Praxisführung


Ein Jahr Datenschutz-Grundverordnung (DS-GVO): Was ist zu beachten?

© zerbor/fotolia
© zerbor/fotolia

Seit dem 25.5.2018 sind die Datenschutz-Grundverordnung (DS-GVO) und das geänderte Bundesdatenschutzgesetz (BDSG) in Kraft. Diese brachten eine erhebliche Verschärfung der datenschutzrechtlichen Verpflichtungen mit sich, die sich auch auf die Arbeitsverhältnisse im besonderen Maße ausgewirkt haben. Anbei die wichtigsten Details.

Die Unternehmen sind seither verpflichtet, die Einhaltung der DS-GVO zu dokumentieren und nachzuweisen. Bei Verstößen gegen die Datenschutzbestimmungen drohen hohe Bußgelder bis zu 20 Mio. Euro. Nahezu alle Unternehmen haben ein schriftliches oder elektronisches Verzeichnis von Verarbeitungstätigkeiten zu führen, in dem jede Art des Umgangs mit personenbezogenen Daten erfasst ist. Dies gilt auch für Arbeitnehmerdaten. Bei Datenpannen muss in jedem Fall die zuständige Aufsichtsbehörde unverzüglich informiert werden, im Einzelfall auch der Betroffene.

Datenverarbeitung für Zwecke des Arbeitsverhältnisses ist zulässig, wenn dies für die Einstellungsentscheidung, die Durchführung oder die Beendigung des Arbeitsverhältnisses erforderlich ist. Gleiches gilt, wenn dies zur Erfüllung von Pflichten aus Gesetz, Tarifvertrag oder Betriebsvereinbarung erforderlich ist. Zur Aufdeckung von Straftaten ist die Datenverarbeitung nur erlaubt, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist, die Verhältnismäßigkeit gewahrt ist und keine schutzwürdigen Beschäftigteninteressen überwiegen.

Soweit die Verarbeitung personenbezogener Daten im Arbeitsverhältnis nicht durch diese Bestimmungen, insbesondere die Erforderlichkeit, abgedeckt ist, ist die schriftliche Einwilligung des Arbeitnehmers notwendig. Einwilligungen müssen trotz der Abhängigkeit im Arbeitsverhältnis auf echter Freiwilligkeit beruhen und müssen jederzeit widerruflich sein. Der Arbeitnehmer muss über den Zweck der Datenverarbeitung und sein Widerrufsrecht aufgeklärt werden.

Ein Datenschutzbeauftragter erforderlich

Unternehmen müssen zudem einen Datenschutzbeauftragten bestellen, wenn dort in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, wenn personenbezogene Daten geschäftsmäßig verarbeitet werden oder wenn die umfangreiche Verarbeitung besonderer Daten Hauptaufgabe des Unternehmens ist. Datenschutzbeauftragter kann entweder ein dafür qualifizierter Arbeitnehmer oder eine externe Person sein. Personenbezogene Daten von Bewerbern dürfen nur dann verarbeitet werden, wenn dies für die Einstellungsentscheidung erforderlich ist. Bei Beendigung des Bewerbungsverfahrens sind Daten abgelehnter Bewerber zu löschen und Unterlagen zurückzuschicken, am besten aber erst nach vier Monaten. Auch Daten des ausgewählten Bewerbers, die für die Durchführung des Beschäftigungsverhältnisses nicht mehr benötigt werden, sind zu löschen, z.B. Schulzeugnisse und Praktikumsbescheinigungen.

Fragen an den Bewerber müssen einen Bezug zu dem Arbeitsplatz haben und sich auf das erforderliche Maß für die Einstellungsentscheidung beschränken. Die bisher bekannte „Verpflichtung auf das Datengeheimnis“ muss nun auf alle Personen erstreckt werden, die Zugang zu personenbezogenen Daten haben. Das hierfür verwendete Formular muss an die neue Rechtslage angepasst werden.

Für die Durchführung eines betrieblichen Eingliederungsmanagements (BEM) ist die Einwilligung des Arbeitnehmers erforderlich. Eine BEM-Akte muss separat von der Personalakte geführt werden. Für die Veröffentlichung von Mitarbeiterfotos, z.B. im Internet, muss vorher die schriftliche Einwilligung des Mitarbeiters unter Nennung des konkreten Verwendungszweckes eingeholt werden.

Heimliche Videoüberwachungen von Mitarbeitern sind nur noch sehr eingeschränkt zulässig und kommen nur bei einem konkreten Verdacht einer Straftat gegen eine bestimmte Person in Betracht, sofern es keine milderen Mittel zur Aufklärung gibt. Die Gründe und die Vorgehensweise sind zu dokumentieren. Die Aufzeichnungen sind unverzüglich zu löschen, wenn sie für den Zweck nicht mehr notwendig sind.

Eine automatische Weiterleitung von E-Mails, die an den ausgeschiedenen Mitarbeiter gerichtet waren, sollte nicht erfolgen. Stattdessen sollten die E-Mails zunächst auf eine andere E-Mail- Adresse weitergeleitet und nach ca. 6 Wochen das E-Mail-Konto gelöscht werden. Zu beachten ist zudem, dass dann, wenn der Zweck der Datenverarbeitung wegfällt, was insbesondere bei Beendigung des Arbeitsverhältnisses der Fall ist, alle Daten unverzüglich zu löschen und Unterlagen zu vernichten sind, sofern nicht ausnahmsweise rechtliche Verpflichtungen, wie z.B. Aufbewahrungspflichten oder berechtigte Interessen zur Durchsetzung oder Abwehr von Rechtsansprüchen entgegenstehen.

Tipp für die Praxis

Nachdem ein Mitarbeiter, der zum Datenschutzbeauftragten bestellt wird, Sonderkündigungsschutz genießt und nur aus wichtigem Grund gekündigt werden kann, ist dringend zu empfehlen, dann, wenn die Bestellung eines Datenschutzbeauftragten erforderlich sein sollte, eine externe Person oder Firma hierfür zu bestellen.  

Näheres zum Autor des Fachbeitrages: Hans-Jürgen Marx


Visalys® CemCore ist das neue Produkt von Kettenbach Dental. Es eignet sich nicht nur zur Befestigung, sondern – und das ist das Entscheidende – Visalys CemCore eignet sich gleichzeitig hervorragend als Stumpfaufbaumaterial.

Wir haben nachgefragt, was es mit diesem Produkt auf sich hat. 

Mehr Infos

Die Healthcare Futurists veranstalten in Zusammenarbeit mit BFS health finance vom
13. bis 15. März 2020 einen exklusiven Odontathon in Berlin. Zahnärzte können gemeinsam mit kompetenten und erfahrenen Coaches Lösungen für die Zukunft der Dentalbranche entwickeln.

Mehr Infos und Anmeldung