Der Beschäftigtendatenschutz als Teil der neuen Datenschutz-Grundverordnung (DSGVO)

Der neue Beschäftigtendatenschutz ab Mai 2018

Im Dezember 2015 einigten sich die EU-Kommission und das Europäische Parlament auf neue Vorgaben der Datenschutz Grundverordnung, die von Unternehmen, nach einer Umstellungszeit von zwei Jahren, ab dem 25. Mai 2018 einzuhalten sind.
Die Anpassungen des europäischen Datenschutzrechts betreffen dabei sowohl personenbezogene Daten von Klienten eines Unternehmens als auch die Daten der Beschäftigten dieses Unternehmens.

Dieser sogenannte Beschäftigtendatenschutz unterliegt auf nationaler Ebene der individuellen Ausgestaltung des jeweiligen EU Mitgliedsstaats. In Deutschland liegen solche spezifischen Regelungen in Form des „Datenschutz-Anpassungs- und Umsetzungsgesetzes EU“ vor, das ebenfalls ab Mai 2018 rechtlich geltend ist.

Für Arbeitgeber gilt es daher, die unternehmerischen Prozesse im Hinblick auf die neue Datenschutz Grundverordnung und besonders den Beschäftigtendatenschutz zu überprüfen und gegebenenfalls anzupassen. Neben personellen Verwaltungsprozessen und anderen Verarbeitungsvorgängen sollten dabei auch alle bestehenden Betriebsvereinbarungen erneut auf ihre Rechtskonformität geprüft werden.

Grundlagen der neuen Datenschutz Grundverordnung

Die neue Datenschutz Grundverordnung, welche die seit dem Jahr 1995 geltende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten ersetzt, verfolgt vorrangig folgende Ziele:

• Den Schutz personenbezogener Daten innerhalb der EU
• Die Gewährleistung des freien Datenverkehrs innerhalb der EU
• Den Schutz der Grundrechte und – Freiheiten durch die oben genannten Ziele

Die Bestimmungen der Datenschutz Grundverordnung betreffen in Deutschland dabei sowohl die automatisierte, als auch die nichtautomatisierte Verarbeitung personenbezogener Daten und müssen gemäß des Beschäftigungsdatenschutzgesetzes in jedem Fall vom Arbeitgeber eingehalten werden.

Folgende Grundsätze der Datenverarbeitung sind unter anderem in der neuen Verordnung zum Beschäftigtendatenschutz festgehalten:

• Rechtmäßigkeit
  Personenbezogene Daten sind im Unternehmen „rechtmäßig“ zu verarbeiten. Die Verordnung enthält hierfür gewisse Erlaubnistatbestände, die die Verarbeitung solcher Daten rechtfertigt.

• Transparenz
  Personenbezogene Daten sind so zu verarbeiten, dass der Prozess für die betroffenen Personen nachvollziehbar ist. Betroffene Personen müssen über die Verarbeitung ihrer Daten sowie über deren Zweck in Kenntnis gesetzt werden.

• Zweckbindung
  Personenbezogene Daten dürfen nur für im Vorfeld festgelegte eindeutige und legitime Zwecke erhoben und verarbeitet werden.

• Datenminimierung
  Der Umfang der erhobenen Daten muss dem Zweck entsprechend auf das geringste notwendige Maß beschränkt sein.

• Integrität und Vertraulichkeit
  Die Sicherheit der erhobenen Daten muss vom Verantwortlichen durch entsprechende technische Maßnahmen gewährleistet sein.

Grundlagen des Beschäftigtendatenschutzes

Es ist zu beachten, dass die nationalen gesetzlichen Spezifizierungen nur dann gelten, wenn die EU Verordnung keine unmittelbare Regelung für den jeweiligen Bereich beinhaltet – das trifft insbesondere auf den Beschäftigtendatenschutz zu. Durch das Beschäftigungsdatenschutzgesetz sollen deshalb die Daten Beschäftigter sowie ihre Rechte und Freiheiten innerhalb des Beschäftigungsverhältnisses geschützt werden.

Folgende Vorgaben sind von Arbeitgebern bei der Verarbeitung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses zu beachten:

• Rechtmäßige Verarbeitung personenbezogener Daten von Beschäftigten
  Die Verarbeitung personenbezogener Daten von Beschäftigten muss im Sinne des Beschäftigungsdatenschutzgesetzes zwingend erforderlich sein und für einen rechtmäßigen Zweck erfolgen.
  Dazu zählen unter anderem die interne Personaladministration, die Planung und Erfassung der Arbeitszeit sowie die Gehaltsberechnung oder die Meldung zur Sozialversicherung.

• Datenverarbeitung auf Grundlage einer Einwilligung
  Der Arbeitgeber ist gesetzlich verpflichtet, vor der Verarbeitung personenbezogener Daten eine Einverständniserklärung des betroffenen Beschäftigten einzuholen.
  Diese Erklärung hat den Zweck der Datenverarbeitung sowie die Art der verarbeiteten Daten konkret und verständlich zu benennen und ist nachweislich zu dokumentieren.

• Umgang mit besonderen Kategorien personenbezogener Daten
  Gesonderten Regelungen unterliegt im Beschäftigtendatenschutz die Verarbeitung sogenannter besonderer Kategorien personenbezogener Daten. Dazu zählen unter anderem Informationen, die über die ethnische Herkunft, die religiöse oder politische Überzeugung oder den Gesundheitszustand des Beschäftigten Aufschluss geben.
  Diese Daten dürfen vom Arbeitgeber nur in bestimmten Ausnahmefällen erfasst und verarbeitet werden, die im nationalen Beschäftigungsdatenschutzgesetz festgeschrieben sind. Dazu zählt zum Beispiel die Nutzung gesundheitsbezogener Daten zur Entgeltfortzahlung bei längeren krankheitsbedingten Ausfällen.

Ernennung eines betrieblichen Datenschutzbeauftragten

Die Datenschutz Grundverordnung schreibt in Unternehmen, deren Kerntätigkeit in der Verarbeitung oder Überwachung personenbezogener Daten besteht, die Benennung eines Datenschutzbeauftragten vor.

Das deutsche Beschäftigungsdatenschutzgesetz spezifiziert diese Vorgaben wie folgt:

• Benennungspflicht
  Der Benennungspflicht eines Datenschutzbeauftragten unterliegen Arbeitgeber von Unternehmen mit mindestens zehn Beschäftigten, deren Kerntätigkeit in der automatisierten Datenverarbeitung liegt.
  Dazu zählt auch die Datenverarbeitung zum Zweck der personenbezogenen oder anonymisierten Übermittlung sowie zu Zwecken der Markt- oder Meinungsforschung.

• Zentrale Aufgaben
  Der Datenschutzbeauftragte hat den Arbeitgeber sowie die Beschäftigten über die Verarbeitung personenbezogener Daten hinsichtlich des Beschäftigtendatenschutzes zu informieren und die Einhaltung der gesetzlichen Vorschriften zu überwachen.
  Darüber hinaus ist er Ansprechpartner für betroffene Beschäftigte sowie für die Aufsichtsbehörde, zum Beispiel im Rahmen einer Datenschutz-Folgenabschätzung.

• Verantwortung
  Die Verantwortung für die Einhaltung des Beschäftigtendatenschutzes liegt dennoch stets beim verantwortlichen Arbeitgeber. Der benannte Datenschutzbeauftragte kann für eine eventuelle Nichteinhaltung der Datenschutz Verordnung nicht persönlich belangt werden.

Weitere Informationen zum Beschäftigtendatenschutz

Weiterführende Erklärungen zu den Anwendungsbereichen der gesetzlichen Bestimmungen, zum Umgang mit besonderen Kategorien personenbezogener Daten sowie zu den Rechten betroffener Beschäftigter finden Sie in der entsprechenden Literatur der Arbeitgeberbibliothek.