Am 25. Mai 2016 ist nach vierjährigen Verhandlungen die umstrittene EU-Datenschutz-Grundverordnung (nachfolgend „DS-GVO“) in Kraft getreten. Sie wird nach einer Übergangszeit von zwei Jahren die EU-Datenschutz-Richtlinie 95/46/EG ablösen und das deutsche Datenschutzrecht in weiten Teilen ersetzen. Denn die DS-GVO gilt ab dem 25. Mai 2018 europaweit „unmittelbar und zwingend“. Nicht nur die umfangreichen Regelungen sorgen für dringenden Handlungsbedarf für jeden Arbeitgeber, sondern vor allem ihre gegenüber dem deutschen Datenschutzrecht erheblich verschärften Sanktionen. So können z. B. bei Verstößen gegen die Bestimmungen der DS-GVO Geldbußen in Höhe von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden. Im Hinblick auf den Beschäftigtendatenschutz enthält die DSGVO eine sog. Öffnungsklausel. Hiernach können die Mitgliedstaaten „spezifischere“ Regelungen erlassen. Die DS-GVO sieht hierzu weder eine Pflicht der nationalen Gesetzgeber noch Fristen vor. Deshalb wird in der einschlägigen Literatur lebhaft darüber diskutiert, inwieweit das deutsche Bundesdatenschutzgesetz (nachfolgend „BDSG“) und insbesondere § 32 weiterhin anwendbar bleiben. Ein eigenes Beschäftigtendatenschutzgesetz wird mit Spannung erwartet. Da aber vor dem Hintergrund des Bundeswahlkampfes 2017 keine bedeutenden Gesetzesänderungen mehr zu erwarten sein dürften, ist mit einem solchen Gesetz nicht vor dem Auslauf der zweijährigen Anpassungsfrist zu rechnen. Die (vorrangigen) Vorschriften der DS-GVO haben die Arbeitgeber aber unabhängig davon zu befolgen, ob ein nationales Gesetz erlassen wird oder nicht.

Für wen besteht der Handlungsbedarf?

Jeder Arbeitgeber, der Beschäftigtendaten erhebt, übermittelt oder anderweitig verwendet, unterfällt der DS-GVO. Ausgeklammert sind lediglich die Datenverarbeitungsvorgänge, die der Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten dienen. Neu ist die Anknüpfung der DS-GVO an die Niederlassung des Arbeitgebers, unabhängig davon, ob die Datenverarbeitung tatsächlich in der Union stattfindet. Die DS-GVO gilt für die ganz, teilweise oder nichtautomatisierte Datenverarbeitung, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Ein Arbeitgeber hat zudem die Vorgaben der DS-GVO dann zu beachten, wenn er Personalakten lediglich in Papierform führt bzw. personenbezogene Daten von Bewerbern und/oder Arbeitnehmern in einem persönlichen Gespräch erhebt.

Handlungsempfehlungen

Arbeitgebern ist zu raten, noch vor dem Auslauf der zweijährigen Frist die Datenverarbeitungsvorgänge in ihren Unternehmen auf ihre Vereinbarkeit mit den Vorgaben der DS-GVO zu überprüfen und bei Bedarf anzupassen. Hierzu könnte Folgendes erforderlich sein:

1. Abschluss bzw. Anpassung von Betriebsvereinbarungen

Die Verarbeitung von Beschäftigtendaten aufgrund (wirksamer) Betriebsvereinbarungen (nachfolgend „BV“) bleibt weiterhin möglich. Sie sollten dabei die (Mindest-)Vorgaben der DS-GVO abbilden.
Die wichtigsten (allgemeinen) Anforderungen der DS-GVO an eine datenschutzrechtliche Ermächtigungsgrundlage sind:

  • Zweckbindung (der eindeutige Verarbeitungszweck – z. B. Erfüllung arbeitsvertraglicher Pflichten, wie Personalverwaltung, Lohn- und
    Gehaltsabrechnung – muss in der Rechtsgrundlage festgelegt werden; die Datenverarbeitung zu anderen Zwecken ist dann grundsätzlich unzulässig)
  • Beschränkung der Speicherdauer (Beschäftigtendaten dürfen in der Regel nur solange gespeichert werden, wie dies zum Erreichen der festgelegten Zwecke erforderlich ist)
  • Datenminimierung (nur die für die Erreichung der Zwecke erforderlichen Daten dürfen erhoben und verarbeitet werden)
  • Datenrichtigkeit und- aktualität (der Arbeitgeber hat die unzutreffenden oder nicht mehr benötigten Daten unverzüglich zu löschen oder zu berichtigen)
  • Datensicherheit (der Arbeitgeber hat die erhobenen Daten vor unbefugtem Zugriff Dritter bzw. vor zufälligem Verlust zu schützen).

Die datenschutzrechtlichen BV sollten somit die aufgezeigten Grundsätze sicherstellen und möglichst in klarer und einfacher Sprache verfasst werden. Als mögliche Regelungsfelder kommen insbesondere in Betracht:

  • Aufklärung von Beschäftigten über ihre Rechte nach der DS-GVO
  • Auftragsdatenverarbeitung (z. B. Lohnabrechnungen oder Aktenvernichtung durch externe Dienstleister)
  • Umgang mit besonderen Datenkategorien (Gesundheitsdaten, Religion usw.)
  • Verarbeitung von Beschäftigtendaten in Ablagesystemen (z. B. SAP) etc.

Praxistipp:

Bereits abgeschlossene BV sollten auf ihre Vereinbarkeit mit der DSGVO überprüft werden. Falls keine existieren, sollte dies unter Beachtung der o. g. Grundsätze zeitnah nachgeholt werden. Zu achten ist wie erwähnt auf die exakte Beschreibung der Datenverarbeitungszwecke sowie der Beschäftigtenrechte.

2. Einholung von Einwilligungen

Im Arbeitsverhältnis war und bleibt die Einwilligung des Beschäftigten typischer datenschutzrechtlicher Erlaubnistatbestand. Sie kann nach der DS-GVO auch mündlich oder elektronisch erteilt werden. Da der Arbeitgeber die Einwilligungserteilung beweisen muss, empfiehlt es sich, eine schriftliche Erklärung einzuholen. Eine wirksame Einwilligung setzt ebenfalls die Erfüllung der allgemeinen Grundsätze der DS-GVO voraus. Darüber hinaus ist erforderlich, dass:

  • die Einwilligung im Hinblick auf den bestimmten Verwendungszweck und ohne Zwang erteilt wird (der erste Entwurf der DS-GVO klammerte die Einwilligung im „arbeitsrechtlichen“ Kontext als datenschutzrechtlichen Tatbestand wegen eines klaren Ungleichgewichts der Vertragspartner weitgehend aus; Arbeitsverhältnisse waren im Kommissionsentwurf als Beispiel für die mangelnde Freiwilligkeit aufgeführt; dieser Vorschlag fand in der Endfassung keinen Niederschlag; die DS-GVO nennt als Beispiel für eine Situation möglichen Ungleichgewichts nun die Einwilligungserklärung gegenüber einer Behörde; im arbeitsrechtlichen Kontext kommt es somit auf eine differenzierte Prüfung im Einzelfall an, ob die Erklärung ohne Zwang erteilt wurde)
  • das Ersuchen um Einwilligung in verständlicher und zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgt
  • die Einwilligungserklärung von anderen Erklärungen klar getrennt werden kann.

Die Einwilligung ist für die Zukunft widerruflich. Der Widerruf muss dabei genauso einfach wie die Erteilung sein.

Praxistipp

Fehlende Einwilligungen sollten eingeholt werden. Die bereits erteilten Erklärungen sind auf ihre Vereinbarkeit mit den aufgezeigten Vorgaben der DS-GVO zu überprüfen und ggf. anzupassen.

3. Aufklärung von Beschäftigten

Arbeitgeber haben nach der DS-GVO zahlreiche Informations- und Aufklärungspflichten. Z. B. müssen Beschäftigte fristgemäß über ihre Rechte unterrichtet werden. Zu den wesentlichen Beschäftigtenrechten gehören insbesondere:

  • das Recht auf Zugang, Berichtigung, Löschung und Herausgabe von personenbezogenen Daten
  • das Widerspruchs- und Auskunftsrecht
  • das Beschwerde- und Klagerecht
  • das Schadenersatzrecht etc.

Arbeitgeber haben ihre Beschäftigten bereits zum Zeitpunkt der Datenerhebung aufzuklären, wenn sie die Daten direkt erheben. Im Fall einer „Dritterhebung“ sieht Art. 14 DS-GVO eine angemessene Informationsfrist vor. In der Praxis bietet sich insbesondere die Unterrichtung durch allgemeine Datenschutzbedingungen bzw. (Rahmen-) BV an.

Checkliste

Arbeitgeber könnten anhand der folgenden Checkliste prüfen, ob in ihrem Fall Handlungsbedarf besteht:

  • Ist für jeden Datenverarbeitungsprozess eine Erlaubnisgrundlage hinreichend dokumentiert, insbesondere:
  • Sind Einwilligungserklärungen nachweisbar sowie in klarer und leicht verständlicher Sprache formuliert?
  • Bilden die BV die Anforderungen der DS-GVO hinreichend ab?
  • Werden die Vorgaben der DS-GVO für die Verarbeitung besonderer Datenkategorien (z. B. Gesundheit, Rasse usw.) befolgt?
  • Entspricht die Auftragsdatenverarbeitung den Anforderungen der DS-GVO?
  • Ist ein Verfahren etabliert, mit dem evtl. Datenschutzpannen innerhalb der gesetzlichen Fristen der zuständigen Aufsichtsbehörde bzw. den Betroffenen gemeldet werden können?
  • Wurden geeignete technische und organisatorische Maßnahmen getroffen, die sicherstellen, dass beim Einsatz der Systeme nur die notwendigen personenbezogenen Daten verarbeitet werden und dass sie nur in dem tatsächlich erforderlichen Umfang verarbeitet werden?
  • Werden die Beschäftigten ausreichend und transparent über ihre Rechte informiert?
  • Ist die Bestellung eines betrieblichen Datenschutzbeauftragten nach Art. 37 DS-GVO (ggf. in Verbindung mit § 4 f BDSG) erforderlich?

Fazit

Die europaweiten Neuregelungen im Bereich des Datenschutzes bringen für deutsche Arbeitgeber umfangreiche Handlungspflichten mit sich. Sie haben sowohl die Regelungen der DS-GVO als auch nationale datenschutzrechtliche Vorschriften zu beachten. Die gerade im Arbeitsverhältnis typischen Erlaubnisgrundlagen für die Datenverarbeitung – BV und Einwilligungen – sollten die aufgezeigten Vorgaben der DS-GVO hinreichend abbilden. Darüber hinaus sind die Beschäftigten über ihre Rechte klar und verständlich zu unterrichten.