Neue Datenschutz-Grundverordnung: Ihre Pflichten als Arbeitgeber im Consulting
Mit dem Stichtag 25. Mai ist die EU-Datenschutz-Grundverordnung (DSGVO) und damit auch eine Neufassung des Bundesdatenschutzgesetzes (BDSG-neu) in Kraft getreten. Viele Fragen und To-dos sind bereits diskutiert, empfohlen und aufbereitet worden. Die Tücken liegen allerdings im Detail und eines steht fest: Das Thema "Datenschutz" wird ab jetzt eine Dauerbaustelle sein. Vor diesem Hintergrund wird Erlesen Sie regelmäßig über Entwicklungen mit Bezug zum Consulting informieren. In diesem Artikel von Dr. Alexander Lorenz (Baker Tilly) geht es um Ihre Pflicht als Arbeitgeber und was Sie - wenn es nicht bereits geschehen ist - schnellstmöglich nachholen sollten.
Jeder Mensch soll und kann über seine personenbezogenen Daten und deren Verwendung selbst bestimmen. So bleibt es auch nach Einführung der DSGVO dabei, dass die Verwendung personenbezogener Daten grundsätzlich verboten ist, solange keine Erlaubnis vorliegt (Prinzip des Erlaubnisvorbehalts). Ein Ziel der DSGVO ist es dabei, eine europaweite Harmonisierung des Datenschutzniveaus herbeizuführen.
Erlaubte Datenverarbeitung im Arbeitsverhältnis
Eine Erlaubnis zur Verwendung von Beschäftigtendaten erfolgt in der Regel aus dem Zweck zur Durchführung des Arbeitsverhältnisses (z.B. Adress- und Kontodaten). Schwieriger ist dies hingegen, wenn Daten erhoben werden sollen, die nicht notwendigerweise zur Durchführung des Arbeitsverhältnisses erforderlich sind (z.B. Performance-Daten im Konzern). Hierfür bedarf es der ausdrücklichen Einwilligung des Arbeitnehmers. An die Transparenz einer solchen Einwilligung sind noch stärkere Voraussetzungen als bisher geknüpft. Es genügt daher nicht mehr, einen allgemeinen Passus über Datenverarbeitung am Ende eines Arbeitsvertrages zu haben. Dem Arbeitnehmer muss der Zweck und die Erforderlichkeit der Erhebung klar und unmissverständlich erklärt und ihm eine Datenminimierung bei Wegfall der Erforderlichkeit zugesagt werden. Wir empfehlen hierfür einen separaten Side Letter zum Arbeitsvertrag.
Neu ist, dass Betriebsvereinbarungen ausdrücklich als taugliche Erlaubnistatbestände für die Verarbeitung personenbezogener Daten anerkannt wurden. Allerdings nur, wenn auch darin alle einzuhaltenden Vorgaben erfüllt werden. Die zuvor genannten Grundsätze zur Einwilligung müssen auch in Betriebsvereinbarungen berücksichtigt werden. Eine Überprüfung und Anpassung bestehender Betriebsvereinbarungen wird daher kaum vermeidbar sein.
Wichtig ist, die Arbeitnehmer auch auf Ihre umfassenden Informations-, Widerruf-, Transfer- und Löschungsrechte hinzuweisen. In der Praxis wird sich als schwierig erweisen, wenn ein Arbeitnehmer eine erklärte Einwilligung später widerruft und der Arbeitgeber die erhobenen Daten nicht mehr verwenden darf (z.B. Zeiterfassung). Es kann dann eine unterschiedliche Behandlung innerhalb von Mitarbeitergruppen erforderlich werden, die kaum praktikabel sein dürfte.
Dokumentations- und Nachweispflichten
Die neue Verordnung sieht nicht nur vor, dass der Arbeitgeber die getroffenen technischen und organisatorischen Maßnahmen ausführlich zu dokumentieren hat. Der Arbeitgeber muss auch nachweisen können, dass er personenbezogene Daten seiner Arbeitnehmer unter Beachtung aller DSGVO-Vorschriften verarbeitet. Dabei muss er die zweckgebundene Verarbeitung nachweisen und die Rechtsgrundlage der Verarbeitung benennen. Es reicht also nicht aus, sämtliche Vorgaben der DSGOV einzuhalten – diese müssen auch entsprechend nachgewiesen werden können.
Nicht zuletzt aus diesem Grund ist für Arbeitgeber eine sorgfältige Bestandsaufnahme aller Fälle der Verarbeitung von personenbezogenen Arbeitnehmerdaten unumgänglich. Neben der anschließenden Ermittlung und Zuordnung – beispielsweise von Löschfristen einzelner Daten – ist die Identifizierung der jeweils einschlägigen Rechtsgrundlagen für die jeweilige Datenerhebung, -verarbeitung und -speicherung besonders wichtig. Es empfiehlt sich auch, alle begleitenden Aktivitäten (Fortbildungen, Firewalls, Prozesse, etc.) zu dokumentieren, um bei Datenlecks einem Bußgeld zu entgehen. Dafür muss man aber die Dokumentation griffbereit vorlegen können.
Dringender Handlungsbedarf
Arbeitgeber sollten im Hinblick auf die genannten Pflichten ihre unternehmensinternen Prozesse daher gründlich überprüfen und ggf. anpassen lassen. Unternehmen sollten baldmöglich eine Bestandaufnahme der erhobenen personenbezogenen Arbeitnehmerdaten und der bisherigen Rechtsgrundlagen durchführen. Anschließend empfiehlt es sich, den ermittelten Stand anhand der Vorschriften der DSGVO und des BDSG-neu zu überprüfen und den Anpassungsbedarf zu ermitteln. Je nach Mitarbeiterzahl und Verarbeitungsvorgängen kann die Umsetzung sehr zeitaufwendig sein.
Was jetzt bereits erledigt sein sollte:
- Datenschutzbeauftragten benennen (Ausnahme: Kleine Unternehmen):
Unternehmen müssen unter bestimmten Voraussetzungen einen Datenschutzbeauftragten benennen. Er ist Pflicht, wenn im Unternehmen personenbezogene Daten automatisiert verarbeitet werden. - Verzeichnis der Verarbeitungstätigkeiten anlegen
- Im Verzeichnis der Verarbeitungstätigkeiten wird aufgelistet, welche Daten wann, wie und warum im Unternehmen erhoben werden (z.B. Personaldaten, Lohnbuchhaltung, etc.), wie diese geschützt werden und unter welchen Voraussetzungen sie weitergegeben werden. Der Arbeitgeber muss zudem den Weg der Daten nachzeichnen, von der Erhebung über die Speicherung bis zur Nutzung.
- Prozesse klar strukturieren und definieren
- Aus Dokumentationsgründen sollten die Prozesse der Datenverarbeitung klar strukturiert und optimiert werden.
- Datenschutzfolgeabschätzung
Bei der Verarbeitung besonders sensibler Daten wie zum Beispiel Sexualität, Krankheiten, Finanzen, rassische oder ethnische Herkunft oder politischen Ansichten muss eine Datenschutzfolgeabschätzung durchgeführt werden. Da die Voraussetzungen noch unklar sind, ist hier eine Beratung mit den Landesdatenschutzbehörden zu empfehlen.
Dr. Alexander Lorenz, Partner bei Baker Tilly
