Dr. iur. Matthias Lachenmann
Rz. 32
Eines der Kernstücke der DSGVO bilden die Art. 12–23 DSGVO, in denen die Rechte der betroffenen Personen konstituiert und gegenüber der bisherigen Rechtslage erweitert werden. Der Gesetzgeber ging davon aus, dass ein Bürger nur frei und umfassend über die Verarbeitung seiner Daten bestimmen könne, wenn ihm vollständige Informationen über die Datenverarbeitung vorliegen (vgl. ErwG 37 DSGVO). Das damit einhergehende Transparenzerfordernis wurde zu einem maßgeblichen Kriterium der DSGVO. Neben der Möglichkeit zur Information über die Datenverarbeitung soll den betroffenen Personen eine individuelle Verfügungsmacht über ihre Daten gegeben werden. Die hohe Relevanz dieser Betroffenenrechte macht der Gesetzgeber auch dadurch deutlich, dass ein Verstoß des Verantwortlichen gegen diese Vorschriften mit dem höheren Bußgeldrahmen von bis zu 4 % des weltweiten Jahresumsatzes bewehrt ist. Obwohl mehrere Betroffenenrechte und deren Ausgestaltung nicht auf Arbeitsverhältnisse zugeschnitten sind, müssen Wege zur Umsetzung im Unternehmen gefunden werden.
1. Pflicht zur Information gegenüber den Beschäftigten
Rz. 33
Maßgebliche Bedeutung, auch für die Zulässigkeit der Verarbeitung von Beschäftigtendaten, kommt der Information der Beschäftigten über die Verarbeitung ihrer Daten zu. Art. 13 DSGVO sieht hierzu in Absätzen 1 und 2 umfangreiche Informationspflichten gegenüber Betroffenen vor, die nur über eine ausführliche Datenschutzerklärung (wie sie bislang z.B. auf Websites und in Apps bekannt ist) erfüllt werden können. Da der Gesetzgeber nicht zwischen externen Betroffenen und Beschäftigten unterscheidet, gelten die Anforderungen an die Informationen auch im Beschäftigungsverhältnis. Inhaltlich muss die Datenschutzerklärung die nachfolgend dargestellten Informationen bereitstellen.
Rz. 34
Den Beschäftigten bereitzustellende Informationen
Die Datenschutzerklärung hat folgende Informationen vorzusehen:
▪ |
Namen und Kontaktdaten des Verantwortlichen (in der Regel der Arbeitgeber) |
▪ |
Kontaktdaten des Datenschutzbeauftragten, falls dieser bestellt ist |
▪ |
Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen |
▪ |
Rechtsgrundlage für die Verarbeitung |
▪ |
bei Interessenabwägung: die berechtigten Interessen, die der Arbeitgeber bzw. ein Dritter verfolgt |
▪ |
Empfänger oder Kategorien von Empfängern der personenbezogenen Daten im Falle einer Weitergabe |
▪ |
bei Übermittlung in ein Drittland: Vorhandensein/Fehlen eines Angemessenheitsbeschlusses der Kommission oder die eingesetzten Garantien und die Möglichkeit des Erhalts einer Kopie hiervon |
▪ |
Dauer der Datenspeicherung bzw. Kriterien für die Speicherdauer |
▪ |
Bestehen der Betroffenenrechte |
▪ |
bei Einwilligung: das Recht des Beschäftigten, die Einwilligung jederzeit zu widerrufen |
▪ |
Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde |
▪ |
Hinweis, ob die Bereitstellung der personenbezogenen Daten verpflichtend oder freiwillig ist und welche Folgen eine Nichtbereitstellung haben kann |
▪ |
falls relevant, die Durchführung einer automatisierten Entscheidungsfindung gem. Art. 22 DSGVO. |
Rz. 35
Aufgrund der Weite der dem Arbeitgeber obliegenden Informationspflichten sollte jedem Beschäftigten eine Datenschutzerklärung über die Verarbeitung seiner Daten im Beschäftigungsverhältnis ausgehändigt werden. Die Bereitstellung einer Datenschutzerklärung hat den Vorteil, dass der Beschäftigte nicht bei jeder einzelnen Datenverarbeitung gesondert informiert werden muss. Ebenso muss nicht in einer einzelnen Betriebsvereinbarung festgelegt werden, wie und worüber die Beschäftigten zu informieren sind, da die Information in der Regel bereits über die Datenschutzerklärung erfolgt ist (Gedanke des Art. 13 Abs. 4 DSGVO, nach dem keine gesonderte Information erfolgen muss, wenn die betroffene Person bereits über die Information verfügt).
Rz. 36
Da Art. 13 DSGVO die Information "bei Erhebung" der Daten verlangt, muss die Bereitstellung der Datenschutzerklärung bei Einstellung der Mitarbeiter erfolgen. Ergänzend sollte ein Link im Intranet mit Verweis auf die Datenschutzerklärung vorgesehen werden, um für die Beschäftigten die regelmäßige Informationsmöglichkeit zu gewährleisten (und um dort Änderungen an der Datenverarbeitung mitteilen zu können). Wird erstmalig eine Datenschutzerklärung auf DSGVO-Basis erstellt und in den laufenden Beschäftigungsverhältnissen bekannt gemacht, sollte die Information an alle Beschäftigen in bestehenden Arbeitsverhältnissen direkt (z.B. per E-Mail) erfolgen.
2. Einzelne Rechte der Beschäftigten, Art. 15–23 DSGVO
Rz. 37
Beschäftigte haben diverse Rechte hinsichtlich der Verarbeitung ihrer personenbezogenen Daten gegen ihren Arbeitgeber, die zu einer stärkeren Verfügungsmöglichkeit über die individuellen Daten führen sollen. Neu eingeführt wurde das Recht auf Datenübertragbarkeit, deutlich gestärkt wurde ein "Recht auf Vergessenwerden", denen in der Praxis aber nur eine eingeschränkte Bedeutung zukommt. Seit Geltung der DSGVO zeigte sich, dass vor allem das Auskunftsrecht von Beschäftigten im Streitfall strategisch eingesetzt wird, um Informationen im Rahmen der Prozessführung zu erl...