Beschäftigten- datenschutz

Die Vorschriften der DSGVO und des BDSG setzen kein IT-gestütztes Verarbeiten von Personaldaten voraus; sie gelten auch für in Papierform geführte Personalakten, § 26 Abs. 7 BDSG-neu. Die Datenverarbeitung ist zulässig, wenn sie zur Entscheidung über die Begründung eines Beschäftigungsverhältnisses (etwa Bewerberdaten), für dessen Durchführung oder Beendigung erforderlich ist. Dazu gehören Pflichten, die sich aus Gesetzen (zum Beispiel Steuer- oder Sozialgesetze), aus Tarifverträgen und Betriebs- oder Dienstvereinbarungen ergeben. Die Verarbeitung besonderer Kategorien von Daten (u.a. Religionszugehörigkeit, Gesundheitsdaten) ist nach der DSGVO nach Art. 9 Abs. 2 Buchstabe b), § 26 Abs. 3 BDSG-neu zulässig.

Nach § 26 Abs. 8 BDSG-neu umfasst der Begriff auch Leiharbeitnehmerinnen und Leiharbeiter sowie Bewerber und ausgeschiedene Arbeitnehmende.

Falls Arbeitgeber für die Datenverarbeitung eine Einwilligung der Beschäftigten benötigt, muss sie nach § 26 Abs. 2 BDSG-neu in Schriftform eingeholt werden. Die Freiwilligkeit der Einwilligung wird vermutet, wenn sich für den Arbeitnehmer ein rechtlicher oder wirtschaftlicher Vorteil ergibt (zum Beispiel betriebliche Altersversorgung). Beschäftigte sind dabei auf die jederzeitige Widerrufsmöglichkeit ihrer Einwilligung hinzuweisen. Insofern muss jedes Unternehmen überprüfen, ob bisherige Einwilligungen, die von den Beschäftigten eingeholt wurden, noch gültig sind.

Die Anforderungen ergeben sich aus Art. 7 DSGVO. Fehlt es also an dem Hinweis auf das jederzeitige Widerrufsrecht und an der Darstellung des Zwecks der mit der Einwilligung verfolgten Datenverarbeitung, bestehen berechtigte Zweifel an der Gültigkeit der alten Einwilligungen nach dem 25.05.2018.

Nach Art. 22 Abs. 2 Buchstabe c) DSGVO bedarf eine automatisierte Entscheidung, etwa bei elektronischen Scoring-Verfahren im Personalbereich, einer ausdrücklichen Einwilligung der Beschäftigten.

Die Einwilligungen, zum Beispiel zur Verwendung eines Porträts im Internet oder zur privaten Nutzung von E-Mail und Internet mit Überprüfungsrecht des Arbeitgebers, sollten auf vom Arbeitsvertrag getrennten Dokumenten eingeholt werden. Ansonsten müsste bei jedem neuen Einwilligungserfordernis der Arbeitsvertrag geändert werden.

Auch bisherige Betriebs- oder Dienstvereinbarungen müssen auf ihre Übereinstimmung mit der DSGVO überprüft werden. Dabei geht es insbesondere um die erhöhten Transparenzpflichten nach Art. 13 und 14 DSGVO – also hier die Informationspflichten gegenüber den Beschäftigten. Die Informationspflichten betreffen speziell den genauen Datenkranz, der verarbeitet wird. Außerdem die Zwecke sowie die Angaben, an wen die Daten übermittelt werden. Dies betrifft auch den Hinweis auf etwaige Übermittlungen in Drittstaaten. Die Beschäftigten müssen dazu über ihre Rechte nach Art. 12 DSGVO informiert werden:

• Auskunftsrecht, Art. 15 DSGVO
• Rechts auf Berichtigung der Daten, Art. 16 DSGVO
• Recht auf Löschung von Daten, Art. 17 DSGVO
• Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO
• Rechts auf Datenübertragbarkeit, Art. 20 DSGVO

Als Rechtsgrundlage für eine Übermittlung von Personaldaten innerhalb eines Konzerns, etwa an ein Tochterunternehmen oder an die Konzernmutter, die die gesamte Personalverwaltung durchführt, kann auf Art. 6 Abs. 1 Buchstabe f) DSGVO gestützt werden – wenn die Erforderlichkeit für den Transfer dargelegt werden kann. Damit wäre auch eine Übermittlung von Daten in Drittstaaten zulässig, wenn dabei das angemessene Datenschutzniveau nach den Mechanismen der Art. 44 ff. DSGVO nachgewiesen werden kann.

Da zum Erfüllen etwa der Verpflichtung zur Abführung der Kirchensteuer die Religionszugehörigkeit erfasst werden muss, ist für die Verarbeitung der Personalstammdaten eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen. Dies gilt auch bei der Verarbeitung von Gesundheitsdaten (u.a. Krankmeldungen, betriebliches Wiedereingliederungsmanagement) oder automatisierten Personalentscheidungen.

1. Anforderungen nach DSGVO
Für Betroffene muss klar erkennbar sein, welche sie betreffenden personenbezogene Daten verarbeitet bzw. in welchem Umfang personenbezogene Daten gegenwärtig oder künftig verarbeitet werden. Insbesondere muss Folgendes deutlich werden:

• die Identität des Verantwortlichen
• die Zwecke der Verarbeitung
• die Informationen, die eine faire und transparente Verarbeitung gewährleisten
• das Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche personenbezogenen Daten verarbeitet werden
• die Aufklärung über Risiken, Rechte, Garantien hinsichtlich der Datenverarbeitung
• die Aufklärung darüber, wie Rechte geltend gemacht werden können.

Außerdem müssen die Grundsätze nach Art. 5 DSGVO ihren Niederschlag finden. Die Verarbeitung muss auf rechtmäßige Weise, nach Treu und Glauben in einer nachvollziehbaren Weise nur für einen festgelegten zu einem eindeutigen und legitimen Zweck erfolgen.

Dies galt auch schon nach bisherigem Recht. Neu ist aber: Die DSGVO erfordert darüber hinaus angemessene und besondere Maßnahmen im Hinblick auf die Transparenz der Verarbeitung oder über eingesetzte Arbeitsmittel.

Zu beachten:

• die Identifizierung des Arbeitnehmers darf nur so lange möglich sein, wie es für den Zweck der Verarbeitung erforderlich ist,
• die Speicherfristen sind auf das unbedingt erforderliche Mindestmaß zu beschränken.

2. Prüfschema für bestehende Betriebsvereinbarungen

a) Werden auf Grundlage der Betriebsvereinbarung personenbezogene Daten verarbeitet?

b) Enthält die Betriebsvereinbarung Angaben zu den Grundprinzipien nach Art. 5 DSGVO?

aa) Rechtmäßigkeit (= Erlaubnistatbestände vorhanden?) Verarbeitung rechtmäßig, nach Treu und Glauben und in nachvollziehbarer Weise?  Vgl. Art. 6 I a-f DSGVO, EG 39 und Art. 12 ff. DSGVO

bb) Zweckbindungsgrundsatz
Zweck deutlich vereinbart (konkret & detailliert)? Falls Verarbeitung zu anderem Zweck erfolgt: Vereinbarkeit mit altem Zweck

cc) Datenminimierung
Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke erforderliche Maß beschränkt? Wurden Strategien und Maßnahmen getroffen (Pseudonymisierung, technische Vorrichtungen)?

dd) Datenrichtigkeit
Sind Maßnahmen getroffen, um zu gewährleisten, dass personenbezogene Daten, die hinsichtlich des Zwecks ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden? Dienstvereinbarung sollte Regelungen zu Korrekturprozessen enthalten.

ee) Speicherbegrenzung
Sind klare Regelungen zu Speicherdauer von personenbezogenen Daten in Dienstvereinbarung getroffen?

ff) Integrität und Vertraulichkeit
Sind technisch-organisatorischen Maßnahmen vorhanden, um den Schutz vor unbefugter, unrechtmäßiger Verarbeitung sowie vor Schädigung, Zerstörung oder Verlust zu gewährleisten? Ist die Verarbeitung besonderer Datenkategorien (z. B. Religionszugehörigkeit, Gesundheitsdaten, biometrische Daten) ausreichend gesichert?

3. Werden besondere Kategorien personenbezogener Daten verarbeitet?
Dann Art. 9 DSGVO beachten. Besonders relevant bei: Zutrittssystemen mit biometrischer Datenverarbeitung, Einsatz von elektronischen Personalakten, Ausgestaltung des BEM, Durchführung von Assessment-Centern mit elektronischer Datenverarbeitung der Bewerberdaten.

4. Wurden Maßnahmen getroffen, um die Informationspflichten zu erfüllen?
Der Arbeitgeber muss Angaben machen zu: Name des Verantwortlichen, seines Vertreters, des betrieblichen Datenschutzbeauftragten, den Zweck sowie die Rechtsgrundlage der Verarbeitung, Speicherfristen, Betroffenenrechte, Empfänger der Daten, Beschwerderechte und Rechtsbehelfe, Datenverarbeitung im Drittland.

5. Wurden Maßnahmen getroffen, um die Betroffenenrechte zu berücksichtigen?
Sind die Angaben zu den Betroffenenrechten nach Art. 15 sowie Mitteilungen nach Art. 16 ff. DSGVO enthalten?

Die umfangreichen Angaben sollten als Anhang zum Arbeitsvertrag oder in der Betriebsvereinbarung abgebildet werden.