Praxiswissen auf den Punkt gebracht.
Kundenservice: 0931 4170-472 | Hilfe
logo

· Datenschutz-Grundverordnung

Top-Ten-Liste zum Beschäftigtendatenschutz ‒ nicht nur für kleine und mittlere Unternehmen

Bild: © dmutrojarmolinua - stock.adobe.com

von RA‘in Heike Mareck, Dortmund, www.kanzlei-mareck.de

| Kurz vor Wirksamwerden der europäischen Datenschutz-Grundverordnung (DS-GVO) und dem neuen Bundesdatenschutzgesetz (BDSG n. F.) am 25.5.18 melden sich verunsicherte kleinere Unternehmen wie Kfz-Werkstätten, Einzelhändler oder Handwerksbetriebe mit vielen Fragen. DR beantwortet die häufigsten Fragen mit dieser Top-Ten-Liste. |

1. Sind auch kleinere Unternehmen verpflichtet, sich an die DS-GVO zu halten?

Wenn ein Unternehmen, Verein oder Freiberufler personenbezogene Daten in einem Dateisystem speichert, z. B. regelmäßig Kunden-, Lieferanten-, Beschäftigtendaten etc. in einem Dateisystem auf einem Computer oder in einem Karteikasten verarbeitet, muss es bzw. er sich an die DS-GVO halten. Neben Kapitalgesellschaften sind damit in aller Regel auch kleinere Unternehmen, Einzelunternehmer, Vereine und Freiberufler grundsätzlich verpflichtet, die Vorgaben der DS-GVO umzusetzen und einzuhalten.

2. Muss jetzt in jedem Betrieb ein Datenschutzbeauftragter eingestellt werden?

Nein. Nach § 38 BDSG n. F. ist ein Datenschutzbeauftragter zu benennen, wenn

  • im Unternehmen i. d. R. mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind,
  • im Unternehmen (unabhängig von der Personenzahl) personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden,
  • die Hauptaufgabe des Unternehmens in einer umfangreichen Verarbeitung besonderer Datenkategorien oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

 

MERKE | Entscheidend bei den zehn Personen ist allein die „Kopfzahl“. Es kommt also nicht auf den Status des Mitarbeiters im Unternehmen an. Auch geringfügig Beschäftigte, Auszubildende, Praktikanten, Teilzeitkräfte und freie Mitarbeiter werden jeweils als eine Person erfasst. Es reicht aus, wenn die betreffende Person immer wieder mit der Verarbeitung personenbezogener Daten befasst ist. Ein Schwerpunkt ist hier nicht erforderlich. Die Tätigkeit sollte aber regelmäßig („ständig“) erfolgen.

 

Liegen die Voraussetzungen für eine verpflichtende Benennung nicht vor, kann der Arbeitgeber freiwillig einen Datenschutzbeauftragten benennen.

 

MERKE | Gibt es einen Datenschutzbeauftragten ‒ ob verpflichtend oder freiwillig ‒ sind dessen Kontaktdaten (also mindestens Anschrift und E-Mail-Adresse) öffentlich zu machen. D. h. Name und Kontaktdaten müssen der Aufsichtsbehörde angegeben werden. Zusätzlich sind Name/Kontaktdaten in das Verzeichnis der Verarbeitungstätigkeiten und in die Informationen für betroffene Personen aufzunehmen sowie der Aufsichtsbehörde bei Datenverletzungen und bei Angelegenheiten im Zusammenhang mit Datenschutz-Folgenabschätzungen mitzuteilen.

 

Der Arbeitgeber kann einem beschäftigten Arbeitnehmer diese Funktion übertragen bzw. einen externen Datenschutzbeauftragten benennen (Art. 37 Abs. 6 DS-GVO). Ansonsten ist er selbst für die Einhaltung des Datenschutzes verantwortlich.

 

Beachten Sie | Mitarbeiter, die in einen Interessenkonflikt kommen könnten, sollte der Arbeitgeber nicht zu Datenschutzbeauftragten benennen. Das sind z. B. Geschäftsführer, Unternehmensinhaber, Personalleiter, Leiter der Rechtsabteilung, Leiter IT und auch externe Dienstleister, die bereits in anderer Funktion für den Arbeitgeber tätig sind.

3. Sind Unternehmen bis zu 250 Mitarbeiter befreit von der Dokumentation?

Jein! Art. 30 Abs. 5 DS-GVO nimmt kleinere und mittlere Unternehmen mit bis zu 250 Mitarbeitern zwar grundsätzlich von der Pflicht aus, ein Verzeichnis der Verarbeitungstätigkeiten zu führen ‒ aber nicht vorbehaltlos. Das bedeutet: Die Unternehmen müssen drei weitere Anforderungen erfüllen, um in diesen Genuss zu kommen. Diese drei Anforderungen müssen kumulativ vorliegen:

 

  • 1. Kein Risiko = Die Verarbeitung birgt „nicht ein Risiko für die Rechte und Freiheiten der betroffenen Person“ (Beispiel: Videoüberwachung ist eine risikogeneigte Verarbeitung).

 

  • 2. Gelegentlichkeit = Die Verarbeitung personenbezogener Daten erfolgt nur als Nebentätigkeit zusätzlich zur Haupttätigkeit.

 

  • 3. Keine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. 1 bzw. Art. 10 DS-GVO = Geht es um personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten, greift die Ausnahme ebenfalls nicht.

 

Machen wir uns nichts vor: Im Bereich des Beschäftigtendatenschutzes ist fast jeder Unternehmer ‒ unabhängig von seiner Mitarbeiterzahl ‒ schon bedingt durch die typischen Arbeiten im Geschäftsbetrieb (z. B. Personalakten, Finanzbuchhaltung, Kundendatenbank) in der Pflicht, ein Verfahrensverzeichnis zu führen. Gerade diese typischerweise zum Geschäftsgebiet gehörenden Datenverarbeitungen erfolgen nicht nur „gelegentlich“.

4. Gelten die Datenschutzregeln auch im Bewerberverfahren?

Nach § 26 Abs. 8 BDSG n. F. gelten auch Bewerber als Beschäftigte. Damit sind deren Daten genauso schutzwürdig wie die der beschäftigten Arbeitnehmer. Grundsätzlich gilt auch hier, dass personenbezogene Daten von Beschäftigten nur dann verarbeitet werden sollen, wenn dies für die Entscheidung über die Einstellung eines Bewerbers oder zur Durchführung, Ausübung oder Beendigung eines Arbeitsverhältnisses erforderlich ist. Und das beginnt bereits mit den Bewerbungsunterlagen: An wen gehen diese? An wen werden sie weitergeleitet? Wer löscht die Daten später?

 

PRAXISHINWEIS | Heutzutage gehen immer mehr Bewerbungen per E-Mail ein. Unternehmen setzen verstärkt auf eigene Webportale, aber auch auf eigens eingerichtete E-Mail-Postfächer. Generell ist dabei zu empfehlen, dass alle Bewerbungen einheitlich über ein E-Mail-Postfach, z. B. bewerbung@meier-gmbh.de, eingehen. Die Bewerbungen gehen an einem zentralen Ort ein, werden von dort gesteuert. Das erleichtert letztlich auch die Arbeit desjenigen, der dies dokumentieren muss.

 

Ist das Bewerbungsverfahren für die besagte Stelle beendet, müssen die Daten der abgelehnten Bewerber zurückgeschickt, gelöscht oder vernichtet werden, schließlich ist die Nutzung der Daten jetzt überflüssig. Die Daten müssen aber nicht gelöscht werden, solange noch mit Klagen wegen Verstoßes gegen das Allgemeine Gleichbehandlungsgesetz (AGG) zu rechnen ist. Die Daten sollten mindestens noch vier Monate, aber maximal sechs Monate vorgehalten werden (so auch das Bayerische Landesamt für Datenschutzaufsicht). Eine längere Speicherung ist nur mit Zustimmung der jeweiligen Person gestattet.

 

PRAXISHINWEIS | Der Arbeitgeber möchte die Bewerbungsunterlagen nicht berücksichtigter Bewerber dennoch für eine Weile behalten? Z. B. weil der Kandidat für eine andere Stelle in Betracht kommt oder weil in einigen Monaten eine ähnliche Stelle ausgeschrieben wird und die Kandidaten dann noch einmal eingeladen werden sollen? In diesen Fällen ist eine Einwilligung der Personen erforderlich. Der Arbeitgeber sollte wie folgt vorgehen:

 

  • Die Zustimmung der Kandidaten schriftlich oder zumindest per Mail einholen
  • Die Situation erläutern (Transparenz): Der Arbeitgeber sollte dokumentieren, weshalb die Speicherung der Daten über einen längeren Zeitraum erfolgen soll.
 

5. Ist es notwendig, die Mitarbeiter auf ihre Vertraulichkeit aufmerksam zu machen ‒ und wenn ja, wie?

Im Gegensatz zum alten BDSG sieht die DS-GVO zwar keine ausdrückliche Verpflichtung auf das Datengeheimnis mehr vor. Aber aufgrund anderer Vorschriften (z. B. allgemeine Organisations- und Rechenschaftspflichten nach Art. 5, 24 DS-GVO) gilt, dass weiterhin alle Mitarbeiter, die mit personenbezogenen Daten arbeiten, zur Vertraulichkeit zu verpflichten sind und auch entsprechend geschult werden sollen. Wichtig hierbei ist, dass der Verantwortliche ‒ der Arbeitgeber ‒ auch den Nachweis führen muss, dass er diese Pflichten einhält (Art. 5 Abs. 2, Art. 24 Abs. 1 DS-GVO). Das erfolgt am besten durch eine schriftliche Erklärung des Mitarbeiters.

6. Wann sollte der Mitarbeiter die Vertraulichkeitserklärung unterschreiben?

Am günstigsten ist es selbstverständlich, wenn der Mitarbeiter vor Aufnahme seiner Arbeitstätigkeit die Erklärung unterschreibt, also bevor er mit der Verarbeitung personenbezogener Daten beginnt. Das wäre der erste Arbeitstag. Keinesfalls sollten Arbeitsvertrag und Erklärung zeitgleich unterschrieben werden, da dies bereits dem Grundsatz der Freiwilligkeit nach § 26 Abs. 2 S. 2 BDSG n. F. zuwiderlaufen könnte. Denn der Arbeitnehmer würde ansonsten Sorge haben müssen, dass er den Arbeitsvertrag nicht erhält, wenn er die Erklärung nicht unterschreibt. Sollten die im Unternehmen tätigen Mitarbeiter bisher überhaupt noch keine Erklärung diesbezüglich erhalten und unterschrieben haben, kann das jetzt nachgeholt werden.

7. Was ist mit den Arbeitnehmern, die schon lange im Unternehmen tätig sind?

Es ist besser, wenn diese auch eine neue Vertraulichkeitsverpflichtung unterschreiben, die der ab dem 25.5.18 geltenden Rechtslage angepasst ist. Insofern hat eine solche Unterschrift allerdings nur deklaratorische Wirkung.

8. Was tun, wenn sich ein Mitarbeiter weigert, die Vertraulichkeitserklärung zu unterschreiben?

Grundsätzlich ergibt sich die Pflicht des Mitarbeiters, des Verantwortlichen oder des Auftragsverarbeiters zur Wahrung des Datengeheimnisses hinsichtlich der Verarbeitung personenbezogener Daten ohnehin bereits aus Art. 29 DS-GVO i. V. m. Art. 28 Abs. 3 S. 2b DS-GVO. Der betreffende Arbeitnehmer muss diese gesetzlichen Vertraulichkeitsverpflichtungen allein schon wegen der arbeitsvertraglichen Nebenpflichten wahren. Der Arbeitgeber sollte die Weigerung in jedem Fall vermerken und nachweisbar auf die geänderte Rechtslage hinweisen (z. B. durch Übergabe eines Merkblatts).

9. Der Mitarbeiter will in seine Personalakte Einblick nehmen. Was muss der Arbeitgeber ihm zeigen? Was nicht?

Jeder Mitarbeiter hat auch beim Thema Personalakte entscheidende Rechte. Grundsätzlich hat er ein Recht auf Einsicht in seine Akte (§ 83 Abs. 1 S. 1 Betriebsverfassungsgesetz) und ggf. auf Löschung, Änderung sowie Berichtigung. Gerade hier gelten die Grundsätze aus der DS-GVO:

 

  • Auskunftsrecht gemäß Art. 15 DS-GVO
  • Recht auf Berichtigung gemäß Art. 16 DS-GVO
  • Löschung gemäß Art. 17 DS-GVO unter den in Art. 17 Abs. 1a bis f DS-GVO genannten Voraussetzungen

 

Der Mitarbeiter hat keinen Anspruch darauf, Entwürfe zur Personalplanung, zukünftige Stellenbesetzungen oder -versetzungen und Lohnlisten einzusehen. Er kann aber seine Personalakte innerhalb der betriebsüblichen Arbeitszeit einsehen. Einen besonderen Grund braucht er hierfür nicht. Für diese Zeit behält er auch seinen Entgeltanspruch. Aus § 241 Abs. 2 BGB ergibt sich als nachwirkende Fürsorgepflicht des Arbeitgebers, dass der Arbeitnehmer auch nach Beendigung des Arbeitsverhältnisses seine Personalakte einsehen kann.

 

Zu den einsichtsfähigen Arbeitspapieren bzw. Beschäftigtendaten gehören z. B.:

 

  • Personalstammbögen, personelle Änderungsmitteilungen
  • Bewerbungsunterlagen
  • Arbeitsvertrag und Vertragsänderungen (Beförderungen, Versetzungen, Entsendungen)
  • Angaben zu Urlaubstagen
  • Krankheitsbescheinigungen (Arbeitsunfähigkeitsbescheinigungen)
  • Lohn- und Gehaltsänderungen
  • Gehaltsentwicklung (inkl. Pfändungen, Darlehen)
  • Fortbildungen, Qualifizierungen
  • Abmahnungen, Betriebsbußen und Beurteilungen
  • Ergebnisse von Eignungstests, schriftliche Auskünfte Dritter und ärztliche Gutachten
  • Kündigungsschreiben, Aufhebungsvertrag, Schlusszeugnis
  • Gegendarstellungen

10. Was ist mit den Daten, wenn der Mitarbeiter geht?

Der Mitarbeiter ist aus dem Unternehmen ausgeschieden und möchte seine Daten möglichst schnell gelöscht sehen. Das ist durchaus verständlich und wird in den meisten Fällen auch vom Arbeitgeber so gesehen. Der Gesetzgeber hat das Recht auf Löschung in einigen Fällen für den Arbeitnehmer eingeschränkt. So dürfen die Daten des Arbeitnehmers weiterhin gespeichert bleiben, wenn

  • sie der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dienen (Art. 17 Abs. 3e DS-GVO) oder
  • sie im öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder für statische Zwecke dienen (Art. 17 Abs. 3d DS-GVO).

 

Auch dürfen nicht alle Daten aus der Personalakte sofort gelöscht werden, da aus anderen Gesetzen oder Vorschriften Aufbewahrungsfristen gelten. So verjähren z. B. Lohnforderungen regulär gemäß § 195 BGB nach drei Jahren, Steuerunterlagen nach § 147 Abs. 1 Nr. 5 AO nach sechs Jahren, Unterlagen zur betrieblichen Altersversorgung nach § 11 Abs. 2 BetrAVG nach sechs Jahren. Diese Aufbewahrungsfristen betreffen aber nur die jeweils notwendigen Teile der Personaldaten.

 

Weiterführender Hinweis

Quelle: ID 45240960
print print email email email_comp email_comp twitter twitter facebook facebook xing xing

Mehr zum Thema