Die EU-Datenschutz-Grundverordnung, kurz DSGVO oder englisch GDPR, beschäftigt derzeit alle Unternehmen und Abteilungen. Denn am 25. Mai 2018 wird die im April 2016 verabschiedete Verordnung rechtsverbindlich. Zusammenfassend sieht sie einen besseren Schutz persönlicher Daten vor und kann bei Verstößen mit empfindlichen Strafen einhergehen.
1. Einwilligungen in die Freigabe persönlicher Daten müssen freiwillig erfolgen und laut Art. 7 Abs. 2 DSGVO in klarer, einfacher Sprache erbeten oder eingefordert werden. Das gilt auch für Beschäftigungsverhältnisse. Aus Beleggründen sollten die Einwilligungen schriftlich eingefordert werden.
Eine Einwilligung in die Freigabe persönlicher Daten – des Bewerbers gegenüber der Personalabteilung eines Unternehmens etwa – ist widerrufbar. Der Widerruf muss aber einen „vernünftigen Grund“ erkennen lassen. Nur dass man mit dem ehemaligen Arbeitgeber nicht mehr in Verbindung gebracht werden will, reicht als Grund nicht aus.
2. Die DSGVO weist der Auftragsdatenverarbeitung (ADV) bei der Personalverwaltung gemäß Art. 28 mehr Pflichten zu. Die Hauptverantwortung bleibt aber primär bei der verantwortlichen Stelle. Beim Outsourcing ist die Weisungsgebundenheit zu prüfen. Liegt die vor, greifen die ADV und die entsprechenden gesetzlichen Vorgaben.
Eine ADV-Vereinbarung muss schriftlich erfolgen und unter anderem Weisungs- und Kontrollrechte sowie technisch-organisatorische Maßnahmen (TOM) für Subunternehmen abdecken.
Wichtig ist in dem Zusammenhang auch § 203 StGB bezüglich der Geheimnisoffenlegung für einzelne Mitarbeiter. Für die vorsätzliche Offenlegung von fremden Geheimnissen droht eine Freiheitsstrafe von bis zu einem Jahr oder eine Geldstrafe.
3. Die Betroffenenrechte werden gestärkt. Einem Widerspruch oder Widerruf kann sich ein Unternehmen gegenüber einem Bewerber oder ein Online-Händler gegenüber dem Kunden nicht durch eine Einwilligung entziehen. Es kann aber darauf hingewiesen werden, dass ein Vertrag in dem Fall nicht aufrecht erhalten bleiben kann.
Die Betroffenen müssen von den Verantwortlichen an geeigneter Stelle auch über ihre Rechte auf Auskunft, Berichtigung, Sperrung, Löschung und Beschwerde gemäß Art. 77 DSGVO bei der zuständigen Aufsichtsbehörde informiert werden.
Für die PbD (Privacy by Design, siehe unten) verarbeitende Software bedeutet das, dass die Daten revisionssicher sein sollten und die Möglichkeit bestehen muss, automatisiert und übergreifend nach Datensätzen zu suchen und diese souverän zu löschen.
Privacy by Design und Privacy by Default (PbD), Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen, sind keine neuen Begriffe, erlangen aber wie in Art. 25 DSGVO verankert eine neue Bedeutung. Der Grundgedanke ist, dass der Schutz personenbezogener Daten durch frühzeitiges Ergreifen technischer und organisatorischer Maßnahmen (TOMs) bereits im Entwicklungsstadium erfolgen muss.
4. Die Meldepflicht für die Verletzung des PbD-Schutzes besteht laut Art. 33 Abs. 1 DSGVO innerhalb von 72 Stunden. Eine Ausnahme gilt, wenn „die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt“.
Die Meldung muss unter anderem folgendes enthalten: Eine Beschreibung derselben, soweit wie möglich mit Kategorien und Zahl der betroffenen Personen, den Namen und die Kontaktdaten des Datenschutzbeauftragten, eine Beschreibung der möglichen Folgen und der ergriffenen oder vorgeschlagenen Maßnahmen.
5. Dieser Punkt betrifft die Sanktionen und sollte jedem Unternehmen zu denken geben, warum es wichtig ist, sich mit der DSGVO frühzeitig zu beschäftigen. Nach Art. 83 Abs. 5/6 drohen Bußgelder in Höhe von maximal 20 Millionen Dollar oder maximal 4 Prozent des weltweiten Jahresumsatzes. Neben diesen sind noch weitere Sanktionen denkbar.
Fazit: Entscheider im Personalwesen sollten sich intensiv mit den neuen Richtlinien der DSGVO befassen und diese bis zum Stichtag am 25. Mai 2018 umsetzen.
Gern helfen wir dabei.
24.01.2018
Referat Datenschutz
Uwe Karsten
Fachanwalt für Arbeitsrecht
Datenschutzbeauftragter