Die Datenschutzgrundverordnung (DSGVO) sorgt seit Inkrafttreten für eine Flut von Informationen zum Datenschutz an Kunden, Patienten, Mandanten. Dabei vergessen manche Unternehmer die eigenen Arbeitnehmer.
Veränderungen im Arbeitnehmerdatenschutz
Es gibt Veränderungen im Arbeitnehmerdatenschutz durch die DSGVO. Neu ist, dass die DSGVO über allen anderen Regelungen steht und jedem nationalen Recht vorgeht (Art. 288 AEUV). Somit steht deutsches Arbeitsrecht, Betriebsvereinbarungen oder individuelle Vereinbarungen mit Arbeitnehmern auf dem Prüfstand.
Grundsätze der DSGVO
Jeder Unternehmer hat die Grundsätze der DSGVO zu beachten. Es beginnt damit, dass jede automatische Datenverarbeitung verboten ist, wenn keine Erlaubnis besteht. Das galt früher schon. Ebenso wie die Grundsätze von der Rechtmäßigkeit der Datenverarbeitung en, der Datenminimierung und Treu und Glauben dürfte es kaum Veränderungen geben. Anders ist es bei dem Gebot der Transparenz
Informationspflicht
Es hat sich bereits herumgesprochen, dass bei Beginn der Datenverarbeitung Kunden über den Datenschutz informiert werden müssen. Das gilt allerdings auch für Arbeitnehmer. Der Unternehmer muss seine Arbeitnehmer in einfacher und klarer Sprache über Zweck und Rechtsgrundlage der Datenverarbeitung informieren. In der Regel sind die Anforderungen andere als an die Informationen über die Datenverarbeitung der Kunden, so dass der Unternehmer ein weiteres Informationsblatt erstellen muss. Die Übergabe an die Arbeitnehmer sollte dokumentiert werden. Zu beachten ist, dass eine entsprechende Information auch an Bewerber zu schicken ist, wenn deren persönliche Daten automatisch und in strukturierter Form aufbewahrt werden.
Datenschutz-Folgenabschätzung
Zu beachten ist, dass die DSGVO die Pflicht zur Datenschutz-Folgenabschätzung weiter in den Vordergrund gerückt hat. Soweit eine Datenverarbeitung für den Arbeitnehmer ein besonderes Risiko darstellen könnte, muss der Unternehmer die Verarbeitung detailliert beschreiben und die Risiken nennen. Es ist eine Abwägung zwischen dem Nutzen der Datenverarbeitung und einem realisierten Risiko zu treffen. Wichtig ist zu beachten, dass bei einem hohen Risiko die jeweilige Aufsichtsbehörde zu informieren ist.
Löschkonzept
Kritisch hinterfragen sollte jeder Unternehmer, wie lang er Daten von Bewerbern oder Arbeitnehmer aufbewahrt. Persönliche Daten von Bewerbern sind nicht sofort zu löschen. Es ist möglich, dass sich abgelehnte Bewerber wegen einer Ungleichbehandlung nach dem AGG klagen. Dafür haben sie nach §15 Abs. 4 Satz 1 AGG zwei Monate Zeit. Nach diesen zwei Monaten dürfte aber eine Löschung geboten sein. Bei Arbeitnehmern müssen natürlich persönliche Daten für die Erfüllung des Arbeitsvertrags länger gespeichert werden, als zum Beispiel Arbeitszeitnachweise oder Videoaufnahmen. Es ist in jedem Fall erforderlich, dass für jedes Datum differenziert werden muss.
Rechenschaftspflicht
Über allen einzelnen datenschutzrechtlichen Erwägungen schwebt die Rechenschaftspflicht des Unternehmers. Das Einhalten der Regelungen der DSGVO muss für jeden einzelnen Schritt dokumentiert werden. Eine Verletzung dieser Pflicht aus Art. 24 DSGVO kann mit einem Bußgeld geahndet werden.
Öffnungsklausel
Während die wichtigsten Regelungen direkt in der DSGVO normiert sind, sieht die DSGVO sogenannte Öffnungsklauseln vor. Durch diese wird dem nationalen Gesetzgeber die Möglichkeit gegeben, weitere Regelungen zum Datenschutz zu erlassen. Der deutsche Gesetzgeber hat davon im neuen Bundesdatenschutzgesetz (BDSG neu) Gebrauch gemacht. Einzelheiten dazu werden in folgenden Artikeln vorgestellt.