Personalabteilungen sehen sich in der Regel aus Datenschutzsicht u. a. mit folgenden Aufgaben und Themen konfrontiert, ggf. in Zusammenarbeit und mit Unterstützung des Datenschutzbeauftragten ("DSB"), sofern das Unternehmen einen solchen bestellt hat:
- Schutz der Mitarbeiterdaten vor unbefugtem Zugriff und Verlust,
- Erarbeiten von Rollen- und Zugriffskonzepten,
- Verpflichtung aller Beschäftigter zur Verschwiegenheit,
- ggf. Verpflichtung auf das Fernmeldegeheimnis gemäß § 3 Abs. 3 Telekommunikations-Telemedien-Datenschutzgesetz ("TTDSG") für Mitarbeiter, die Einsicht in Telekommunikationsdaten nehmen (z. B. IT-Administratoren),
- Erstellung und Veröffentlichung von Richtlinien über den ordnungsgemäßen Umgang mit personenbezogenen Daten am Arbeitsplatz,
- Überprüfung der Mitarbeiter hinsichtlich der Eignung zum Umgang mit (sensiblen) personenbezogenen Daten,
- Kontaktstelle für den DSB sowie die Unternehmensführung und den Betriebsrat.
Schutzgut sind stets die Beschäftigtendaten. In § 26 Abs. 8 BDSG wird der Begriff des Beschäftigten definiert. Dieser orientiert sich weitgehend am Arbeitnehmerbegriff, weitet ihn aber darüber hinaus auf alle abhängig Beschäftigten aus. Ferner werden Bewerber, aber auch "Personen, deren Beschäftigungsverhältnis beendet ist", erfasst. Ebenso sind Mitarbeiter aus einer Arbeitnehmerüberlassung als Beschäftigte des Unternehmens anzusehen.
Da die Personalabteilung unweigerlich mit datenschutzrechtlichen Bestimmungen in Kontakt kommt, sollte sie in erster Linie die wichtigsten Rechtsquellen kennen. Für die Personalabteilung relevante datenschutzrechtliche Bestimmungen sind u. a. zu finden in:
Hinzu kommt die gestalterische Rechtsprechung der Gerichte sowie Stellungnahmen und Hilfestellungen der Datenschutz-Aufsichtsbehörden. Von den genannten möglichen Rechtsquellen sind nicht alle immer für jede Personalabteilung relevant. Dennoch können sie, je nach Einzelfall, eine wichtige Rolle spielen, da die DSGVO als "Prinzipiengesetz" nur die generellen Prinzipien der Datenverarbeitung regelt. Personalverantwortliche werden folglich nie "den" konkreten Fall in der DSGVO finden, der über die Rechtmäßigkeit der Verarbeitung urteilt. Wichtig ist daher, sich bewusst zu machen, welchen Prinzipien die DSGVO folgt und wo spezialgesetzliche Normen Konkretisierungen treffen.
Besonderes Augenmerk sollten Personalabteilungen auf das Recht auf Auskunft legen, das sich gerade in Kündigungsschutzprozessen aufseiten der Arbeitnehmer großer Beliebtheit erfreut. Das BAG hat in seinem Urteil vom 16.12.2021 klargestellt, dass es aus Gründen des effektiven Rechtsschutzes einen Weg geben muss, den aus Art. 15 Abs. 1 Halbsatz 2 DSGVO folgenden Anspruch auch prozessual durchzusetzen. Prozessuale Einwände (z. B. zur Unbestimmtheit eines Auskunftsanspruchs) waren bislang aufseiten der Arbeitgeber ein beliebtes Mittel zur Abwehr. Das BAG stellt insbesondere klar, dass der Anspruchsteller durch sein Auskunftsbegehren oft erst die Informationen erlangen will, die eine genauere Bezeichnung dessen, was über ihn an personenbezogenen Daten gespeichert ist, ermöglichen. Insofern müsse das Prozessrecht das materielle Recht verwirklichen, dagegen nicht dessen Durchsetzung vermeidbar hindern.
Nichtsdestotrotz besteht für Arbeitgeber ein realistisches Risiko, dass Beschäftigte mit Stellung des Auskunftsverlangens Ziele außerhalb des ursprünglichen Zwecks des Art. 15 DSGVO verfolgen und beispielsweise nur die Ressourcen ihres ehemaligen Arbeitgebers strapazieren möchten. Werden mit dem Auskunftsverlangen Ziele verfolgt, die die Rechtsordnung missbilligt, oder handelt die betroffene Person arglistig oder schikanös, ist das Auskunftsrecht nach einhelliger Auffassung der Gerichte ausgeschlossen.
Ob das auch gilt, wenn der betroffene Beschäftigte mit seinem Auskunftsverlangen einen legitimen, aber datenschutzfremden Zweck verfolgt, ist unklar. Diese Frage hat der BGH dem EuGH zur Beantwortung vorgelegt. Die Entscheidung des EuGH in der Sache steht noch aus.
Prozesse zur Erfüllung des Auskunftsanspruchs einführen
Personalabteilungen sollten in enger Abstimmung mit der Rechtsabteilung und Datenschutzbeauftragten Prozesse zur Erfüllung des Auskunftsanspruchs etablieren, um eine prozessuale Eskalation möglichst zu vermeiden.