Zusammenfassung
Datenschutzrechtliche Fragestellungen sind längst von enormer Bedeutung für Unternehmen. Gerade im Rahmen des Personalwesens ergeben sich zahlreiche Stolperfallen: Datenschutzwidrig erlangte Informationen können Beweisverwertungsverboten in Kündigungsschutzprozessen unterliegen, dem Arbeitnehmer steht ein Auskunftsanspruch über die Verarbeitung seiner personenbezogenen Daten zu und der Betriebsrat muss bei bestimmten datenschutzrelevanten Entscheidungen miteinbezogen werden, insbesondere bei der Implementierung von Informationstechnologie. Die außerordentliche Relevanz der Einhaltung datenschutzrechtlicher Vorschriften spiegelt sich vor allem in dem Bußgeldrahmen der Datenschutz-Grundverordnung (DSGVO) wider. Unternehmen drohen bei Verstößen gegen die Vorschriften zum Schutz personenbezogener Daten Bußgelder von bis zu 20 Mio. EUR bzw. von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Dass diese Bußgelder nicht nur auf dem Papier bestehen, zeigt das Vorgehen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit gegen ein Modeunternehmen. Dieses verarbeitete zu Unrecht Daten von Beschäftigten und muss nun 35,3 Millionen EUR Bußgeld zahlen.
Der nachfolgende Beitrag behandelt insbesondere die Datenverarbeitung zur Durchführung des Beschäftigungsverhältnisses (z. B. die Stammdatenspeicherung oder die Arbeitszeiterfassung) sowie die spezifischen Besonderheiten der Rechtsgrundlagen für die Verarbeitung im Beschäftigungskontext.
Seit dem 25.5.2018 regelt die Verordnung 2016/679 (Datenschutz-Grundverordnung – "DSGVO") der Europäischen Union das Datenschutzrecht in den Mitgliedsstaaten der Union unmittelbar. Die Datenschutz-Grundverordnung sieht jedoch, u. a. für die Verarbeitung von Daten im Beschäftigungskontext, Möglichkeiten zur Schaffung nationaler Vorschriften vor, sofern diese mit den, in der Datenschutz-Grundverordnung verankerten, Prinzipien zum Schutz personenbezogener Daten vereinbar sind. Der deutsche Gesetzgeber hat diese Gestaltungsmöglichkeit mit dem Bundesdatenschutzgesetz beschlossen. Regelungen zum Beschäftigtendatenschutz finden sich in § 26 BDSG.
1 Verantwortlichkeit der Personalabteilung
Personalabteilungen sehen sich in der Regel aus Datenschutzsicht u. a. mit folgenden Aufgaben und Themen konfrontiert, ggf. in Zusammenarbeit und mit Unterstützung des Datenschutzbeauftragten ("DSB"), sofern das Unternehmen einen solchen bestellt hat:
- Schutz der Mitarbeiterdaten vor unbefugtem Zugriff und Verlust,
- Erarbeiten von Rollen- und Zugriffskonzepten,
- Verpflichtung aller Beschäftigter zur Verschwiegenheit,
- ggf. Verpflichtung auf das Fernmeldegeheimnis gemäß § 3 Abs. 3 Telekommunikations-Telemedien-Datenschutzgesetz ("TTDSG") für Mitarbeiter, die Einsicht in Telekommunikationsdaten nehmen (z. B. IT-Administratoren),
- Erstellung und Veröffentlichung von Richtlinien über den ordnungsgemäßen Umgang mit personenbezogenen Daten am Arbeitsplatz,
- Überprüfung der Mitarbeiter hinsichtlich der Eignung zum Umgang mit (sensiblen) personenbezogenen Daten,
- Kontaktstelle für den DSB sowie die Unternehmensführung und den Betriebsrat.
Schutzgut sind stets die Beschäftigtendaten. In § 26 Abs. 8 BDSG wird der Begriff des Beschäftigten definiert. Dieser orientiert sich weitgehend am Arbeitnehmerbegriff, weitet ihn aber darüber hinaus auf alle abhängig Beschäftigten aus. Ferner werden Bewerber, aber auch "Personen, deren Beschäftigungsverhältnis beendet ist", erfasst. Ebenso sind Mitarbeiter aus einer Arbeitnehmerüberlassung als Beschäftigte des Unternehmens anzusehen.
Da die Personalabteilung unweigerlich mit datenschutzrechtlichen Bestimmungen in Kontakt kommt, sollte sie in erster Linie die wichtigsten Rechtsquellen kennen. Für die Personalabteilung relevante datenschutzrechtliche Bestimmungen sind u. a. zu finden in:
Hinzu kommt die gestalterische Rechtsprechung der Gerichte sowie Stellungnahmen und Hilfestellungen der Datenschutz-Aufsichtsbehörden. Von den genannten möglichen Rechtsquellen sind nicht alle immer für jede Personalabteilung relevant. Dennoch können sie, je nach Einzelfall, eine wichtige Rolle spielen, da die DSGVO als "Prinzipiengesetz" nur die generellen Prinzipien der Datenverarbeitung regelt. Personalverantwortliche werden folglich nie "den" konkreten Fall in der DSGVO finden, der über die Rechtmäßigkeit der Verarbeitung urteilt. Wichtig ist daher, sich bewusst zu machen, welchen Prinzipien die DSGVO folgt und wo spezialgesetzliche Normen Konkretisierungen treffen.
Besonderes Augenmerk sollten Personalabteilungen auf das Recht auf Auskunft legen, das sich gerade in Kündigungsschutzprozessen aufseiten der Arbeitnehmer großer Beliebtheit erfre...