Die EU-Datenschutzverordnung – Jetzt wird es ernst: Seit 25. Mai gilt die neue EU-Datenschutzverordnung (DS-GVO). Diese Verordnung enthält zwar keine unmittelbaren Regelungen zum Beschäftigtendatenschutz, jedoch eine Öffnungsklausel für den nationalen Gesetzgeber, von der Deutschland Gebrauch gemacht hat. Der Beschäftigtendatenschutz ist somit unmittelbar im Bundesdatenschutzgesetz (BDSG) geregelt. Grundsätzlich gilt: Schon vor dem Abspeichern sollte man überlegen, welche Daten man überhaupt benötigt.

Der deutsche Arbeitgeber muss sowohl die europäische Richtlinie als auch das Bundesdatenschutzgesetz (BDSG) beachten. Beim Datenschutz geht es um den Respekt im Hinblick auf das informationelle Selbstbestimmungsrecht des Mitarbeiters, der sich in den Grundsätzen der Rechtmäßigkeit, der Transparenz, der Zweckbindung, der Datenminimierung etc. niederschlägt. Dazu kann der Arbeitgeber Daten des Arbeitnehmers in zwei Konstellationen erheben, speichern und verarbeiten:

  1. Erforderliche Informationen zur Durchführung des Arbeitsvertrags (auch Anbahnung des Vertrags) wie Name, Geburtsdatum, Anschrift; für die Lohnabrechnung Konfession, Familienstand etc.
  2. Besonders sensible Daten wie Gesundheitsdaten des Arbeitnehmers. Diese Kategorie von Informationen kann nur verarbeitet werden, wenn eine schriftliche Einwilligung des Arbeitnehmers vorliegt. Diese Einwilligung muss freiwillig sein, was sehr problematisch im Subordinationsverhältnis des Arbeitsvertrags ist. Darüber hinaus muss der Arbeitgeber den Arbeitnehmer darüber aufklären, zu welchem Zweck diese Daten erhoben und wie sie verarbeitet werden. Der Arbeitnehmer muss über sein jederzeitiges Widerrufsrecht der Einwilligung informiert werden und diese Aufklärung muss wieder vorgenommen werden, wenn sich der Zweck ändert.

Den Arbeitgeber treffen umfangreiche Informations- und Auskunftspflichten. Eine der wichtigsten Änderungen des neuen Datenschutzrechtes ist die Beweislastumkehr: Der Arbeitgeber muss beweisen, dass er die Vorschriften eingehalten hat, wenn beispielsweise der Arbeitnehmer nur behauptet, dass Datenschutzvorschriften verletzt wurden. Bei Verletzung einer solchen Vorschrift sieht das Gesetz einen Schadensersatzanspruch für immaterielle Schäden (Verletzung des Persönlichkeitsrechts) vor. Die Motivation zur Umsetzung der Datenschutzvorschriften soll durch sehr hohe Bußgelder erreicht werden; bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens, maximal jedoch 20 Millionen Euro.

„Das Problem ist die Umsetzung in der Praxis“, erklärt Rechtsanwältin Anne-Marie Hermann. „Der Gesetzgeber hat lediglich Grundsätze aufgestellt und den Unternehmen völlige Freiheit bei der Umsetzung gelassen.“ Erste Empfehlungen der Expertin Strukturen etablieren, die jederzeit die Ansprüche des Arbeitnehmers erfüllen (Auskunfts-, Berichtigungs- und Löschungsanspruch) Erhobene Daten kategorisieren (allgemeine Daten  zum Arbeitsvertrags und sensible Daten)
Die Prozesse müssen dokumentiert werden, um sich im Falle eines Rechtsstreits verteidigen zu können.

NETZWERKKONTAKT
LHP_LogoAnne-Marie Hermann
Rechtsanwältin, Fachanwältin für Arbeitsrecht
Marktplatz 7 | 97215 Uffenheim
Telefon 09842 / 98 38 – 0 | Fax 09842 / 98 38 – 99 150
anne-marie.hermann@lhp.de | www.lhp.de

Neigenfind kleinAutor: Mathias Neigenfind
Chefredakteur Business Lounge Magazin
mn@businesslounge-wirtschaftsmagazin.de

 

Bildnachweis: LHP