Praxisführung

EU-Datenschutz-Grundverordnung (EU-DSGVO)

Der Datenschutz im Arbeitsverhältnis

12.02.2018

Bis zum 25. Mai 2018 muss jedes Unternehmen die Vorgaben der EU-DSGVO und des neuen Bundesdatenschutzgesetzes (BDSG neu) umgesetzt und in den Unternehmensalltag integriert haben.
Bis zum 25. Mai 2018 muss jedes Unternehmen die Vorgaben der EU-DSGVO und des neuen Bundesdatenschutzgesetzes (BDSG neu) umgesetzt und in den Unternehmensalltag integriert haben.

In den nächsten Monaten wird die EU-DSGVO und das neue Bundesdatenschutzgesetz im Mittelpunkt des unternehmerischen Interesses stehen müssen. Denn der Countdown läuft unerbittlich dem 25. Mai 2018 entgegen. Bis dahin muss jedes Unternehmen die Vorgaben der EU-DSGVO und auch des neuen Bundesdatenschutzgesetzes (BDSG neu) umgesetzt und in den Unternehmensalltag integriert haben. Falls noch nicht geschehen, sollte deshalb in jedem Unternehmen die Umsetzung der EU-DSGVO ganz oben auf die Agenda der zu erledigenden Arbeiten stehen.

EU-Datenschutz-Grundverordnung (EU-DSGVO) – der Datenschutz im Arbeitsverhältnis

Die Anforderungen für das Arbeitsverhältnis ergeben sich aus Art. 88 EU-DSGVO und § 26 BDSG-neu. § 26 Abs. 1 Satz 1 BDSG-neu entspricht weitgehend der bisherigen Regelung des § 32 Abs. 1 Satz 1 BDSG-alt.

Nach beiden Regelungen dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben werden, soweit dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Als „erforderlich“ dürfte die Erhebung folgender Daten gelten: Name, Adresse, Kontoverbindung, Ausbildung, Qualifikationen, Arbeitszeiterfassung.

 

In § 26 Abs. 1 Satz 1 und Abs. 4 BDSG-neu ist ausdrücklich geregelt, dass die Verarbeitung von Beschäftigtendaten auf der Grundlage von Kollektivvereinbarungen zulässig ist. Dabei sind die strengen Maßstäbe hinsichtlich der Transparenz, Zweckbindung und der Angabe der Rechte der Arbeitnehmer der EU-DSGVO zu beachten.

Ferner kann die Datenerhebung durch eine „freiwillige“ Einwilligung des Arbeitnehmers gedeckt sein (§ 26 Abs. 2 BDSG-neu). An die Anforderungen einer „freiwilligen“ Einwilligung werden hohe Maßstäbe gesetzt. Sie ist an keine Form gebunden, sollte aber aus Beweisgründen schriftlich eingeholt werden.

Die Erhebung von sogenannten sensiblen Daten, wie etwa Gesundheitsdaten, bedarf immer der ausdrücklichen Einwilligung des betroffenen Arbeitnehmers. Es sind alle Arbeitsverträge, Betriebsvereinbarungen, Dienstordnungen, usw. zu überprüfen. Im Focus stehen dabei Regelungen unter anderem über

  • Personaldaten,
  • Abrechnungsdaten,
  • Nutzungsprotokollierungen IT/Mail,
  • Videoüberwachung,
  • Zeiterfassung,
  • Ortung durch GPS,
  • Bewerbungsverfahren,
  • BEM.

Der Arbeitgeber wird außerdem zwingend ein Verfahrensverzeichnis für jede einzelne Maßnahme erstellen müssen, wenn solche Abläufe bestehen. Der Arbeitgeber muss die Arbeitnehmer über die Datenerfassung informieren. Mitzuteilen sind:

  • Name (ggf. Firmenname gem. § 17 Abs. 1 HGB oder Vereinsname gem. § 57 BGB) und Kontaktdaten des Verantwortlichen sowie ggf. dessen Vertreter,

  • Kontaktdaten des ggf. vorhandenen Datenschutzbeauftragten,

  • Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen und zusätzlich die Rechtsgrundlage, auf der die Verarbeitung fußt,

  • das berechtigte Interesse, insofern die Datenerhebung auf einem berechtigten Interesse des Verantwortlichen oder eines Dritten beruht (Art. 6 Abs. 1 lit. f EU-DSGVO),

  • Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (vgl. Art. 4 Nr. 9 EU-DSGVO),

  • die geplante Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer,

  • die Betroffenenrechte (Auskunfts-, Löschungs-, Einschränkungs- und Widerspruchsrechte sowie das Recht auf Datenübertragbarkeit),

  • das Recht zum jederzeitigen Widerruf einer Einwilligung und die Tatsache, dass die Rechtmäßigkeit der Verarbeitung auf Grundlage der Einwilligung bis zum Widerruf unberührt bleibt,

  • das Beschwerderecht bei einer Aufsichtsbehörde,

  • die gesetzliche oder vertragliche Verpflichtung, personenbezogene Daten Dritten bereitzustellen und die möglichen Folgen der Nichtbereitstellung der personenbezogenen Daten und

  • im Falle einer automatisierten Entscheidungsfindung (einschließlich Profiling) aussagekräftige Informationen über die verwendete Logik, die Tragweite und angestrebten Auswirkungen einer derartigen Verarbeitung.

Gemäß Art. 12 Abs. 1 EU-DSGVO sind die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in klarer und einfacher Sprache zu übermitteln. Die Informationen sind schriftlich oder in anderer Form (ggf. elektronisch) zur Verfügung zu stellen.

Der Arbeitgeber hat im Hinblick auf das Transparenzgebot stets den Nachweis einer ordnungsgemäßen Erledigung der Informationspflichten zu erbringen.

 

Bei Nichtbeachtung oder Verstößen sieht die neue Rechtslage einen drastisch erhöhten Bußgeldrahmen von bis zu 20 Millionen Euro vor. Ferner können auch Mitbewerber wettbewerbsrechtliche Unterlassungsansprüche geltend machen. Daneben kann auch die Zahlung von Schadensersatz gefordert werden, und zwar von Betroffenen, als auch von Unternehmen.

 

Der Bremer Fachanwalt für Arbeitsrecht und Gewerblichen Rechtsschutz Klaus-Dieter Franzen, empfiehlt dies zu beachten und rät, bei Fragen zum Arbeitsrecht Rechtsrat in Anspruch zu nehmen. Der Autor ist Landesregionalleiter „Bremen“ des VDAA Verband deutscher Arbeitsrechtsanwälte e. V. (www.vdaa.de). Für Rückfragen steht Ihnen der Autor gerne zur Verfügung.

 

Der Autor:
Klaus-Dieter Franzen
Rechtsanwalt und Fachanwalt für Arbeitsrecht
Fachanwalt für Gewerblichen Rechtsschutz
FRANZEN Legal, Domshof 8-12
28195 Bremen
E-Mail: franzen@legales.de      
www.legales.de            

 

Hinweis der Redaktion:
Für eine fehlerfreie Umsetzung der neuen EU-Datenschutzverordnung gibt es einen Leitfaden "Datenschutz in der Zahnarztpraxis"  mit Checklisten und Vorlagen.
www.spitta.de/leitfaden-datenschutz

 

 

 

weiterlesen