Die seit 25. Mai 2018 anwendbare Datenschutz-Grundverordnung (DS-GVO) hält Unternehmen noch immer in Atem. Zahlreiche Unternehmen haben auch heute – acht Monate nach Anwendbarkeit der DS-GVO – eine Umsetzung der Anforderungen noch nicht erreicht. Insbesondere bei der Verarbeitung personenbezogener Daten im Beschäftigungskontext herrschen teilweise noch große Unsicherheiten. Dies lässt sich damit erklären, dass die DS-GVO in diesem Bereich sehr unspezifisch bleibt und den Mitgliedstaaten große Spielräume belässt. In diesem Artikel sollen wesentliche Pflichten aus dem Beschäftigtendatenschutz aufgezeigt werden, um Personalern mehr Sicherheit im Umgang mit personenbezogenen Daten zu geben.

Beschäftigtendatenschutz nach der DSGVO
Karolin Widmann

Beschäftigtendatenschutz im BDSG-neu

Deutschland hat von seiner Regelungsbefugnis nur teilweise Gebrauch gemacht. Nach dem geänderten Bundesdatenschutzgesetz (BDSG-neu) ist die Verarbeitung von Beschäftigtendaten zulässig, soweit dies für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Zur alten Rechtslage ergibt sich hieraus zunächst kein Unterschied.

Neu ist jedoch die Regelung spezifischer Anforderungen an datenschutzrechtliche Einwilligungen: Basiert die Verarbeitung von Beschäftigtendaten auf einer Einwilligung, ist diese zu dokumentieren und hat strengen Anforderungen zu genügen (§ 26 Abs. 2 BDSG-neu, Art. 7 DS-GVO). Der Beschäftigte ist umfassend über die konkrete Verarbeitung und seine diesbezüglichen Rechte zu informieren (Art. 13ff. DS-GVO). Er ist außerdem auf seine jederzeitige Widerrufsmöglichkeit hinzuweisen. Unternehmen haben daher bestehende Einwilligungen kritisch zu prüfen und gegebenenfalls neu einzuholen.

Die DS-GVO stellt nunmehr ausdrücklich klar, dass eine zulässige Datenverarbeitung auch auf Basis einer Kollektivvereinbarung (Tarifvertrag, Betriebsvereinbarung) erfolgen kann. Diese ist am strengen Maßstab des Art. 88 Abs. 2 DS-GVO zu messen. Dabei ist sicherzustellen, dass angemessene Maßnahmen zur Wahrung der berechtigten Interessen und Grundrechte der Beschäftigten getroffen wurden. Dies gilt insbesondere für sensible Verarbeitungen wie die Übermittlung von Beschäftigtendaten innerhalb einer Unternehmensgruppe oder den Einsatz von Überwachungssystemen am Arbeitsplatz. Auch hier wird es regelmäßig an der notwendigen Transparenz und ausreichenden Informationen zur konkreten Verarbeitung fehlen. Bestehende Kollektivvereinbarungen sollten daher ebenfalls überprüft und, soweit erforderlich, angepasst werden.

Wegen der umfangreichen Verarbeitung sensibler Daten (z. B. Gesundheitsdaten, Religionszugehörigkeit) sind Unternehmen zudem zur Durchführung sog. „Datenschutz-Folgenabschätzungen“ (Art. 35 DS-GVO) verpflichtet. Hierbei handelt es sich um einzelfallbezogene Bewertungen spezifischer Risiken für Rechte und Freiheiten betroffener Personen aufgrund der Verarbeitung besonders sensibler Daten.

Sonderfall: Datenschutz im Bewerbungsverfahren

Die tägliche Beratungspraxis zeigt, dass der Datenschutz vor allem im Bewerbungsverfahren oft vernachlässigt wird. Auch Bewerber gelten jedoch als Beschäftigte. Die entsprechenden Pflichten aus DS-GVO und BDSG-neu sind daher auch ihnen gegenüber zu erfüllen.

So sind Bewerber ebenfalls umfassend über die geplante Verarbeitung zu informieren. Können Bewerbungen über die Internetseite oder eine Bewerberplattform übersandt werden, empfiehlt es sich die erforderlichen Informationen in der Datenschutzerklärung der Webseite vorzuhalten und diese in der Eingabemaske zu verlinken. Bei Bewerbungen per E-Mail sollten diese zusätzlich mit der Eingangsbestätigung an den Bewerber gesendet werden.

Vielfach relevant wird in Zusammenhang mit Bewerberdaten auch das Thema Löschung: Personenbezogene Daten sind grundsätzlich zu löschen, wenn der Zweck der Verarbeitung entfällt – im konkreten Fall also regelmäßig mit Besetzung der ausgeschriebenen Stelle. Zur Abwehr geltend gemachter Ansprüche, etwa wegen Benachteiligung aus dem allgemeinen Gleichbehandlungsgesetz (AGG), haben Unternehmen jedoch ein berechtigtes Interesse daran,
Bewerberdaten auch danach zunächst aufzubewahren. Die meisten Aufsichtsbehörden akzeptieren dabei einen Zeitraum von drei Monaten, ohne dass es einer näheren Begründung hierfür bedarf. Danach sind Bewerberdaten zwingend zu löschen.

Zusammenfassung
Um den vielfachen Besonderheiten des Verhältnisses zwischen Arbeitgeber und Beschäftigtem gerecht zu werden, wäre die Einführung klarer Regelungen wünschenswert gewesen. Trotz langjähriger Diskussion um ein eigenständiges Beschäftigtendatenschutzgesetz hat der Gesetzgeber die Möglichkeit einer umfassenden Neuregelung bisher jedoch versäumt und im Vergleich zur alten Rechtslage nur unwesentlich konkretere Regelungen geschaffen. In Auslegungsfragen sollte daher weiter auf die Vorgaben der Rechtsprechung zum alten Recht zurückgegriffen werden.

Autorin: Karolin Widmann

Karolin Widmann, Rechtsanwältin
Frau Widmann ist Rechtsanwältin und Mitglied des Fachbereichs IT & Digital Business von SKW Schwarz Rechtsanwälte in München. Sie betreut nationale und internationale Mandanten in allen Fragen des IT- und Datenschutzrechts. Ein besonderer Schwerpunkt ihrer Tätigkeit liegt in der Betreuung internationaler Konzerngesellschaften bei der Umsetzung der DS-GVO. Frau Widmann führt in diesem Zusammenhang regelmäßig Schulungen und Workshops zur DS-GVO durch.