Der Countdown läuft: Ab dem 25. Mai 2018 findet die neue Datenschutzgrundverordnung (kurz DSGVO) Anwendung.
Damit kommen auf Unternehmen erhebliche gesetzliche Änderungen zu, die sich im HR-Bereich insbesondere auf die Verarbeitung von Beschäftigtendaten auswirken und eine Anpassung an die zwingend geltenden Bestimmungen der DSGVO erfordern.
Mit dem nachfolgenden dreiteiligen Beitrag möchten wir Ihnen angesichts der bevorstehenden nicht unerheblichen gesetzlichen Änderungen einen Überblick über die für die Personalarbeit ab 25. Mai 2018 geltenden zwingenden Bestimmungen verschaffen und praktische Lösungsansätze zur Umsetzung etwaig noch nicht vorgenommener organisatorischer Schritte im Hinblick auf die datenschutzrechtliche Compliance aufzeigen.
Hintergrund
Arbeitgeber müssen bei der Verarbeitung von Beschäftigtendaten ab dem 25. Mai 2018 als datenschutzrechtlich Verantwortliche zwingend die Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) sowie des § 26 BDSG-neu beachten.
Zu beachten ist dabei zunächst, dass selbstverständlich auch im Zusammenhang mit der Eingehung, Durchführung und Beendigung von Arbeitsverhältnissen die in Art. 5 DSGVO verankerten datenschutzrechtlichen Grundprinzipien, wie zum Beispiel Transparenz, Zweckbindung und Datenminimierung, einzuhalten sind.
Verstöße hiergegen können mit Geldbußen von bis zu 20 Mio. EUR oder in Höhe von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des voran-gegangenen Geschäftsjahres eines Unternehmens geahndet werden, je nachdem, welcher der Beträge höher ist (vgl. § 83 Abs. 5 DSGVO). Dabei schreibt die DSGVO vor, dass Sanktionen auf Grund von Verstößen gegen die DSGVO zwar verhältnismäßig, aber auch abschreckend sein müssen.
Unserer Auffassung nach ist es zwar nicht ausgeschlossen, dass stichprobenartig Untersuchungen von zuständigen Datenschutzbehörden bei Unternehmen durchgeführt werden, um die datenschutzrechtliche Compliance insbesondere auch im Zusammenhang mit Arbeitnehmerdaten zu überprüfen. Wahrscheinlicher ist hingegen, dass ein „Whistleblower“ entsprechende Angaben – ggf. auch anonym – bei der zuständigen Datenschutzbehörde macht, um diese zu einer Handlung zu veranlassen. Dabei kann es sich um einen sich im Streit mit dem Arbeitgeber befindlichen Arbeitnehmer oder ein durch innerbetrieblichen Streit ausgelöstes Verhalten von Betriebsräten und/oder Gewerkschaften handeln.
In den nachfolgenden Beiträgen möchten wir Ihnen zur Eingrenzung der Komplexität im Zusammenhang mit der Verarbeitung von Arbeitnehmerdaten einige typischerweise gestellte Fragen beantworten und eventuell noch bestehenden Handlungsbedarf aufzeigen.
1.Welche Vorschriften genau sind eigentlich die Rechtsgrundlage zur Verarbeitung von Beschäftigtendaten?
Ab dem 25. Mai 2018 wird die Verarbeitung von personenbezogenen Beschäftigtendaten im Wesentlichen durch die DSGVO als europarechtliche Verordnung, die, ohne dass es eines weiteren Umsetzungsaktes durch die jeweiligen nationalen Gesetzgeber bedarf, unmittelbar in den EU-Mitgliedsstaaten zur Anwendung kommt, und durch § 26 BDSG-neu geregelt. Als Faustformel gilt, dass die Regelungen in der DSGVO zunächst die spezielleren Normen darstellen, die allerdings durch nationale Regelungen spezifiziert werden (vgl. Art. 88 Abs. 1 DSGVO i.V.m. § 26 BDSG-neu).
2. Welche Arbeitnehmerdaten darf ich als Arbeitgeber überhaupt verarbeiten?
Wer als Beschäftigter i.S.d. neuen Datenschutzrechts anzusehen ist, ergibt sich aus § 26 Abs. 8 BDSG-neu. Im Übrigen regelt Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG-neu, für welche Zwecke personenbezogene Daten von Beschäftigten überhaupt verarbeitet werden dürfen. Danach dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses (z.B. Bewerbungsunterlagen) oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung (z.B. Name, Adresse, Bankverbindung etc.) oder zur Beendigung bzw. zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist. Dabei spielt der Begriff der Erforderlichkeit eine große Rolle. Es ist nämlich eine fallbezogene Abwägung der Interessen vorzunehmen, um zu gewährleisten, dass eine rechtmäßige Verarbeitung von Beschäftigtendaten/Arbeitnehmerdaten tatsächlich vorgenommen worden ist. Die Entwicklung einer einfachen Matrix für bestimmte Stellenbeschreibungen kann hier die Arbeit im HR Department erheblich erleichtern.
3. Können wir bei uns Beschäftigtendaten/ Arbeitnehmerdaten (z.B. Transfer von Arbeitnehmerdaten ins nichteuropäische Ausland) auf Grund einer Einwilligung des Arbeitnehmers verarbeiten?
Ja, dies ist grundsätzlich möglich. Zwischenzeitlich ist auch allgemein anerkannt, dass auch ein Beschäftigter eine freiwillige und damit wirksame Einwilligung erteilen kann. Das wurde im Rahmen eines Unter-Überordnungsverhältnisses, um das es sich bei einem Arbeitsverhältnis handelt, vielfach bezweifelt. Dieser Vorbehalt hat letztlich in § 26 Abs. 2 BDSG-neu auch seinen Niederschlag gefunden, wonach im Falle der Beurteilung der Freiwilligkeit einer Einwilligung die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, stets zu berücksichtigen sind. Dabei wird auch ausgeführt, dass Freiwilligkeit insbesondere dann vorliegen kann, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder der Arbeitgeber und die beschäftigte Person gleichgelagerte Interessen verfolgen. Im Beschäftigungsverhältnis bedarf die Einwilligung auch weiterhin der Schriftform, sofern nicht wegen besonderer Umstände eine andere Form (z.B. Textform) angemessen ist. Allerdings muss die Einwilligungserklärung einen bestimmten Inhalt aufweisen, der sich letztlich nach Art. 7 Abs. 3 DSGVO bemisst. Bei der Verfassung von Einwilligungserklärungen ist daher äußerste Vorsicht geboten. Es sollte bei jedem einzelnen Datenverarbeitungsvorgang von Beschäftigtendaten genau untersucht werden, ob eine Einwilligungserklärung der Beschäftigten in dem jeweiligen Fall wirklich eine geeignete Rechtsgrundlage für die Datenverarbeitung darstellen kann oder ob alternativ oder zusätzlich ein anderer Weg gesucht werden sollte. Bitte beachten Sie auch, dass es im Hinblick auf sensible Daten von Arbeitnehmern/Beschäftigten gem. § 26 Abs. 3 BDSG höhere Hürden zu meistern gilt.
(Weiter zu Teil 2)