mitgeteilt worden sind) und
- Ob anhand der Daten eine automatische Entscheidungsfindung stattfindet.
Im BDSG werden diese Auskunftspflichten teilweise eingeschränkt. Der Anspruch entfällt beispielsweise, wenn die Daten nur gespeichert werden, weil sie aufgrund von gesetzlichen Vorschriften nicht gelöscht werden dürfen. Ist für die Auskunftserteilung ein unverhältnismäßig hoher Aufwand erforderlich, kann auch dies den Anspruch unter Umständen entfallen lassen.
Gute Zeiten für Datenschutzbeauftragte?
Gemäß Artikel 37 DSGVO in Verbindung mit § 38 Abs. 1 S. 1 BDSG muss ein Datenschutzbeauftragter benannt werden, wenn im Unternehmen regelmäßig mindestens zehn Personen mit der Datenverarbeitung beschäftigt sind. Gerade auch angesichts der Tatsache, dass eine Vielzahl von Arbeitgebern derzeit mehr schlecht als recht auf das nunmehr geltende Recht der DSGVO vorbereitet ist, dürfen sich Datenschutz-Experten über eine hohe Nachfrage ihrer Fähigkeiten freuen.
Da Arbeitgeber regelmäßig Lohn- und Gehaltsdaten verarbeiten müssen, sind sie auch von der Pflicht zur Verzeichniserstellung betroffen. Das Verzeichnis soll dabei jeweils sämtliche Verarbeitungsverfahren mit den jeweils zugehörigen Pflichtangaben aus Artikel 30 Abs. 1 DSGVO enthalten. Es zeigt sich also, dass durch die neuen Regelungen von Seiten des Arbeitgebers eine ganze Reihe neuer Anforderungen zu beachten sind.
Was passiert bei Verstößen gegen die DSGVO?
Den Aufsichtsbehörden stehen gemäß Art. 58 DSGVO eine Reihe von Befugnissen zur Verfügung, um auf Verstöße zu reagieren. Wird bei Datenverarbeitungsvorgängen gegen die DSGVO verstoßen, können die Verantwortlichen beraten oder gewarnt werden. Sie können auch dazu angewiesen werden, innerhalb einer bestimmten Zeit ihre Vorgänge so anzupassen, dass sie zukünftig im Einklang mit der Verordnung stehen.
In schwerwiegenden Fällen, können sich die Behörden auch entschließen, die Verantwortlichen zur Kasse zu bitten. Geldbußen können entweder zusätzlich zu den oben genannten Maßnahmen verhängt werden oder aber an ihre Stelle treten. Art. 83 DSGVO regelt die Geldbußen, die „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein sollen“. Die Obergrenze für Bußgelder sind dabei einigermaßen bedrohlich: 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes gemäß Art. 83 Abs. 4 DSGVO oder bei bestimmten Verstößen sogar 20 Millionen Euro oder vier Prozent des weltenweiten Jahresumsatzes sind vorgesehen.
Besonders auch für Arbeitgeber eine Herausforderung
Die DGSVO sieht keine Ausnahmen vor – auch kleine Unternehmen müssen sich daher dem Thema Datenschutz widmen und dieselben Anforderungen erfüllen wie millionen- und milliardenschwere Unternehmen. Es wird sich daher zeigen müssen, wie die Datenschutzbehörde auf quasi unvermeidbare Verstöße reagieren wird. Denn die Erstellung von Datenverarbeitungsverzeichnissen dürfte eine ganze Reihe von Betrieben wohl ebenso vor große Probleme stellen wie Auskunftsverlangen betroffener Personen hinsichtlich der Datenverarbeitung. Allerdings sind die Datenschutzbehörden aktuell vermutlich gar nicht in der Lage, jeden Verstoß streng zu verfolgen und zu ahnden.
Gerade als Arbeitgeber sollte man dennoch nicht leichtfertig mit den neuen Regelungen umgehen. Denn Arbeitnehmer könnten künftig eine Kündigung zum Anlass nehmen, vom Arbeitgeber Auskunft hinsichtlich der sie betreffenden personenbezogenen Daten zu verlangen.
Sollten sie zu diesem oder einem anderen Thema rechtlichen Rat oder Beistand benötigen, stehen wir – Dr. Granzin Rechtsanwälte – Ihnen gerne mit unserer langjährigen Erfahrung fachkundig zur Seite.
Sei der erste der kommentiert