Am 25.05.2018 treten die europäische Datenschutzgrundverordnung (nachfolgend: „DSGVO“) sowie eine neue Fassung des Bundesdatenschutzgesetzes in Kraft. Dadurch treten unmittelbar Veränderungen des bestehenden Datenschutzrechts bei der Verarbeitung personenbezogener Beschäftigtendaten ein. Zu den Beschäftigtendaten im Sinne der DSGVO zählen Bewerberdaten, Arbeitnehmerdaten, aber auch Daten ausgeschiedener Arbeitnehmer.
Hinsichtlich der Zulässigkeit einer Datenverarbeitung im Beschäftigungsverhältnis erfindet die DSGVO das Rad nicht neu, sondern gibt dieser nunmehr auf europäischer Ebene einen einheitlichen Rechtsrahmen, der gleichwohl Änderungen und Ergänzungen zu dem bestehenden Recht vorsieht. Da eine umfassende Auseinandersetzung mit allen Änderungen im Rahmen dieses Beitrages nicht möglich ist, möchten wir vorliegend auf die neu eingeführten Informationspflichten des Arbeitgebers hinweisen:
Verarbeitung von Beschäftigtendaten
Die Verarbeitung von personenbezogenen Beschäftigtendaten bleibt weiterhin zulässig, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach dessen Begründung für dessen Durchführung oder Beendigung erforderlich ist. Darüber hinaus ist die Verarbeitung von personenbezogenen Daten weiterhin zulässig, wenn sie zur Aufdeckung von im Beschäftigungsverhältnis begangenen Straftaten erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Datennutzung nicht überwiegt. Neu ist die Zulässigkeit der Datenverarbeitung zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einer Kollektivvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung des Beschäftigten. Erforderlich ist die Datenverarbeitung für den Arbeitgeber immer dann, wenn die Interessen des Arbeitgebers an der Datenverarbeitung gegenüber den Interessen des Beschäftigten überwiegen. Es sind also die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten in einen schonenden Ausgleich zu bringen, der beide Interessen berücksichtigt und abwägt.
Zudem besteht weiterhin die Möglichkeit, eine Einwilligung des Beschäftigten zu der Verarbeitung seiner Daten im Beschäftigungsverhältnis einzuholen. Hier bestehen jedoch regelmäßig – wie auch schon vorher – erhebliche Zweifel an der Wirksamkeit solcher Einwilligungen, da die herrschende Meinung davon ausgeht, dass im Rahmen eines Beschäftigungsverhältnisses regelmäßig keine Freiwilligkeit bei der Abgabe einer Einwilligung vorliege, sondern diese im Beschäftigungsverhältnis aufgrund des Abhängigkeitsverhältnisses immer unter gewissem Druck abgegeben werde und somit unwirksam sei.
Diesbezüglich sieht die DSGVO keine wesentlichen Änderungen zu dem jetzt geltenden Recht vor.
Pflichtinformationsblatt für die Beschäftigten
Eine der wesentlichen Änderungen tritt allerdings in Hinblick auf die neu eingeführten Informationspflichten des Arbeitgebers ein. Aufgrund Art. 13 DSGVO sind die von einer Datenverarbeitung betroffenen Beschäftigten nunmehr über die Verarbeitung ihrer personenbezogenen Daten zu informieren, wenn der Arbeitgeber diese bei dem Beschäftigten direkt erhebt, was der Regelfall sein dürfte.
Dieser Informationspflicht hat der Arbeitgeber mithilfe eines sogenannten Pflichtinformationsblatts nachzukommen, welches dem Beschäftigten zu übermitteln ist. Das Pflichtinformationsblatt dient in erster Linie dazu, Transparenz für den betroffenen Beschäftigten über die Verarbeitung seiner Daten zu schaffen. Ihm soll bekannt sein, wer, zu welchem Zweck, wo, auf welcher Rechtsgrundlage usw. die personenbezogenen Daten verarbeitet. Daher hat das Pflichtinformationsblatt u.a. die folgenden Informationen zu enthalten:
- Namen und die Kontaktdaten des Verantwortlichen;
- Kontaktdaten des Datenschutzbeauftragten;
- Kategorie der personenbezogenen Daten;
- Zwecke der Verarbeitung;
- Rechtsgrundlage der Verarbeitung;
- Dauer für die Speicherung der personenbezogenen Daten;
- Das Widerrufsrecht einer etwaig erteilten Einwilligung;
- Das Recht auf Löschung der verarbeiteten personenbezogenen Daten;
- …
Sobald ein Bewerber etwa seine Daten im Rahmen einer Bewerbung an den potenziellen Arbeitgeber übermittelt und dieser die Bewerbung in Empfang nimmt, hat der potenzielle Arbeitgeber den Bewerber grundsätzlich über die Verarbeitung der Daten zu informieren.
Auch im bestehenden Beschäftigungsverhältnis sind die Beschäftigen zu informieren. Zwar besteht aufgrund der DSGVO grundsätzlich keine Informationspflicht, wenn die Daten bereits vor dem 25.05.2018 erhoben wurden. Etwas anderes dürfte allerdings für personenbezogene Daten von Beschäftigten gelten, da im Rahmen eines Beschäftigungsverhältnisses personenbezogene Daten in aller Regel neu verarbeitet werden. Was unter erneuter Verarbeitung zu verstehen ist, ist noch nicht abschließend geklärt. Eine überzeugende Ansicht geht allerdings von einer erneuten Verarbeitung der Beschäftigtendaten bereits dann aus, wenn der Arbeitgeber diese für die Erstellung der monatlichen Lohnabrechnungen benötigt. Daher empfehlen wir dringend, der Informationspflicht auch gegenüber Beschäftigten nachzukommen, die vor dem 25.05.2018 ihr Beschäftigungsverhältnis aufgenommen haben und deren personenbezogene Daten bereits erhoben wurden. Nichts anderes dürfte für personenbezogene Daten von ausgeschiedenen Arbeitnehmern gelten, wenn diese – etwa zur Erfüllung einer Betriebsrente – weiter verarbeitet werden. Auch hier empfehlen wir die Übermittlung eines Informationsblatts.
Neben der zuvor genannten Informationspflicht sind eine Vielzahl von anderen Aspekten, wie insbesondere die Weitergabe personenbezogener Beschäftigtendaten an externe Dritte, die Auftragsdatenverarbeitung und die Verarbeitung sensibler personenbezogener Daten zusätzlich unter Berücksichtigung der Vorgaben der DSGVO zu beachten. Eine Auseinandersetzung mit den neuen Regelungen scheint nicht zuletzt aufgrund der höheren Bußgelder unumgänglich. Während nach den bisherigen Bußgeldregelungen Bußgelder bis EUR 300.000 bei Verstößen gegen geltendes Recht denkbar waren, beträgt die maximale Geldbuße im Rahmen der DSGVO nun bei bestimmten Verstößen bis zu EUR 20.000.000 oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Betrag höher ist.