Arbeitnehmer-Datenschutz im Jahr 2018

Ab dem 25. Mai 2018 gelten die EU-Datenschutzgrundverordnung (EU-DSGVO) sowie das neue Bundesdatenschutzgesetz (BDSG). Wesentlich ist dabei, dass ab diesem Zeitpunkt die Unternehmen die Einhaltung des Datenschutzes nachzuweisen haben. Es findet eine Beweislastumkehr statt, wonach nicht der Betroffene, den Eintritt eines Schadens beweisen muss sondern das Unternehmen, welches seine personenbezogenen Daten verarbeitet, nachzuweisen hat, alle Bestimmungen zum Schutz seiner Daten eingehalten zu haben. Grundvoraussetzung ist dafür in erster Linie, die Bestimmungen zu kennen und über die technischen Möglichkeiten zur Einhaltung zu verfügen.

Im Folgenden soll auszugsweise ein Überblick über die Änderungen gegeben werden.

Zunächst einmal
Personenbezogene Daten sind alle Informationen aus denen ein Rückschluss auf eine bestimmte Person möglich ist.
Verarbeitung ist alles was mit Daten im Zusammenhang steht, wie erheben, erfassen, organisieren, ordnen, speichern, anpassen, ändern, auslesen, abfragen, verwenden, offenlegen durch Übermittlung, verbreiten, bereitstellen, abgleichen, verknüpfen, löschen, vernichten (Art. 4 Nr. 2 DSGVO) – im Grunde gibt es keine Tätigkeit in Verbindung mit personenbezogenen Daten, die nicht unter „verarbeiten“ fällt.
Die Einhaltung des Datenschutzes überwacht die Aufsichtsbehörde, die von jedem Bundesland eingerichtet wird. Für Bayern ist das bspw. das Bayerisches Landesamt für
Datenschutzaufsicht. Auf deren Homepage werden viele aktuelle Informationen und Unterlagen zum neuen Datenschutz bereitgestellt.

Datenschutzbeauftragter
Das BDSG-neu fordert die Ernennung eines Datenschutzbeauftragten, wenn ein Unternehmen in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt. Kommen also im Unternehmen zehn oder mehr Mitarbeiter mit personenbezogenen Daten in Kontakt (das Nutzen der E-Mail Adresse gehört dazu) so ist ein Datenschutzbeauftragter zu bestellen und der zuständigen Aufsichtsbehörde mitzuteilen. Verantwortlicher für die Einhaltung des Datenschutzes insgesamt bleibt stets die Unternehmensleitung.
Rechtsgrundlage für die Verarbeitung personenbezogener Daten
Dieser bedurfte es auch bisher schon. Im Hinblick auf die Beweislastumkehr, ist die Rechtsmäßigkeit der Verarbeitung jedoch sicher zu stellen. Der Arbeitsvertrag ist als Rechtsgrundlage geeignet, allerdings darf die Verarbeitung nur in dem Umfang stattfinden, wie sie zur Durchführung des Vertrags erforderlich ist.
Gleichermaßen kommt eine Einwilligung in Betracht. Diese muss sich jedoch konkret auf den einzelnen Vorgang beziehen. Die Einwilligung muss schriftlich vorliegen und über den Zweck der Datenverarbeitung sowie das Widerrufsrecht aufklären. Der Widerruf der Einwilligung muss so einfach möglich sein, wie es die Erteilung der Einwilligung war. Liegt ohne die Einwilligung keine weitere Rechtsgrundlage für die Verarbeitung personenbezogener Daten vor, z.B. bei Bewerbern, muss die Verarbeitung sofort eingestellt werden. Daten eines Bewerbers können daher nicht weiter gespeichert und für etwaige spätere Stellenvakanzen aufbewahrt werden.
Endet der Arbeitsvertrag, wird der Bewerber abgelehnt oder entfällt die Rechtsgrundlage zur Verarbeitung anderweitig weil z.B. der Zweck der Verarbeitung erreicht wurde, sind die Daten zu löschen soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Verzeichnis von Verarbeitungstätigkeiten
Sämtliche Tätigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten sind aufzuzeichnen und zu dokumentieren. Das Verzeichnis muss enthalten:

• den Namen und die Kontaktdaten des / der Verantwortlichen einschließlich des Vertreters sowie eines etwaigen Datenschutzbeauftragten,
• die Zwecke der Verarbeitung,
• eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten,
• die Kategorien von Empfängern (in Drittländern),
• etwaige Übermittlungen an ein Drittland,
• die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien und
• eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Das Verfahrensverzeichnis kann von der Aufsichtsbehörde bei Unternehmen abgerufen werden und bildet einen wesentlichen Baustein um die Einhaltung des Datenschutzes nachzuweisen.

Datenschutz-Folgenabschätzung
Birgt die Verarbeitung personenbezogener Daten ein besonders hohes Risiko für den Betroffenen, z.B. beim Erstellen von Profilen durch das Sammeln und Analysieren von Daten oder das Überwachen des Arbeitsorts, ist die Notwendigkeit und Verhältnismäßigkeit gesondert zu prüfen. Hierfür ist eine Datenschutz-Folgenabschätzung durchzuführen, die der Aufsichtsbehörde wiederum nachzuweisen ist.

Informationspflichten
Das Unternehmen muss die Personen, deren Daten es verarbeitet, über die Verarbeitungsvorgänge informieren. Sofern die Daten bei den Personen direkt erhoben werden, muss das sofort geschehen, etwa bei Abschluss des Arbeitsvertrages. Werden die Daten bei Dritten erhoben, muss die Information spätestens innerhalb eines Monats erfolgen. Zum Arbeitsvertrag wird es daher künftig einen Zusatz darüber geben müssen, welche Vorgänge mit den personenbezogenen Daten intern ablaufen werden. Inhaltlich orientiert sich die Information am Verfahrensverzeichnis, ergänzt um die Rechtsgrundlage, den Zweck und die Dauer der Verarbeitung. Dem Betroffenen sind ferner Angaben zu den Rechten auf Auskunft, Berichtigung, Löschung und Beschwerde bei den Aufsichtsbehörden sowie über die Widerruflichkeit einer erteilten Einwilligung zur Verfügung zu stellen. Es ist zudem darüber zu informieren, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche möglichen Folgen die Nichtbereitstellung hätte.

Die Umsetzung des neuen Datenschutzes stellt zunächst einmal Zeit- und Arbeitsaufwand dar. Es ist zu prüfen, ob und inwieweit Handlungsbedarf besteht und dieser sodann in die Tat umzusetzen. Die Neuregelungen zu ignorieren ist indes keine Option. Nicht allein das drohende Bußgeld und die Aufrüstung der Datenschutzbehörden sollten dabei ausschlaggebend sein, wenngleich beides erheblich ist. Unternehmen, die ganz selbstverständlich datenschutzrechtliche Vorgaben umsetzen stehen für Kompetenz und Sicherheit. Sie erwerben das Vertrauen von Kunden und steigern die Attraktivität als Arbeitgeber. Datenschutz sollte daher nicht länger als ungeliebte Pflicht sondern als Wettbewerbsvorteil betrachtet und in diesem Sinne umgesetzt werden.