Beschäftigtendaten werden vielfach im Betrieb erhoben. Bei jeglicher IT-Nutzung fallen persönliche Daten an: das gilt für Arbeitszeiterfassung genauso wie für das Anmelden am PC, das Nutzen der Telefon-Dienste und vieles mehr. Ab 25.5.2018 gelten die neue EU-Datenschutzgrundverordnung (DGSVO) und das neue Bundesdatenschutzgesetz (BDSG-neu).
Auch in Zukunft gilt der Grundsatz des »Verbots mit Erlaubnisvorbehalt«. Datenerheben durch den Arbeitgeber ist danach verboten, es sei denn eine spezielle Erlaubnis liegt vor. Die Erlaubnis liegt vor (Art. 26 BDSG-neu); wenn
- die Datenerhebung für das Arbeitsverhältnis »erforderlich« ist oder
- der Beschäftigte seine Einwilligung erteilt oder
- eine Betriebsvereinbarung oder ein Tarifvertrag die Datenerhebung gestattet oder
- es um die Aufdeckung einer Straftat geht.
Dass heutzutage ein Arbeitsverhältnis nicht mehr funktioniert, ohne dass der Arbeitgeber bestimmte Stammdaten seiner Mitarbeiter (Name, Adresse, Konto, Ausbildungsnachweise) erheben darf, versteht sich von selbst. Derlei Datenerhebungen sind zweifelsfrei »erforderlich«.
Einwilligung
Eine wichtige Rolle spielt die Einwilligung. Hat nämlich der Beschäftigte darin eingewilligt, dass der Arbeitgeber seine Daten erhebt und verarbeitet, so entfällt das Schutzbedürfnis. Die DGSVO hat allerdings die Anforderungen an die Einwilligung deutlich verschärft. Der Beschäftigte muss die Einwilligung absolut »freiwillig« erteilen, sonst gilt sie nicht als wirksam erteilt. Ist die Einwilligung zur Datenverarbeitung – wie häufig – Bestandteil des Arbeitsvertrages, so darf bezweifelt werden, ob sie der Beschäftigte freiwillig erteilt hat. Die Einwilligung muss zudem schriftlich vorliegen und – ebenfalls eine wichtige Neuerung – den Zweck der Datenverarbeitung präzise benennen (Art. 7 DSGVO). Auch kann sie jederzeit widerrufen werden, worauf der Beschäftigte vor Abgabe der Einwilligung ausdrücklich hinzuweisen ist.
Betriebsvereinbarungen
Für die in der Praxis ebenfalls wichtigen Betriebsvereinbarungen als Erlaubnisgrundlage gelten ebenfalls seit der neuen DGSVO erheblich strengere Anforderungen als vorher. Jede Betriebsvereinbarung muss nun dem Grundsatz der »Transparenz« und dem »Verhältnismäßigkeitsgrundsatz« genügen.
Außerdem muss – und dies ist von erheblicher Bedeutung – der Zweck der Datenverarbeitung in der Betriebsvereinbarung konkret benannt werden. In vielen aktuellen Betriebsvereinbarungen finden sich lediglich pauschale Hinweise auf den Verwendungszweck, die dem neuen Recht keinesfalls genügen würden.
Auch bei harmloseren Betriebsvereinbarungen muss für alle Beschäftigten klar erkennbar sein, in welchem Umfang ihre Daten erhoben und gespeichert werden (Art. 5 EU-DSGVO). Die Informationen müssen leicht zugänglich, verständlich und in klarer Sprache abgefasst sein.
Allgemeine Prinzipien
Der für die Datenverarbeitung Verantwortliche – also meist der Arbeitgeber – muss zudem eine Reihe allgemeiner Datenschutzprinzipien beachten. Dazu gehören etwa die Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben, der Transparenz, der Zweckbindung, der Datenminimierung und der Vertraulichkeit sowie die in Art. 5 Abs. 2 DSGVO verankerte Rechenschaftspflicht, wonach insbesondere der Umgang mit Daten dokumentiert werden muss.
8.5.2018
Referat Datenschutz
Uwe Karsten
Fachanwalt für Arbeitsrecht
Datenschutzbeauftragter