Im Mai 2018 tritt europaweit die neue Datenschutzgrundverordnung (DSGVO) in Kraft. Ziel der Verordnung ist unter anderem die Verbesserung des Beschäftigtendatenschutzes. Die neue Datenschutzgrundverordnung hält deshalb auch für Arbeitgeber zahlreiche Änderungen im Vergleich zur vorherigen Regelung bereit. Doch wie sehen diese genau aus und welche Maßnahmen müssen gegebenenfalls getroffen, beziehungsweise welche Abläufe müssen verändert oder angepasst werden, um den neuen gesetzlichen Vorgaben zu genügen?

Wer ist von der Datenschutzgrundverordnung betroffen?

Zunächst einmal muss geklärt werden, wer überhaupt von der Datenschutzgrundverordnung betroffen ist, wer also Arbeitgeber und Arbeitnehmer im Sine der Verordnung sind.

Grundsätzlich sind alle Unternehmen die Arbeitnehmer beschäftigen Arbeitgeber. Von der Verordnung sind jedoch generell alle Stellen umfasst, die personenbezogene Daten im Zusammenhang mit einem Beschäftigungsverhältnis verarbeiten, also zum Beispiel auch Behörden, Personalvermittler und Betriebsräte. Auch der Beschäftigtenbegriff des Datenschutzgrundverordnung geht über den klassischen Arbeitnehmerbegriff hinaus. So fallen unter anderem auch Leiharbeiter, Auszubildende, Richter, Beamte und Soldaten unter den Schutz der Neuregelung.

Zulässigkeit der Datenverarbeitung

Eine der größten Neuerungen durch die Datenschutzgrundverordnung besteht darin, dass der Arbeitgeber in Zukunft nur noch Daten verarbeiten darf, die für die Entscheidung über eine Einstellung des Bewerbers oder zum Zwecke der Durchführung oder Beendigung eines Beschäftigungsverhältnisses „erforderliche“ sind.

Der Begriff der „Erforderlichkeit“ eröffnet zweifelsohne einen großen Spielraum für Interpretation. Einen Hinweis darauf wie dieser zu verstehen ist, enthält die Gesetzesbegründung. Dort heißt es, dass bei der Prüfung der Erforderlichkeit das Interesse des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten in einen möglichst schonenden Ausgleich zu bringen sind um somit beide Interessen weitgehend zu berücksichtigen. Es muss somit bei der Beurteilung, ob es sich um „erforderliche“ Daten handelt eine Interessenabwägung zwischen den Interessen des Arbeitgebers und des Arbeitnehmers anhand der Voraussetzungen des Einzelfalles vorgenommen werden.

Unabhängig von der „Erforderlichkeit“ ist es dem Arbeitgeber jedoch weiterhin erlaubt Daten zur Erfüllung gesetzlicher Verpflichtungen, Pflichten aus einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung zu erheben und zu verarbeiten. Dies kann unter Umständen auch gelten, wenn die Daten zur Aufdeckung einer Straftat erhoben werden.

Ist die Erhebung der Daten nicht „erforderlich“ und auch nicht aus anderen Gründen zulässig, so besteht für den Arbeitgeber noch die Möglichkeit eine Einwilligung des Beschäftigten einzuholen und die Datenverarbeitung so zulässig zu machen. Diese Einwilligung muss jedoch freiwillig abgegeben werden, was vom Arbeitgeber im Falle eines Rechtsstreits zu beweisen ist. Das dürfte in der Regel jedoch schwer fallen, da bei der Beurteilung der Freiwilligkeit das Abhängigkeitsverhältnis zwischen Arbeitgeber und Arbeitnehmer berücksichtigt werden muss. Nach der neuen Regelung kann Freiwilligkeit jedoch zum Beispiel auch dann vorliegen, wenn sich für den Beschäftigten ein Vorteil rechtlicher oder wirtschaftlicher Art ergibt oder Arbeitgeber und Arbeitnehmer gleichgelagerte Interessen verfolgen.

Die Einwilligung muss jedoch in jedem Falle schriftlich erfolgen, zudem muss der Beschäftigte auf das bestehende Widerrufsrecht hingewiesen werden und der Beschäftigte muss über den Zweck der Datenverarbeitung aufgeklärt werden. Auch bezüglich dieser Pflichten trifft den Arbeitgeber die Beweislast.

Informationspflichten

Auch die Informationspflichten nach der neuen Datenschutzgrundverordnung gehen deutlich über das hinaus, was bisher vom Arbeitgeber verlangt wurde. Die Regelungen in den Art. 12 ff. DSGVO sollen für mehr Transparenz sorgen.

So schreibt zum Beispiel Art. 13 Abs. 1 DSGVO eine ganze Liste von Informationen vor, die zu erteilen sind, wenn die personenbezogenen Daten direkt beim Betroffenen erhoben werden. Unter anderem besteht danach die Pflicht der betroffenen Person den Name und die Kontaktdaten des Verantwortlichen mitzuteilen und den Zweck anzugeben zu dem die Daten verarbeitet werden sollen. Diese Informationspflichten müssen bereits zum Zeitpunkt der Erhebung der Daten erfüllt werden. Art. 13 Abs. 2 DSGVO nennt zusätzliche Informationen, die erteilt werden müssen, wenn sie notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten.

Art. 14 DSGVO regelt ähnliche Informationspflichten für den Fall, dass die Daten nicht direkt bei der betroffenen Person erhoben wenden. In diesem Fall müssen die Informationen jedoch nach § 14 Abs. 3 DSGVO erst innerhalb einer angemessenen Frist, längstens jedoch innerhalb eines Monats, erteilt werden.

Auskunftspflichten

Nach Art. 15 DSGVO besteht zudem ein Auskunftsanspruch des Beschäftigten gegen den Arbeitgeber. Danach hat die betroffene Person das Recht eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten erhoben und verarbeitet werden. Ist dies der Fall, so ergibt sich daraus ein Recht auf Auskunft etwa über den Verarbeitungszweck, die Kategorie der Daten, deren Empfänger, das Bestehen eines Beschwerderechts bei der Aufsichtsbehörde und vieles mehr.

Dokumentationspflichten

Daneben treffen den Arbeitgeber auch umfangreiche Dokumentationspflichten, die sich neben der Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO aus Art. 24 Abs. 1 DSGVO ergeben. Danach ist der Verantwortliche dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß der Verordnung erfolgt ist.

Es müssen also nicht nur die Vorgaben der Datenschutzgrundverordnung eingehalten, sondern deren Einhaltung auch noch nachgewiesen werden.

Daneben enthalten noch zahlreiche andere Artikel der Verordnung eigenständige Dokumentationspflichten. Dabei ist vor allem auf das in Zukunft zu führende Verfahrensverzeichnis nach Art. 30 DSGVO hinzuweisen.

Folgen von Datenschutz-Verstößen

Eine wesentliche Änderung haben auch die Vorschriften zur Sanktionierung von Datenschutzverstößen erfahren. Die Bußgelder wurden deutlich angehoben. Nach der neuen Regelung sind nun Bußgelder bis zu 10 Millionen Euro oder 2% des weltweiten Umsatzes oder von bis zu 20 Millionen, beziehungsweise 4 % des weltweiten Umsatzes möglich.

Die tatsächliche Höhe bemisst sich dabei nach der Schwere des Verstoßes. Bußgelder sollen grundsätzlich jedem Verstoß folgen und eine abschreckende Wirkung haben. Ob der Rahmen für die Höhe des Bußgeldes in der Praxis jedoch tatsächlich ausgeschöpft wird, das bleibt abzuwarten.

Datenschutz-Prozess

Im Datenschutz-Prozess ist, wie oben bereits erwähnt, zu beachten, dass den Arbeitgeber bezüglich der Einhaltung der Datenschutzgrundverordnung die Beweislast trifft.

Zudem dürften Mitarbeiter-Klagen in Zukunft häufiger, beziehungsweise teurer werden, da es nach der neuen Datenschutzgrundverordnung auch möglich ist immaterielle Schäden einzuklagen.

Handlungsempfehlung

Unternehmen sollten aufgrund der umfangreichen Neuerungen alle Prozesse, die mit der Verarbeitung personenbezogener Daten im Zusammenhang stehen dahingehend überprüfen, ob eine Anpassung erforderlich ist.  Dafür sollte, um sich einen Überblick zu verschaffen, zunächst eine Bestandsaufnahme stattfinden. Anschließend sollte der bestehende Ist- mit dem wünschenswerten Soll-Zustand nach der Datenschutzgrundverordnung verglichen werden, um so aufzudecken welche Maßnahmen ergriffen werden müssen, um den Vorschriften der Datenschutzgrundverordnung zu genügen. Neben der Anpassung von Abläufen ist dabei auch die Schulung der Mitarbeiter nicht außer Acht zu lassen.

WK LEGAL berät und vertritt sowohl Arbeitgeber als auch Arbeitnehmer und Betriebsräte in sämtlichen arbeitsrechtlichen Fragestellungen. Wenn sie mehr erfahren wollen, besuchen Sie uns unter https://www.wklegal.de/expertise/arbeitsrecht.php oder schreiben Sie uns eine E-Mail an weste@wklegal.de