Die meisten Unternehmen verarbeiten regelmäßig personenbezogene Daten über ihre Mitarbeiter. Von Identitätsdaten bis hin zu medizinischen Unterlagen, die von Arbeitnehmern angefordert werden, um ihre Abwesenheit zu erklären, können die von der Organisation verarbeiteten personenbezogenen Daten alles sein.
Daher wird die EU-Datenschutz-Grundverordnung („DSGVO“), die die Verarbeitung personenbezogener Daten regeln wird, wenn sie ab dem 25. Mai 2018 direkt anwendbar ist, die meisten Unternehmen betreffen.
Wenn es um die Verarbeitung von Mitarbeiterdaten geht, enthält dieser Artikel praktische Schritte, die Sie unternehmen sollten.
Was ist DSGVO?
Viele Unternehmen wissen nicht, wann sie mit der Planung für die Datenschutz-Grundverordnung beginnen können.
In Anlehnung an die geltenden Datenschutzbestimmungen baut die DSGVO auf vielen der bestehenden Datenschutzstandards und -grundsätze auf und verbessert diese.
Die Datenschutz-Grundverordnung sollte als Gelegenheit gesehen werden, das Niveau der Datensicherheit im Unternehmen zu überprüfen.
„Zustimmung“ in Arbeitsverträgen
Nach geltendem Recht hat das Unternehmen einen rechtlichen Grund, die personenbezogenen Daten eines Arbeitnehmers zu verarbeiten. Viele der Rechtsgrundlagen, die von Arbeitgebern üblicherweise für die Verarbeitung personenbezogener Daten von Arbeitnehmern genutzt werden, bleiben auch unter der DSGVO bestehen.
Sowohl in der DSGVO als auch in der Datenschutz-Grundverordnung ist der wichtigste rechtliche Rahmen für Arbeitgeber wie folgt:
Theoretisch stellen wir fest, dass sich zahlreiche Arbeitgeber bei der Datenverarbeitung auf die erste der oben genannten Rechtsgrundlagen stützen, d. h. auf die Zustimmung, die in der Regel im Arbeitsvertrag festgehalten ist.
Damit eine Genehmigung gültig ist, muss sie unter anderem „aus freien Stücken“ erteilt werden, was im Beschäftigungskontext Anlass zu Bedenken gibt, da es aufgrund des Machtgefälles zwischen Arbeitgeber und Arbeitnehmer fraglich ist, ob die Genehmigung eines Arbeitnehmers aus freien Stücken erteilt wird.
Kürzlich hat die Artikel-29-Datenschutzgruppe, die die EU-Datenschutzbehörden vertritt, festgestellt, dass ein Arbeitnehmer nur selten seine freie Zustimmung geben kann.
Ein weiterer Aspekt, der zu beachten ist, wenn man von einer Erlaubnis abhängig ist, ist, dass die Rechte der betroffenen Personen nur ausgeübt werden können, wenn die rechtliche Grundlage die Zustimmung ist, wie z. B. das Recht auf Datenübertragbarkeit und das Recht auf Vergessenwerden.
Jetzt ist es an der Zeit zu überlegen, ob Ihre Organisation angesichts der Schwierigkeiten bei der Einwilligung alternative Rechtsgrundlagen für die spezifische Verarbeitung personenbezogener Daten heranziehen sollte. Die Erhebung der Lohndaten eines Mitarbeiters kann beispielsweise auf der Rechtsgrundlage für die Durchführung eines Vertrags mit dem Mitarbeiter beruhen.
Es kann jedoch Fälle geben, in denen die Einwilligung der einzige geeignete Rechtsrahmen ist, auf den man sich stützen kann. Eine solche Situation kann zum Beispiel bei der Verarbeitung medizinischer Daten eines Arbeitnehmers auftreten, wenn das Arbeitsrecht eine solche Verarbeitung nicht vorschreibt.
Wenn es angemessen ist, sich auf die Vereinbarung als Rechtsgrundlage zu stützen, sollte die Zustimmung aus dem Arbeitsvertrag durch eine gesonderte Erklärung oder ein anderes Dokument eingeholt werden, das nicht notwendigerweise mit der Genehmigung der Arbeit durch den Arbeitnehmer verbunden ist.
Arbeitnehmerrechte
Für die betroffenen Personen werden durch die Datenschutz-Grundverordnung neue Rechte geschaffen und auch einige der nach geltendem Recht bestehenden Rechte geändert. Ein geändertes Recht, über das viele Unternehmen informiert sein dürften, ist das Auskunftsrecht einer betroffenen Person, das ihr das Recht gewährt, eine Kopie ihrer Daten zu erhalten.
Die Reaktion auf den Antrag muss „ohne unangemessene Verzögerung“ und auf jeden Fall innerhalb eines Monats nach Eingang des Antrags erfolgen. Diese begrenzte Frist deutet darauf hin, dass die Unternehmen sicherstellen müssen, dass sie über die erforderlichen Strategien und Verfahren verfügen, um dem eingegangenen Antrag auf Zugang zu entsprechen, und dass sie über angemessenes Personal und Ressourcen verfügen, um dem Antrag nachzukommen.
Ist ein Antrag jedoch kompliziert oder werden mehrere Anträge gestellt, kann die Frist erforderlichenfalls um weitere zwei Monate verlängert werden, sofern die betroffene Person innerhalb eines Monats nach Eingang des Antrags beim Arbeitgeber über die Verlängerung und die Gründe dafür informiert wird.
Verantwortung
Ein grundlegendes Prinzip der Datenschutz-Grundverordnung ist die Rechenschaftspflicht. Dies bedeutet, dass Unternehmen die DSGVO nicht nur durch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen und geeigneter Datenschutzrichtlinien einhalten müssen, sondern auch in der Lage sein müssen, die Einhaltung dieser Richtlinien nachzuweisen.
Dazu gehört nicht nur die Erstellung, sondern auch die Umsetzung von Datenschutzrichtlinien und Verarbeitungsregistern, die mit der DSGVO konform sind.
Informationen für die Arbeitnehmer
Den Arbeitnehmern müssen einige relevante Daten zur Verfügung gestellt werden, bevor ihre Informationen vom Unternehmen verarbeitet und genutzt werden. Die Daten werden in der Regel in Form einer Mitteilung an die Bewerber weitergegeben.
In der Regel wird den Arbeitnehmern bei der Zusammenfassung des Arbeitsvertrags eine künftige Datenschutzrichtlinie zur Verfügung gestellt. Die folgenden Informationen werden im Rahmen der DSGVO gegeben werden:
Datenschutzbeauftragter („DSB“)
Die Verpflichtung für einige für die Verarbeitung Verantwortliche und Auftragsverarbeiter, einen DSB zu benennen, ist eine wichtige Reform, die durch die DSGVO eingeführt wurde. Der behördliche Datenschutzbeauftragte ist für die Kontrolle der Einhaltung der Datensicherheitsvorschriften einer Einrichtung verantwortlic
h.
Ein DSB ist erforderlich, wenn:
Abschließend rät die Datenschutzgruppe in Artikel 29, dass Betreiber und Auftragsverarbeiter benachrichtigt werden sollten, wenn ein DSB benötigt wird. Der behördliche Datenschutzbeauftragte kann entweder intern (angestellt) oder extern (z. B. ein Rechtsanwalt) bestellt werden und muss über Kenntnisse im Bereich der Sicherheit personenbezogener Daten verfügen.