22.05.2017
Mitarbeiterdatenschutz nach der DSGVO und dem neuen BDSG
Inhalt
- Zulässigkeit der Datenverarbeitungen zum Zweck der Durchführung des Beschäftigungsverhältnisses
- Zulässigkeit der Datenverarbeitung nach Einwilligungen durch den Beschäftigten
- Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten
- Zulässigkeit der Verarbeitung auf Grundlage von Betriebsvereinbarungen
- Beachtung von Datenschutzgrundsätzen
- Nicht-automatisierte Verarbeitung von Beschäftigtendaten
- Nähere Definition des Beschäftigten
- Fazit und unsere Empfehlung
Jacqueline Neiazy
Director Datenschutz
Das neue BDSG ist am 25. Mai 2018 mit der DSGVO in Kraft getreten und ergänzt diese vor allem im Beschäftigten- und Mitarbeiterdatenschutz (Update 29.01.2019).
Zulässigkeit der Datenverarbeitungen zum Zweck der Durchführung des Beschäftigungsverhältnisses
Personenbezogene Daten von Beschäftigten dürfen verarbeitet werden sofern dies für Zwecke der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlich ist. Da die Interpretation von „Erforderlichkeit“ viel Spielraum lässt, enthält die Gesetzesbegründung hierzu einen Hinweis: “Im Rahmen der Erforderlichkeitsprüfung sind die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen. Dabei sind die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessen möglichst weitgehend berücksichtigt.” Damit wird also auf die Grundsätze des aktuellen BDSG zurückgegriffen: Datenverarbeitung von Beschäftigten ist damit erlaubt, wenn sie für Zwecke des Beschäftigungsverhältnisses geeignet ist, das mildeste aller dem Arbeitgeber zur Verfügung stehenden gleich effektiven Mittel ist und schutzwürdige Interessen des Beschäftigten nicht überwiegen.
Zulässigkeit der Datenverarbeitung zum Zwecke der Aufdeckung von Straftaten
Auch weiterhin bleibt die Verwertung von Daten zulässig, wenn tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Allerdings sollte bereits im Vorfeld geklärt werden, welche Compliance-Maßnahmen nötig sind und wie sie implementiert werden können. Als Beispiel dafür dienen spezielle Richtlinien über die private E-Mail und/oder Internetnutzung im Büro. In Leitlinien sollten die Voraussetzungen transparent festgelegt werden, beispielsweise, welche Personen zur Einsichtnahme eines E-Mail-Postfachs befugt sind, damit gegebenenfalls entgegenstehende Interessen des betroffenen Mitarbeiters beachtet werden können.
Zulässigkeit der Einsichtnahme in E-Mail-Postfächer bei krankheitsbedingter Abwesenheit
Falls ein Mitarbeiter langfristig erkrankt und Kollegen auf das E-Mail-Postfach dringend zugreifen müssen, sollte dies in den Compliance-Leitlinien mitgeregelt werden.
Für Unternehmen als auch Mitarbeiter ist es sinnvoll, bereits vorab zu klären, wie Zugriff und Einsicht in besonderen Fällen geregelt sind. Es empfiehlt sich, einen Plan für konkrete Maßnahmen zu entwickeln.
Zulässigkeit der Datenverarbeitung nach Einwilligungen durch den Beschäftigten
Datenverarbeitungen können durch vorherige Einwilligung der Beschäftigten durchgeführt werden. Das bedeutet, dass der Gesetzgeber davon ausgeht, dass im Beschäftigungsverhältnis auch eine Freiwilligkeit bei der Abgabe anzunehmen ist. Jedoch wird dann eine Freiwilligkeit angenommen, wenn die Beschäftigten dadurch einen rechtlichen oder wirtschaftlichen Vorteil erhalten oder es gleichgelagerte Interessen bei dem Arbeitgeber oder den Beschäftigten gibt. Eine Einwilligung darf nur eingeholt werden, wenn der Arbeitnehmer eine wirkliche Wahlfreiheit hat, welche vorliegt, wenn die Verarbeitung nicht auf eine andere Rechtsgrundlage gestützt werden kann (z.B. zum Zweck der Durchführung des Arbeitsverhältnisses) und ein Ablehnen der Einwilligung darf keine negative Konsequenzen für den Arbeitnehmer haben. .. Die Einwilligung muss einer Form entsprechen: schriftlich oder soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Des Weiteren treffen den Arbeitgeber höhere Transparenzpflichten. Der Arbeitgeber muss den Beschäftigten über den Zweck der Datenverarbeitung und über sein Widerrufsrecht aufklären. Bei der Verarbeitung besonderer Arten personenbezogener Daten (u.a. Religion, sexuelle Neigung, Gesundheitsdaten) besteht zudem eine spezielle Hinweispflicht.
Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten
Die Verarbeitung besonderer Kategorien von Daten: rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur Identifizierung, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung für Zwecke des Beschäftigungsverhältnisses ist zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist. Zudem darf kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.
Zulässigkeit der Verarbeitung auf Grundlage von Betriebsvereinbarungen
Betriebsvereinbarungen dienen insbesondere zur Konkretisierung der Datenverarbeitung in Bezug auf die Transparenzvorschriften. Der Gesetzgeber hat klargestellt, dass Betriebsvereinbarungen und andere Kollektivvereinbarungen weiterhin die Verarbeitung von Beschäftigtendaten erlauben können. Jedoch müssen die Betriebsvereinbarungen das Datenschutz Niveau der DSGVO einhalten und dürfen dieses nicht unterlaufen. Das bedeutet, dass Datenverarbeitungen grundsätzlich nach § 26 BDSG gerechtfertigt werden müssen, ansonsten kann die Datenverarbeitung nur durch eine Einwilligung der Mitarbeiter gerechtfertigt werden. Denn Betriebsvereinbarungen können nicht über das informationelle Selbstbestimmungsrecht der Beschäftigten verfügen und dieses einschränken. Das kann nur der Betroffene selbst, indem er in die Datenverarbeitung einwilligt.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
Beachtung von Datenschutzgrundsätzen
Die in der DSGVO festgelegten Datenschutzgrundsätze: Rechtmäßigkeit der Datenverarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datensparsamkeit, Richtigkeit, Integrität und Vertraulichkeit personenbezogener Daten sowie die Rechenschaftspflicht müssen vom Arbeitgeber und dessen verbundene Unternehmen, aber auch von dem Betriebsrat oder anderen Betriebsverfassungsorganen, die personenbezogene Daten von Beschäftigten verarbeiten, beachtet werden.
Nicht-automatisierte Verarbeitung von Beschäftigtendaten
Nach dem neuen BDSG, wie auch nach dem alten, soll auch die nicht automatisierte (bzw. nicht elektronische) Datenverarbeitung von Mitarbeiterdaten in den Anwendungsbereich des Gesetzes fallen. Dies spielt z.B. bei der Durchführung von Mitarbeiterumfragen oder bei Überwachungsmaßnahmen eine Rolle.
Nähere Definition des Beschäftigten
Die DSGVO bestimmt, dass der datenschutzrechtliche Beschäftigtenbegriff neben Arbeitnehmern, Leiharbeitnehmern und Auszubildenden auch noch Heimarbeiter, Beamte, Richter, Soldaten und weitere in § 26 Abs. 8 BDSG-neu genannten Personengruppen meint.
Fazit und unsere Empfehlung
Die neuen Regelungen bringen viel neuen Gesetzestext, der „tacheles“ aber den bisherigen Anforderungen der deutschen Rechtsprechung im Wesentlichen entspricht. Arbeitgeber, Beschäftigte und Betriebsräte die sich bisher auch an den Vorgaben der Rechtsprechung zu § 32 BDSG orientiert haben, sind gut beraten, dies auch weiterhin so zu tun und einige zusätzliche Punkte zu beachten. Bis Mai 2018 sollte bei den folgenden wesentlichen To-Do’s nochmal sichergegangen werden, dass diese geprüft und gegebenenfalls den Anforderungen der DSGVO entsprechend angepasst wurden, denn wie auch bei allen anderen Datenschutzverstößen, bringen auch Verstöße im Bereich Beschäftigtendatenschutz, mit der DSGVO hohe Risiken: Es drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des globalen Umsatzes (dies entscheidet sich danach, welcher Betrag höher ist). Es können auch Schadensersatzansprüche von Arbeitnehmern auch wegen Nichtvermögensschäden geltend gemacht werden. Die Beweislast liegt bei dem datenverarbeitenden Arbeitgeber.
Ihre Lösung für den besten Datenschutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
To-Do’s
- Bei jeder Datenverarbeitung, die Mitarbeiterdaten umfasst, sollte die Erforderlichkeit hinterfragt und bei nicht offensichtlich erforderlichen Projekten gegebenenfalls dokumentiert werden.
- Einwilligungen und Betriebsvereinbarungen bleiben gangbare Mittel zur rechtskonformen Verarbeitung von personenbezogenen Daten für Zwecke des Beschäftigungsverhältnisses. Diese sollten aber dahingehend geprüft werden, ob Sie auch nach dem neuen Gesetz Bestand haben.
- Die Einwilligung sollte den Vorgaben von § 26 Abs. 2 BDSG-neu genügen. D.h. alle Einwilligungen sollten auf die Einhaltung der Voraussetzungen geprüft werden, ggf. vom Fachmann, da auch weiterhin die Frage nach der Freiwilligkeit einer Einwilligung nicht unstrittig bleiben dürfte.
- Tarifverträge, Betriebsvereinbarungen und andere Kollektivvereinbarungen in Bezug auf Mitarbeiterdatenverarbeitung sollten den Anforderungen von Art. 88 Abs. 2 DSGVO genügen. Hier besteht bei vielen bereits abgeschlossenen Betriebsvereinbarungen einiger Handlungsbedarf.
- Für die Verarbeitung von sensiblen Daten (Krankheitsdaten, Religionsdaten von Mitarbeitern) müssen gesonderte Schutzmaßnahmen wie zum Beispiel die Pseudonymisierung oder Verschlüsselung ergriffen werden.
- Erstellung von Compliance Maßnahmen um die Rechtmäßigkeit einer Einsichtnahme in E-Mail-Postfächern abzusichern und im Unternehmen global zu regeln.
Weitere Neuigkeiten
14.01.2025
Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download
Die DSGVO sieht an vielen Stellen Kontrollmechanismen für Unternehmen vor, um regelmäßig zu überprüfen, ob die Vorgaben eingehalten werden und wo mögliche Risiken bestehen. Einer dieser Mechanismen ist das Datenschutzaudit. Wann und für wen ist es notwendig? Alles über Ablauf, Umfang und Notwendigkeit von Datenschutzaudits sowie einen ausführlichen Leitfaden inkl. Selbstcheck zum Download finden Sie hier.
Weiterlesen … Datenschutzaudit: DSGVO-Lücken erkennen & schließen – mit Selbstcheck zum Download
09.01.2025
Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity
Mit der zunehmenden Vernetzung und der fortschreitenden Digitalisierung des Gesundheitswesens ist der Schutz informationstechnischer Systeme zu einem zentralen Anliegen der Branche geworden. Denn funktionierende IT-Systeme sind eine wesentliche Voraussetzung für die Sicherheit der Versorgung im Allgemeinen und die Patientensicherheit im Besonderen.
Weiterlesen … Informationssicherheit im Gesundheitssektor – neue Regeln für die Cybersecurity
03.01.2025
Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können
Ransomware ist nach wie vor eine der größten Bedrohungen für Wirtschaftsunternehmen. Besonders IT-Dienstleister sind in den vergangenen Jahren in den Fokus von Cyberkriminellen gerückt. Durch präventive Maßnahmen der Cybersicherheit werden personenbezogene Daten angemessen und wirksam vor den alltäglichen Gefahren des digitalen Zeitalters geschützt.
Weiterlesen … Ransomware-Prävention in Zeiten von KI – Wie Unternehmen Attacken vorbeugen können