kräftig erhöht. Sie können auf bis zu 4 % des globalen Umsatzes eines Unternehmens festgesetzt werden. In Bezug auf an Datenschutzverstößen beteiligte natürlichen Personen, die für den Datenschutz im Betrieb oder Unternehmen verantwortlich sind (in den Gesetzesvorschriften als verantwortliche Personen oder auch Verantwortliche bezeichnet), können Bußgelder bis zu 10 Mio. Euro oder bis zu 20 Mio. Euro festgesetzt werden.
Für die für den Datenschutz verantwortlichen Personen ist dies Grund genug, sich mit den neuen Datenschutzvorschriften vertraut zu machen. Aber vor dem Hintergrund der neuen, verschärften Gesetzesvorschriften ist es für alle, die mit schützenswerten Daten in Kontakt kommen, sinnvoll, sich mit den nun erlassenen Regelungen zu befassen. Dieser Beitrag kann dabei nur einen ersten Überblick über die umfangreichen Neuregelungen der DSGVO und des BDSG (neu) geben. Die beiden neuen Datenschutzregelungen weisen den sog. Verantwortlichen, im Wesentlichen dem Arbeitgeber und dem Datenschutzbeauftragten, die Verantwortung zu.
Beginn des Datenschutzes
Zunächst ist zu fragen, was unter Datenverarbeitung i. S. d. DSGVO bzw. des BDSG (neu) zu verstehen ist. Unter Datenverarbeitung wird nicht nur die ganz bzw. teilweise automatisierte Verarbeitung personenbezogener Daten (z. B. durch Computer) verstanden. Es genügt für die Anwendbarkeit der Datenschutzvorschriften auch eine nicht-automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert werden oder die in einer solchen Datei gespeichert werden sollen. Hierfür genügen z. B. auch Karteikarten, mit deren Hilfe im Rahmen eines geordneten Systems personenbezogene Daten gesammelt werden. Ferner gelten die vorgenannten Datenschutzbestimmungen mithin auch, wenn Personalakten nicht automatisiert geführt werden, sondern noch in Papierform. Wichtig ist auch daran zu denken, dass Datenschutzvorschriften bereits vor Beginn des Arbeitsverhältnisses gelten, z. B. im Rahmen von Bewerbungsverfahren. Unter Beachtung des Vorbenannten sind mithin auch Daten von Bewerbern, die mittels automatisierter Verfahren als auch solche, die ohne technische Hilfsmittel, z. B. im Rahmen des Vorstellungsgesprächs lediglich in Papierform, erhoben und sodann systematisch geordnet, erfasst werden, für den Datenschutz relevant.
Pflicht zum Nachweis des Beachtens der Datenschutzvorschriften
Wichtig ist, dass die DSGVO den Betrieben bzw. Unternehmen auferlegt, stets nachweisen zu können, die Datenschutzvorschriften zu erfüllen. Dies bedeutet für die Datenschutzverantwortlichen, dass sie nicht nur die Umsetzung der Datenschutzvorschriften sicherstellen müssen, sondern stets in der Lage sein müssen, diese Umsetzung durch Vorlage entsprechender Beweise den zuständigen Behörden und Betroffenen jederzeit nachweisen zu können. Es wird im Übrigen erwartet, dass in den Betrieben oder Dienststellen vorhandene Betriebs- bzw. Personalräte von ihren Auskunftsrechten (beim Betriebsrat z. B. gem. § 80 Abs. 2 BetrVG) Gebrauch machen und entsprechende Nachweise zum Datenschutz anfordern werden. Außerdem wird erwartet, dass Arbeitsgerichte zukünftig bei solchen Fallgestaltungen, bei denen geschützte Daten im Rahmen von Arbeitsgerichtsprozessen zur Unterstützung der Argumentation des Arbeitgebers herangezogen werden, vom Arbeitgeber den Nachweis datenschutzgerechter Erhebung dieser Daten verlangen. Kann der Arbeitgeber diesen Nachweis nicht führen, riskiert er, mit diesem Vortrag mangels Nachweises datenschutzkonformer Erhebung zurückgewiesen zu werden. Der Arbeitgeber kann sodann entsprechende Beweise nicht führen.
Besondere Regelungen zum Datenschutz im Arbeitsverhältnis
Die DSGVO wurde auf europäischer Ebene erlassen. Sie gilt nicht nur für die gesamte EU, sondern auch für Unternehmen oder Personen in anderen Staaten, wenn diese in der EU Waren oder Dienstleistungen anbieten bzw. andere Tätigkeiten ausüben, die datenschutzrelevant sind. Seit dem 25.05.2018 verdrängt die DSGVO die Datenschutzgesetze der einzelnen Mitgliedstaaten der EU, sofern diese mit der DSGVO nicht vereinbar sind bzw. gleiche Sachverhalte regeln. Von diesem Vorrang der Datenschutz-Grundverordnung gibt es Ausnahmen. Dies insbesondere für Arbeitsverhältnisse. So erlaubt Art. 88 DSGVO den jeweiligen Mitgliedstaaten, Datenverarbeitung im Zusammenhang mit Beschäftigungs-/Arbeitsverhältnissen durch nationale Rechtsvorschriften näher auszugestalten. Die Bundesrepublik Deutschland hat von dieser Möglichkeit, den Datenschutz im Rahmen von Beschäftigungs-/Arbeitsverhältnissen (nachfolgend nur noch Beschäftigungsverhältnisse) zu regeln, Gebrauch gemacht. In dem neuen deutschen Bundesdatenschutzgesetz, welches seit dem 25.05.2018 gilt, sind entsprechende Regelungen für den Datenschutz im Rahmen eines Beschäftigungsverhältnisses durch § 26 BDSG (neu) aufgenommen worden.
|
|
Verarbeitung personenbezogener Daten nur bei Vorliegen eines Erlaubnistatbestands zulässig. |
Bevor auf die Einzelheiten der Datenverarbeitung im Rahmen eines Arbeitsverhältnisses durch Art. 88 DSGVO und § 26 BDSG (neu) eingegangen wird, ist zunächst zu fragen, wann die Verarbeitung personenbezogener Daten grundsätzlich überhaupt zulässig ist.
Wie bereits das bisherige Bundesdatenschutzgesetz verbieten sowohl die DSGVO als auch das neue Bundesdatenschutzgesetz im Grundsatz zunächst jede Verarbeitung personenbezogener Daten. Nur dann, wenn die Verarbeitung solcher personenbezogener Daten ausdrücklich auf einen sog. Erlaubnistatbestand der DSGVO gestützt werden kann, ist die Verarbeitung solcher Daten zulässig. Die DSGVO nennt vier verschiedene Gründe, aufgrund derer die Verarbeitung von personenbezogenen Daten zulässig ist. Diese vier Gründe (juristisch: Erlaubnistatbestände) lauten wie folgt:
• | Der Betroffene hat in die Verarbeitung seiner personenbezogenen Daten ausdrücklich eingewilligt. |
• | Die Datenverarbeitung dient zur Durchführung oder Erfüllung eines Vertrags. |
• | Die Datenverarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung notwendig. |
• | Die Datenverarbeitung dient der Wahrung berechtigter Interessen. |
Wie vorstehend erwähnt, lässt § 26 BDSG (neu) im Rahmen von Beschäftigungsverhältnissen die Verarbeitung personenbezogener Daten in vielen Fallgestaltungen zu. Dort, wo eine Datenverarbeitung nicht bereits aufgrund der Gesetzesvorschrift des § 26 BDSG (neu) möglich ist, kann der Arbeitgeber versuchen, eine entsprechende Einwilligung des Arbeitnehmers zur Datenverarbeitung zu erlangen. Außerdem kann durch den Abschluss entsprechender Betriebs- oder Dienstvereinbarungen mit dem Betriebs- bzw. Personalrat versucht werden, einen Teil der datenschutzrelevanten Regelungen betriebseinheitlich mit den Arbeitnehmervertretungen zu regeln. Im Einzelnen:
Gesetzlicher Erlaubnistatbestand zur Datenverarbeitung im Arbeitsverhältnis des § 26 BDSG (neu)
Wie vorstehend erwähnt, eröffnet § 26 Abs. 1 BDSG (neu) dem Arbeitgeber bereits einen weiten Erlaubnistatbestand, um Daten im Rahmen eines Beschäftigungsverhältnisses verarbeiten zu dürfen. Danach dürfen personenbezogene Daten von Beschäftigten für die Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach dessen Begründung für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Beispiele:
Im Rahmen von Bewerbungsverfahren dürfen Daten der Bewerber der Bewerbungsunterlagen grundsätzlich gespeichert werden. Im Rahmen von Bewerberfragebögen dürfen dadurch ermittelte Daten gespeichert werden, sofern die Daten zulässig erhoben wurden. Unzulässig werden Daten im Rahmen von Bewerbungsverfahren erhoben, wenn hiernach nicht gefragt werden darf (z. B. geschlechts-/altersdiskriminierende Frage nach Familienplanung, Alter).
Nach Beendigung des Bewerbungsverfahrens dürfen die Bewerberdaten nicht unbegrenzt gespeichert werden, sondern sind zu löschen, sobald sie nicht mehr benötigt werden. Diskutiert wird derzeit eine Speicherdauer nach Abschluss des Bewerberverfahrens von längstens sechs Monaten.
Während