Datenschutz der Beschäftigten

Verordnung (EU) 2016/679 des Europäischen Parlaments

Am 25. Mai 2018 wird die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutzgrundverordnung) (ABl. L 119 vom 4.5.2016, S. 1) unmittelbar geltendes Recht in allen Mitgliedstaaten der Europäischen
Union sein. Ziel dieser Verordnung (EU) 2016/679 ist es, ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen zu gewährleisten.
Die Verordnung gilt unmittelbar auch für Deutschland. Allerdings enthält die Verordnung sogenannte Öffnungsklauseln, sodass der nationale Gesetzgeber zum Handeln gezwungen wird.
Vor diesem Hintergrund sind teilweise schon Gesetzgebungsverfahren angelaufen bzw. werden noch anlaufen.
 
1. Allgemeines
Zu den allgemeinen Neben- bzw. Schutzpflichten des Arbeitgebers im Rahmen des Arbeitsverhältnisses gehört die Wahrung des Datenschutzes im Betrieb, der bezogen auf Arbeitnehmer allgemeiner Persönlichkeitsrechtsschutz ist.
Sie als Arbeitgeber haben dabei die Vorschriften der Verordnung (EU) 2016/679 und die Vorschriften des
nationalen Bundesdatenschutzgesetzes (BDSG) bei der Erhebung personenbezogener Daten zu beachten. Dies gilt auch für den Schutz von Personen, die (noch) keine Arbeitnehmer sind (wie z.B. Bewerber). Doch nicht nur Bewerber gehören zukünftig zu den „Beschäftigten“ im datenschutzrechtlichen Sinn (unabhängig davon, ob sie später tatsächlich eingestellt wurden, oder nicht), sondern auch Personen, deren Beschäftigungsverhältnis beendet ist.

2. Verarbeitung personenbezogener Daten im Arbeitsverhältnis
Die Verarbeitung personenbezogener Daten ist - soweit hier relevant - erlaubt, wenn
• der Arbeitnehmer seine Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat, oder
• die Verarbeitung für die Erfüllung eines Vertrags, dessen Vertragspartei der Arbeitnehmer ist, erforderlich ist, oder
• die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, welcher der Arbeitgeber unterliegt.
Personalverwaltung/Lohnabrechnung:
Jeder Arbeitgeber verarbeitet automatisiert personenbezogene Daten, wenn er die Lohnabrechnungen vornimmt. Die diesbezügliche Verarbeitung wird auch nach den neuen Regelungen rechtmäßig sein, da anderenfalls keine Abrechnung erfolgen kann und mit der Abrechnung eine rechtliche Verpflichtung erfüllt wird.
Erhebung weiterer Daten:
Sollten bei Ihnen darüber hinaus Daten Ihrer Beschäftigten verarbeitet werden, so ist genau zu prüfen, ob diese Verarbeitung rechtmäßig ist. Diesbezüglich ist eine gewisse Sensibilität gefragt, wie folgendes Beispiel zeigt: Sie gestatten Ihren Arbeitnehmern die private Nutzung des Diensttelefons. Werden die Verbindungsdaten gespeichert? Wenn ja, dann kann es sich hierbei um personenbezogene Daten handeln, die Sie nur speichern dürfen, wenn der Arbeitnehmer einwilligt.

Einwilligung:
Sofern die Verarbeitung der personenbezogenen Daten nicht aus anderen Gründen rechtmäßig ist, kann auch zukünftig die Einwilligung der Arbeitnehmer eingeholt werden. An diese Einwilligung werden jedoch nach der Verordnung (EU) 2016/679 höhere Anforderungen gestellt als bisher; folgende Voraussetzungen müssen dann erfüllt sein:
• klare und einfache Sprache
• Information darüber, dass die Einwilligung jederzeit widerrufen werden kann
• die Einwilligung muss freiwillig erfolgen
Insbesondere das Kriterium der Freiwilligkeit kann im Einzelfall Probleme bereiten. In Erläuterungen zur Verordnung wird ausgeführt, dass die Freiwilligkeit voraussetzt, dass der Arbeitnehmer eine echte oder freie Wahl hat, die Einwilligung zu verweigern. Dies ist bei einer Einwilligung, die bereits im Arbeitsvertrag enthalten ist, nicht der Fall. Eine Einwilligung Ihrer Mitarbeiter ist jedoch nur erforderlich, wenn Sie Daten verarbeiten, die nicht zwingend für die Durchführung des Beschäftigungsverhältnisses erforderlich sind. (Als Beispiel sei hier eine durchaus übliche Geburtstagsliste genannt, in welcher nicht nur Name der Mitarbeiter, sondern auch das Geburtsdatum enthalten ist.) Bei Daten, die für die Durchführung des Arbeitsverhältnisses nicht zwingend erforderlich sind, benötigen Sie für die Verarbeitung eine ausdrückliche Einwilligung. Liegt die Einwilligung des Arbeitnehmers nicht vor, sind seine Daten zu löschen.
Mitteilungspflicht:
Nach den Regelungen der Verordnung (EU) 2016/679 hat der „Verantwortliche“ – das ist also in aller Regel der Arbeitgeber – den Arbeitnehmer zum Zeitpunkt der Erhebung der personenbezogenen Daten über bestimmte Punkte zu informieren; hierzu gehören u.a.:
• der Name und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters
• gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
• die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
• die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
• das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
• wenn die Verarbeitung aufgrund einer gegebenen Einwilligung erfolgt:
• das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird
• das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde (in Deutschland ist dies der Bundesbeauftragte für Datenschutz)
• ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte. Weitere Verpflichtungen nach Datenschutzverordnung ab 25. Mai 2018:
Als Arbeitgeber treffen Sie darüber hinaus weitere Verpflichtungen, die mit der Verarbeitung der Daten einhergehen; so beispielsweise die Verpflichtung durch technische und organisatorische Maßnahmen insbesondere die Menge, den Umfang, die Speicherfrist und die Zugänglichkeit der verarbeiteten Daten zu begrenzen.
Also: „So wenig wie möglich und möglichst anonymisiert oder pseudonymisiert“.
Ab 250 Mitarbeitern hat nach der EU Regelung jeder Verantwortliche und gegebenenfalls sein Vertreter sowie der Auftragsverarbeiter ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Der aktuelle Gesetzesentwurf der Bundesregierung  enthält eine generelle Verpflichtung zum Führen des Verzeichnisses - unabhängig von der Anzahl der Beschäftigten. Hier besteht also noch eine Regelungslücke. Das Verzeichnis ist auf Verlangen dem Bundesbeauftragten vorzulegen.  
Denken Sie auch daran, dass ein bestehender Betriebsrat zu beteiligen ist. Dies kann für Sie auch von Vorteil sein, da nach dem neuen BDSG die Verarbeitung personenbezogener Daten einschließlich besonderer
Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen zulässig ist. Durch eine Betriebsvereinbarung können Sie also die Verarbeitung personenbezogener Daten für den gesamten Betrieb regeln.
3. Anzeigepflicht
Unternehmen müssen jetzt und auch künftig den Bundesbeauftragten für Datenschutz und die Betroffenen über Datenschutzverstöße informieren, es sei denn, dass die Verletzung voraussichtlich keine Gefahr für die Rechtsgüter natürlicher Personen mit sich gebracht hat.
Ab 25. Mai 2018 hat die Information an den Bundesbeauftragten innerhalb von 72 Stunden zu erfolgen.

4. Bußgelder
Die Bußgelder für Verstöße gegen Bestimmungen des Datenschutzrechts wurden drastisch erhöht.
Zukünftig können Geldbußen von bis zu 20.000.000,00 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des
vorangegangenen Geschäftsjahres verhängt werden.

5. Datenschutzbeauftragter
Ein Datenschutzbeauftragter ist zu benennen, soweit in der Regel mindestens zehn Personen
ständig mit der automatisierten Verarbeitung personenbezogener Daten
beschäftigt sind.
Die Abberufung eines verpflichtend zu bestellenden Datenschutzbeauftragten ist nur in entsprechender Anwendung des § 626 BGB, also bei Vorliegen eines Grundes, der zur fristlosen Kündigung berechtigen würde, möglich. Der betriebliche Datenschutzbeauftragte hat einen besonderen Kündigungsschutz (ähnlich wie ein Betriebsratsmitglied) und ist hinsichtlich der Tätigkeit als Datenschutzbeauftragter weisungsfrei. Sie sind jedoch frei darin, statt eines Arbeitnehmers einen externen Dienstleister als Datenschutzbeauftragten zu bestellen.

Anmeldung

Kontakt

Geschäftsführer Michael Zwisler
Sekretariat Sabine Firley
Sekretariat Beate Meyer

Gebäudereiniger-Innung
Südbayern und  Stadtkreis Regensburg
Dessauerstraße 7
80992 München

Telefon: 089/14303876
Telefax: 089/14303956
Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!