Datenschutz im Unternehmen - #DSGVO - Was bleibt und was ist neu?

Nach zähen Verhandlungen erfolgte Ende 2015 die europaweite Einigung auf eine EU-Datenschutz-Grundverordnung (DSGVO). Das Ziel: Eine weitgehende Vereinheitlichung des europäischen Datenschutzrechts. Inkrafttreten werden die Neuregelungen am 25.05.2018.

  • DSGVO oder BDSG?

Die DSGVO gibt den gesetzlichen Rahmen für ein harmonisiertes Datenschutzrecht innerhalb der EU vor. Gleichzeitig überlässt sie das gesetzliche "Feintuning" in vielen Regelungspunkten den jeweiligen Mitgliedsstaaten (oftmals als "Öffnungsklausel" bezeichnet). Dies hat zur Folge, dass in Deutschland zeitgleich mit der DSGVO am 25.5.2018 ein neues Bundesdatenschutzgesetz (BDSG) in Kraft tritt.

Wichtig zu wissen:
Die DSGVO gilt in der gesamten EU und damit auch in Deutschland direkt und unmittelbar. Nur wenn die DSGVO in den einzelnen Artikeln eine Öffnungsklausel vorsieht oder nichts zum Thema regelt und der nationale Gesetzgeber diese Öffnung mit einer gesetzlichen Grundlage wie zum Beispiel dem BDSG ausfüllt, gilt das nationale Recht.

  • Verarbeitung von Beschäftigten-Daten nach BDSG

Die wichtigste Norm, die dem Arbeitgeber das Speichern und Verarbeiten von Beschäftigtendaten in begrenztem Umfang erlaubt, stellt zurzeit § 32 BDSG (alt) dar. Da die DSGVO keine vergleichbaren Regelungen enthält, hat der Gesetzgeber von der Öffnungsklausel (Art. 88 DSGVO) Gebrauch gemacht. Aus Sicht vieler Arbeitsrechtler hat der Gesetzgeber die Chance verpasst, den Datenschutz im Beschäftigtenrecht - wie schon vor fast einem Jahrzehnt angekündigt - grundlegend anzupassen. Im Ergebnis wurden die in § 32 BDSG (alt) enthaltenen Bestimmungen relativ gleichlautend im § 26 BDSG (neu) übernommen. Insofern ist von einer fortgesetzten Anwendung auch der Rechtsprechung zu § 32 BDSG anzunehmen.

Damit dürfen auch weiterhin personenbezogene Daten von Beschäftigten (sinngemäß) für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Insoweit gibt es keinen Unterschied zwischen der alten und der neuen Rechtslage.

Die DSGVO bringt trotzdem Veränderungen mit sich:

Einwilligung des Beschäftigten

Ein Arbeitgeber darf die Daten eines Beschäftigten (und Bewerbers) speichern, wenn dieser selbst damit einverstanden ist, also einwilligt. Diese Einwilligung ist im Arbeitsvertrag oder in einer gesonderten Vereinbarung festzuhalten. Die Anforderungen an die Einwilligung ergeben sich aus Art. 7 DSGVO.

Wichtig:
Die Einwilligung muss auf freiwilliger Basis geschehen und bedarf der Schriftform, soweit nicht "wegen besonderer Umstände" eine andere Form angemessen ist. Darüber hinaus hat der Arbeitgeber den Beschäftigten über den Zweck der Datenverarbeitung und über sein Widerrufsrecht aufzuklären.

Betriebsvereinbarungen zur Datenverarbeitung

Die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis kann auch auf der Grundlage von Kollektivvereinbarungen erfolgen (Tarifverträge sowie Betriebs- und Dienstvereinbarungen). Nachdem dies bereits nach § 4 BDSG (alt) in Verbindung mit der dazugehörigen Rechtsprechung möglich war, enthält § 26 Abs. 1 Satz 1 und Abs. 4 BDSG (neu) hierzu nun eine ausdrückliche Regelung. Dabei ist explizit geregelt, dass die Verhandlungspartner bei der geplanten oder getroffenen Betriebsvereinbarung die inhaltlichen Vorgaben des Art. 88 Abs. 2 DSGVO zu beachten haben.

Wichtig:
Mit dem Inkrafttreten von DSGVO und BDSG (neu) zum 25.5.2018 müssen alle Betriebs- und Dienstvereinbarungen – auch die alten – den Vorgaben der DGSVO entsprechen.

Informations- und Auskunftspflichten gegenüber den Beschäftigten

Die DSGVO sieht eine ganze Reihe von Vorschriften zur Transparenz bei der Erhebung, Nutzung und Speicherung in den Art. 13 bis 15 DSGVO vor.

So ist der Betroffene (also hier Beschäftigte) bei Erhebung der Daten u. a. über den Zweck, die Dauer und ggf. Weitergabe der Daten sowie die Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten sowie sein Auskunfts- und Widerspruchsrecht zu informieren (vgl. Art. 13 und 14 DSGVO).

Das Auskunftsrecht des Beschäftigten umfasst u. a.

  • die Auskunft über die Verarbeitungszwecke
  • die Kategorien der personenbezogenen Daten, die verarbeitet werden
  • die Empfänger, gegenüber denen die personenbezogenen Daten offengelegt werden
  • falls möglich: die geplante Dauer, für die die personenbezogenen Daten gespeichert werden; falls nicht möglich: die Kriterien für die Festlegung dieser Dauer

Der Beschäftigte kann auf die Berichtigung oder Löschung der ihn betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen sowie das Widerspruchsrecht gegen diese Verarbeitung bestehen. Ferner hat er ein Beschwerderecht bei einer Aufsichtsbehörde.

Wichtig:
Dem Auskunftsrecht der Beschäftigten ist binnen eines Monats nach Bitte um Auskunft nachzukommen.

Tipp: Achten Sie darauf, rechtzeitig und umfassend Ihr Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) zu erstellen und zu aktualisieren. Binden Sie dabei auch evtl. Auftragsverarbeiter (Steuerberater, HR-Softwarehaus etc.) ein. Je aktueller und konkreter Ihr Verzeichnis der Verarbeitungstätigkeiten ist, desto einfacher wird es dem Auskunftsrecht der Beschäftigten nachzukommen.

Recht auf Berichtigung und Löschung

Mit den Artikeln 16 und 17 erhält der Betroffene ein Recht auf Berichtigung und Löschung seiner Daten. Natürlich kann dem Recht auf Löschung von Daten aus dem Beschäftigungsverhältnis die gesetzliche Verpflichtung zur Aufbewahrung aus anderen Gesetzen entgegenstehen.

Wichtig:
Um der Löschverpflichtung nachzukommen, ist es wichtig für alle bestehenden und künftigen Datenkategorien festzulegen und die Löschung bei Erreichen der Aufbewahrungsfristen durchzuführen. Im Optimalfall sieht die eingesetzte HR-Software einen vor-automatisierten Löschprozess ("Privacy by Design") vor.

Verarbeitung im Auftrag

Auch die DSGVO kennt die Verarbeitung von Daten im Auftrag (Art. 28 DSGVO). Aus der DSGVO ergeben sich Neuerungen für den (nun) Auftragsverarbeiter. Dieser muss hinreichende Garantien dafür bieten, dass seine Maßnahmen im Einklang mit den Anforderungen der DSGVO erfolgen und der Schutz der Rechte der betroffenen Person gewährleistet ist.

Wichtig:
Hier ist die rechtzeitige Anpassung des Vertrages über die Datenverarbeitung im Auftrag an die Vorgaben der DSGVO zwischen Auftraggeber und Auftragnehmer erforderlich.

Meldung von Verletzungen des Schutzes personenbezogener Daten

Diese Meldepflicht (Art. 33 DSGVO) an die zuständige Aufsichtsbehörde ist ab 25. Mai 2018 wesentlich restriktiver geregelt. Insbesondere die Frist für die Meldung ist mit 72 Stunden nach Bekanntwerden der Datenschutzverletzung sehr kurz.

Wichtig:
Die meisten Aufsichtsbehörden arbeiten an entsprechenden Online-Vordrucken und -Portalen für die Meldung von Datenschutzvorfällen oder bieten diese bereits an.

Rechenschaftspflicht

Art. 5 DSGVO listet eine Reihe von Grundsätzen auf, die bei der Verarbeitung personenbezogener Daten vom Unternehmen zu beachten sind. U.a. müssen personenbezogene Daten

  • auf rechtmäßige Weise, nach Treu und Glauben sowie in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden
  • für festgelegte, eindeutige und legitime Zwecke erhoben werden
  • dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein
  • in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist

Das datenverarbeitende Unternehmen ist für die Beachtung dieser Grundsätze verantwortlich und muss deren Einhaltung nachweisen können ("Rechenschaftspflicht").

  • Empfindliche Bußgelder bei Verstößen

Der Rahmen für Geldbußen bei Verstößen gegen Datenschutzbestimmungen wird mit der DSGVO deutlich erhöht. So können künftig bis zu 10 Millionen Euro beziehungsweise bis zu zwei Prozent des weltweiten Jahresumsatzes und in schweren Fällen bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes als Strafe verhängt werden. Hierdurch soll der gestiegenen Bedeutung des Datenschutzes Rechnung getragen werden.

Fragen?

Die neue DSGVO stellt viele Unternehmen vor große Herausforderungen. Weitere Informationen zu den beschriebenen Neuregelungen finden Sie hier:

BfDI-Informationsbroschüre (inkl. DSGVO sowie BDSG-neu)
(Herausgeber: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit)

Online-Test zur Selbsteinschätzung
(Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht – BayLDA)

Informationsblätter zur DSGVO
(Herausgeber: Bayerisches Landesamt für Datenschutzaufsicht – BayLDA)

nach oben