INFORMATIONEN

Sechs Dinge, die jeder Arbeitgeber über DSGVO wissen muss

Die meisten Unternehmen verarbeiten regelmäßig personenbezogene Daten über ihre Mitarbeiter. Von Identitätsdaten bis hin zu medizinischen Unterlagen, die von Arbeitnehmern angefordert werden, um ihre Abwesenheit zu erklären, können die von der Organisation verarbeiteten personenbezogenen Daten alles sein.

Daher wird die EU-Datenschutz-Grundverordnung („DSGVO“), die die Verarbeitung personenbezogener Daten regeln wird, wenn sie ab dem 25. Mai 2018 direkt anwendbar ist, die meisten Unternehmen betreffen.

Wenn es um die Verarbeitung von Mitarbeiterdaten geht, enthält dieser Artikel praktische Schritte, die Sie unternehmen sollten.

Was ist DSGVO?

Viele Unternehmen wissen nicht, wann sie mit der Planung für die Datenschutz-Grundverordnung beginnen können.

In Anlehnung an die geltenden Datenschutzbestimmungen baut die DSGVO auf vielen der bestehenden Datenschutzstandards und -grundsätze auf und verbessert diese.

Die Datenschutz-Grundverordnung sollte als Gelegenheit gesehen werden, das Niveau der Datensicherheit im Unternehmen zu überprüfen.

„Zustimmung“ in Arbeitsverträgen

Nach geltendem Recht hat das Unternehmen einen rechtlichen Grund, die personenbezogenen Daten eines Arbeitnehmers zu verarbeiten. Viele der Rechtsgrundlagen, die von Arbeitgebern üblicherweise für die Verarbeitung personenbezogener Daten von Arbeitnehmern genutzt werden, bleiben auch unter der DSGVO bestehen.

Sowohl in der DSGVO als auch in der Datenschutz-Grundverordnung ist der wichtigste rechtliche Rahmen für Arbeitgeber wie folgt:

  • der Arbeitnehmer hat seine Zustimmung zur Verarbeitung gegeben;
  • für die Durchführung einer Vereinbarung, an der der Arbeitnehmer beteiligt ist, ist die Verarbeitung unerlässlich;
  • Die Verarbeitung ist erforderlich, um auf Antrag des Arbeitnehmers vor Abschluss eines Vertrags tätig zu werden;
  • Erfüllung einer rechtlichen Verpflichtung;
  • die Verarbeitung ist zum Schutz des Arbeitnehmers erforderlich; und
  • für die berechtigten Interessen des Unternehmens.

    • Theoretisch stellen wir fest, dass sich zahlreiche Arbeitgeber bei der Datenverarbeitung auf die erste der oben genannten Rechtsgrundlagen stützen, d. h. auf die Zustimmung, die in der Regel im Arbeitsvertrag festgehalten ist.

    Damit eine Genehmigung gültig ist, muss sie unter anderem „aus freien Stücken“ erteilt werden, was im Beschäftigungskontext Anlass zu Bedenken gibt, da es aufgrund des Machtgefälles zwischen Arbeitgeber und Arbeitnehmer fraglich ist, ob die Genehmigung eines Arbeitnehmers aus freien Stücken erteilt wird.

    Kürzlich hat die Artikel-29-Datenschutzgruppe, die die EU-Datenschutzbehörden vertritt, festgestellt, dass ein Arbeitnehmer nur selten seine freie Zustimmung geben kann.

    Ein weiterer Aspekt, der zu beachten ist, wenn man von einer Erlaubnis abhängig ist, ist, dass die Rechte der betroffenen Personen nur ausgeübt werden können, wenn die rechtliche Grundlage die Zustimmung ist, wie z. B. das Recht auf Datenübertragbarkeit und das Recht auf Vergessenwerden.

    Jetzt ist es an der Zeit zu überlegen, ob Ihre Organisation angesichts der Schwierigkeiten bei der Einwilligung alternative Rechtsgrundlagen für die spezifische Verarbeitung personenbezogener Daten heranziehen sollte. Die Erhebung der Lohndaten eines Mitarbeiters kann beispielsweise auf der Rechtsgrundlage für die Durchführung eines Vertrags mit dem Mitarbeiter beruhen.

    Es kann jedoch Fälle geben, in denen die Einwilligung der einzige geeignete Rechtsrahmen ist, auf den man sich stützen kann. Eine solche Situation kann zum Beispiel bei der Verarbeitung medizinischer Daten eines Arbeitnehmers auftreten, wenn das Arbeitsrecht eine solche Verarbeitung nicht vorschreibt.

    Wenn es angemessen ist, sich auf die Vereinbarung als Rechtsgrundlage zu stützen, sollte die Zustimmung aus dem Arbeitsvertrag durch eine gesonderte Erklärung oder ein anderes Dokument eingeholt werden, das nicht notwendigerweise mit der Genehmigung der Arbeit durch den Arbeitnehmer verbunden ist.

    Arbeitnehmerrechte

    Für die betroffenen Personen werden durch die Datenschutz-Grundverordnung neue Rechte geschaffen und auch einige der nach geltendem Recht bestehenden Rechte geändert. Ein geändertes Recht, über das viele Unternehmen informiert sein dürften, ist das Auskunftsrecht einer betroffenen Person, das ihr das Recht gewährt, eine Kopie ihrer Daten zu erhalten.

    Die Reaktion auf den Antrag muss „ohne unangemessene Verzögerung“ und auf jeden Fall innerhalb eines Monats nach Eingang des Antrags erfolgen. Diese begrenzte Frist deutet darauf hin, dass die Unternehmen sicherstellen müssen, dass sie über die erforderlichen Strategien und Verfahren verfügen, um dem eingegangenen Antrag auf Zugang zu entsprechen, und dass sie über angemessenes Personal und Ressourcen verfügen, um dem Antrag nachzukommen.

    Ist ein Antrag jedoch kompliziert oder werden mehrere Anträge gestellt, kann die Frist erforderlichenfalls um weitere zwei Monate verlängert werden, sofern die betroffene Person innerhalb eines Monats nach Eingang des Antrags beim Arbeitgeber über die Verlängerung und die Gründe dafür informiert wird.

    Verantwortung

    Ein grundlegendes Prinzip der Datenschutz-Grundverordnung ist die Rechenschaftspflicht. Dies bedeutet, dass Unternehmen die DSGVO nicht nur durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen und geeigneter Datenschutzrichtlinien einhalten müssen, sondern auch in der Lage sein müssen, die Einhaltung dieser Richtlinien nachzuweisen.

    Dazu gehört nicht nur die Erstellung, sondern auch die Umsetzung von Datenschutzrichtlinien und Verarbeitungsregistern, die mit der DSGVO konform sind.

    Informationen für die Arbeitnehmer

    Den Arbeitnehmern müssen einige relevante Daten zur Verfügung gestellt werden, bevor ihre Informationen vom Unternehmen verarbeitet und genutzt werden. Die Daten werden in der Regel in Form einer Mitteilung an die Bewerber weitergegeben.

    In der Regel wird den Arbeitnehmern bei der Zusammenfassung des Arbeitsvertrags eine künftige Datenschutzrichtlinie zur Verfügung gestellt. Die folgenden Informationen werden im Rahmen der DSGVO gegeben werden:

  • Name und Kontaktinformationen der Organisation und Name und Kontaktinformationen des Datenschutzbeauftragten, falls vorhanden;
  • den Zweck (die Zwecke) der Verarbeitung sowie die Rechtsgrundlage für die Verarbeitung;
  • Wenn die rechtlichen Gründe für die Speicherung auf den berechtigten Interessen des Unternehmens beruhen, sollten diese berechtigten Interessen aufgeführt werden;
  • Empfänger oder Kategorien von Empfängern von personenbezogenen Daten;
  • wenn die Organisation plant, personenbezogene Daten in ein Drittland zu übermitteln, und die Rechtsgrundlage für die Übermittlung;
  • die Dauer der Verarbeitung personenbezogener Daten und die Parameter, anhand derer beurteilt wird, wie die Rechte der Arbeitnehmer (oder Arbeitssuchenden) wahrgenommen werden;
  • wie Arbeitnehmer (oder Stellenbewerber) ihre Zustimmung zur Verarbeitung zurückziehen können, wenn die Verarbeitung durch das Unternehmen auf einer Zustimmung beruht;
  • das Recht, eine Beschwerde bei der Datenschutzaufsichtsbehörde einzureichen;
  • ob der Arbeitnehmer (oder Bewerber) gesetzlich oder vertraglich verpflichtet ist, personenbezogene Daten zu übermitteln, und welche Folgen eine Nichteinhaltung hat; und
  • Die Art der automatisierten Entscheidungsfindung, einschließlich Profiling, sowie die Gründe und Auswirkungen der Verarbeitung durch den Mitarbeiter (oder Bewerber).

    • Datenschutzbeauftragter („DSB“)

    Die Verpflichtung für einige für die Verarbeitung Verantwortliche und Auftragsverarbeiter, einen DSB zu benennen, ist eine wichtige Reform, die durch die DSGVO eingeführt wurde. Der behördliche Datenschutzbeauftragte ist für die Kontrolle der Einhaltung der Datensicherheitsvorschriften einer Einrichtung verantwortlic
    h.

    Ein DSB ist erforderlich, wenn:

  • der Betreiber ist eine Behörde oder eine öffentliche Einrichtung (mit Ausnahme der Gerichte);
  • die Hauptaufgabe der Datenbetreiber und -verarbeiter ist die Verarbeitung, die eine routinemäßige und umfassende Überwachung der Betroffenen in großem Umfang erfordert; und
  • Für die Verarbeitung Verantwortliche und Auftragsverarbeiter, die in großem Umfang vertrauliche private Informationen oder personenbezogene Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten sammeln.

    • Abschließend rät die Datenschutzgruppe in Artikel 29, dass Betreiber und Auftragsverarbeiter benachrichtigt werden sollten, wenn ein DSB benötigt wird. Der behördliche Datenschutzbeauftragte kann entweder intern (angestellt) oder extern (z. B. ein Rechtsanwalt) bestellt werden und muss über Kenntnisse im Bereich der Sicherheit personenbezogener Daten verfügen.