Die EU schafft mit der DSGVO strengere Rahmenbedingungen des Datenschutzes in Unternehmen.
Europäische Kommission
Soviel ist sicher: Die europäische Datenschutz-Grundverordnung (DSGVO) kommt – Hand in Hand mit dem neuen Bundesdatenschutzgesetz (BDSG-neu). In Deutschland gilt das Regelwerk ab dem 25. Mai 2018.
Schon aus der Begrifflichkeit "Verordnung" ergibt sich, dass etwas ernst zu nehmendes auf uns zukommt. Im Gegensatz zur bislang gültigen Datenschutzrichtlinie ist die DSGVO ab Mai 2018 geltendes Recht in allen EU-Mitgliedstaaten. Denn anders als bei einer EU-Richtlinie sind die Mitgliedstaaten verpflichtet, die Verordnung direkt anzuwenden. Aufgrund einer Öffnungsklausel des Art. 88 DSGVO ersetzt in Deutschland dann § 26 BDSG-neu den bislang gültigen § 32 BDSG und ergänzt die Vorgaben der DSGVO, der sich mit dem Beschäftigtendatenschutz befasst.
Wichtige Änderungen beim Mitarbeiterdatenschutz
Obwohl viele der Regelungen des Vorgänger-Paragrafen 32 in das neue BDSG übernommen wurden, gibt es einige wichtige Änderungen in Bezug auf den Mitarbeiterdatenschutz. Diese sollten die HR- und IT-Abteilungen in Unternehmen unbedingt im Blick haben, um den drastisch angepassten Sanktionen vorzubeugen. Noch schwerer als die hohen Bußgelder kann im Ernstfall ein langfristiger Reputationsverlust infolge einer Datenschutz-Anzeige wiegen.
Arbeitgeber sollten daher frühzeitig prüfen, ob sie ihre hausinternen Prozesse anpassen müssen, um den neuen Datenschutzregeln zu entsprechen. Dabei hilft es, wenn sie sich vor Augen führen, welche Grundsätze bestehen bleiben und wo sich etwas ändert.
Was kommt, was bleibt?
Wie bisher erfordert die Verarbeitung personenbezogener Daten die Einwilligung der Betroffenen – in diesem Fall also der Mitarbeiter (Verbot mit Erlaubnisvorbehalt, Art. 7 DSGVO). Im Rahmen des Beschäftigungsverhältnisses ergeben sich jedoch Ausnahmen von dieser direkten Zustimmungspflicht. So müssen Arbeitgeber beispielsweise steuer- und sozialversicherungsrelevante Daten verarbeiten, um monatlich die Löhne und Gehälter abzurechnen (Art. 6 Abs. 1 lit. a) DSGVO sowie § 26 Abs. 1 BDSG-neu).
Weitreichende Änderungen hingegen gibt es in den folgenden Bereichen:
- Paradigmenwechsel durch Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO). Bisher musste die Aufsichtsbehörde Verstöße gegen den Datenschutz nachweisen. Ab dem 25. Mai 2018 sind Unternehmen in der Pflicht, im Ernstfall ihr datenschutzkonformes Verhalten zu belegen.
- Informationspflicht (Art. 12 bis 15 DSGVO). Bei der Direkterhebung von personenbezogenen Daten nach Art. 13 DSGVO müssen Unternehmen gegenüber ihren Mitarbeitern eine schriftliche Erklärung abgeben. Diese sollte unter anderem die folgenden Punkte benennen:
– Kontaktdaten des Verantwortlichen im Unternehmen;
– ggf. Kontaktdaten des Datenschutzbeauftragten;
– Zweck der Datenerhebung;
– ggf. Empfänger und Kategorien der Daten;
– Dauer der Aufbewahrung (Löschfristen);
– Auskunfts- und Widerspruchsrecht
Darüber hinaus müssen gegebenenfalls weitere Informationen gemäß Art. 13 und 14 DSGVO genannt werden. - Verschärfung der Sanktionen (Art. 83 DSGVO). Sah das BDSG bei Verstößen Bußgelder bis maximal 300.000 Euro vor, können nun wesentlich empfindlichere Strafen in Höhe von bis zu 20 Millionen Euro beziehungsweise vier Prozent des Vorjahresumsatzes fällig werden.
Was ist zu tun?
Ein Verstoß gegen die Regelungen des DSGVO ist kein Kavaliersdelikt. Das gilt auch bei personenbezogenen Mitarbeiterinformationen. Die Größe des Unternehmens spielt dabei keine Rolle.
Egal ob kleine Firma, Mittelständler, Konzern oder öffentliche Institutionen: Arbeitgeber sollten jetzt handeln.
- In jedem Fall ist zu prüfen, ob das Unternehmen den Informationspflichten nachkommt. Mit Bezug auf den Beschäftigtendatenschutz ist davon zunächst die Personalabteilung betroffen. In der Praxis bietet es sich beispielsweise an, bei Online-Bewerbungen automatische E-Mail-Benachrichtigungen mit Informationsanhang und möglicherweise sogar Double-Opt-In-Verfahren einzurichten. Im Anstellungsverfahren können Arbeitgeber dem neuen Mitarbeiter die vorgeschriebenen Informationen zusätzlich zu den Vertragsunterlagen aushändigen und den Erhalt bestätigen lassen.
- Um der Rechenschafts- und Informationspflicht nachzukommen, sollten Unternehmen ein Verzeichnis der Verarbeitungen führen und pflegen (Inhalt siehe Art. 30 DSGVO).
- Zudem sollten sie verbindliche Verfahren nach DSGVO und BDSG-neu für den Umgang mit personenbezogenen Daten einführen und die Maßnahmen dokumentieren. Bei der Speicherung von Mitarbeiterdaten sollten stets der Zweck, die Einwilligung der Verarbeitung, Verfahren zur Pseudonymisierung, Löschverfahren, Auftragsverarbeitungen und weitere möglicherweise relevante Aktionen dokumentiert werden. Das sollte idealerweise an einem zentralen Ort erfolgen, beispielsweise im Dokumentenmanagement-System der eingesetzten HR-Software.
- Die Rolle des Datenschutzbeauftragten wird aufgewertet: Von einer lediglich beratenden wird er nun zur kontrollierenden Instanz im Unternehmen (Art. 37 Abs. 1 DSGVO sowie § 38 BDSG-neu). In dieser Funktion kann er die zuvor aufgezählten Maßnahmen unterstützen.