open search
close
Arbeitsrecht 4.0 Compliance Datenschutz

Mitarbeiterdatenschutz: Bußgelder und Schadensersatzzahlungen vermeiden

Print Friendly, PDF & Email
DSGVO

Die Anwendung der EU-Datenschutz-Grundverordnung (DSGVO) nimmt bei den nationalen Datenschutzbehörden weiter Fahrt auf: Erste Bußgelder wurden sowohl in Deutschland als auch im Ausland verhängt. Jüngst hat es in Frankreich den „dicken Fisch“ Google mit einer Geldbuße von 50 Millionen Euro getroffen. Hierzulande ermitteln Datenschutzbehörden auch bei „kleineren Fischen“, wenn eine Anzeige vorliegt. Solche Anzeigen kommen durchaus mal von „enttäuschten“ Arbeitnehmern, die die angebliche Missachtung von DSGVO-Vorgaben beim Mitarbeiterdatenschutz anprangern. Vereinzelt machen Arbeitnehmer gar Schadensersatzansprüche gegen ihren (ehemaligen) Arbeitgeber geltend. Wie sollten sich Vorstände, Geschäftsführer oder sonstige Unternehmensverantwortliche aufstellen?

1. DSGVO als kontinuierliches Risk Management

In vielen Unternehmen ist bekannt: Datenschutz-Compliance ist (derzeit) in wesentlichen Teilen Risk Management. Das bedeutet, dass im „ersten Aufschlag“ das Ziel nicht darin besteht, in jeder Hinsicht sämtliche Vorgaben der DSGVO zu erfüllen. Hierfür reichen die in Unternehmen vorhandenen personellen und finanziellen Ressourcen meist nicht aus. Vielmehr ist das Ziel, zunächst diejenigen Vorgaben der DSGVO zu erfüllen, die der Vermeidung finanzieller Risiken in Form von drohenden Bußgeldern oder Schadensersatzzahlungen dienen. Die Angriffsfläche diesbezüglich soll klein gehalten werden.

Dieser Ansatz liegt im ureigenen Interesse der in Unternehmen tätigen Datenschutz-Verantwortlichen. Denn je besser das Unternehmen mit Blick auf potenzielle datenschutzbehördliche Ermittlungen und Schadensersatzansprüche aufgestellt ist, desto weniger kann den Verantwortlichen persönlich vorgeworfen werden.

2. Compliance-Checkliste

Wir haben nachfolgend einmal einige der wesentlichen Punkte aufgelistet, die Unternehmen im Bereich des Mitarbeiterdatenschutzes – neben der Datensicherheit – im Sinne einer kleinen Angriffsfläche umgesetzt haben sollten bzw. schleunigst umsetzen sollten:

  • Rechtsgrundlage für Verarbeitung von Mitarbeiterdaten checken

Jede Verarbeitung von Mitarbeiterdaten muss auf einer rechtlichen Erlaubnis beruhen (Erlaubnistatbestand). Im Arbeitsverhältnis stellt in erster Linie § 26 Bundesdatenschutzgesetz (BDSG) einen solchen Erlaubnistatbestand dar. Nach dieser Vorschrift dürfen Mitarbeiterdaten etwa dann verarbeitet werden, wenn dies zur Durchführung des Arbeitsverhältnisses erforderlich ist. Auch Betriebsvereinbarungen können als datenschutzrechtlicher Erlaubnistatbestand dienen. Einwilligungen des Mitarbeiters sollten im Arbeitsverhältnis wiederum nur in Ausnahmefällen herangezogen werden. Liegt kein Erlaubnistatbestand vor, ist die Datenverarbeitung unrechtmäßig und die Gefahr von Bußgeldern oder Schadensersatzzahlungen potenziell hoch. Daher sind zuvörderst sämtliche anhand eines Datenverarbeitungsverzeichnisses festgestellten Datenverarbeitungsvorgänge auf das Vorliegen eines datenschutzrechtlichen Erlaubnistatbestands hin zu überprüfen. Dabei sollte eine entsprechende Dokumentation erfolgen.

  • Mitarbeiterinformationen transparent gestalten

Nach Art. 13, 14 DSGVO sind Mitarbeiter über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Sie müssen etwa über die Zwecke der Datenverarbeitung unterrichtet werden. Diese Information muss unter anderem dem Gebot der Transparenz gerecht werden. Eine nicht ausreichende Information führt zwar nicht zur Unrechtmäßigkeit der Datenverarbeitung als solcher. Bußgelder können wegen unzureichender Unterrichtung aber durchaus verhängt werden, weshalb die Mitarbeiterinformation rechtlich sauber ausgestaltet sein sollte.

  • Löschvorgaben einführen

Mitarbeiterdaten dürfen nach der DSGVO nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Im besten Fall haben Unternehmen bereits ein ausgefeiltes Löschkonzept, aus dem für sämtliche im Unternehmen verarbeiteten Daten hervorgeht, welche Löschfristen gelten. Mindestens aber sollten Unternehmen in Bezug auf Mitarbeiterdaten etwa in einer Tabelle festlegen, welche Datenkategorien nach welcher Zeit zu löschen sind. Das betrifft u. a. Arbeitszeitaufzeichnungen oder Leistungsbeurteilungen. Die Einhaltung dieser Lösch-Vorgaben sollte regelmäßig überprüft werden.

  • Umgang mit Mitarbeiteranfragen standardisieren

Aus Art. 15 DSGVO folgt ein generelles Recht der Mitarbeiter, Auskunft über die sie betreffenden personenbezogenen Daten zu erhalten. Dies umfasst etwa Informationen zu den Zwecken der Verarbeitung und zur Speicherdauer. Die Auskunft durch den Arbeitgeber muss „unverzüglich“, in jedem Fall aber innerhalb eines Monats erteilt werden. Unternehmen sollten hier bereits im Vorfeld einen standardisierten Prozess etabliert haben, damit die Anträge auf Auskunft fristgerecht und im Einklang mit den detaillierten Vorgaben der DSGVO bearbeitet werden können.

  • Reaktion auf Datenpannen festlegen

Nach Bekanntwerden von Datenpannen muss die Aufsichtsbehörde unverzüglich, möglichst aber innerhalb von 72 Stunden, von der Datenschutzverletzung in Kenntnis gesetzt werden. Bei einer späteren Meldung muss die Verzögerung begründet werden. Wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten der Mitarbeiter besteht, müssen diese ebenfalls unverzüglich informiert werden. Diese Vorgaben werden kaum erfüllt werden können, wenn nicht bereits im Vorfeld Prozesse eingeführt worden sind, wie im Falle von Datenpannen zu agieren ist. Vor allem sollten Verantwortlichkeiten, interne Kommunikationswege sowie Art und Weise der Nutzung der von den Datenschutzbehörden zur Verfügung gestellten Meldeformulare festgelegt sein.

Dr. Jan Heuer

Rechts­an­walt
Fachanwalt für Arbeitsrecht
Principal Counsel
Jan Heuer berät deutsche und internationale Unternehmen sowie öffentlich-rechtliche Institutionen umfassend in allen Fragen des Arbeitsrechts. Einen Schwerpunkt bilden die Begleitung von Reorganisationen und Restrukturierungen sowie die Vertretung in Arbeitsgerichtsprozessen. Besondere Expertise hat er außerdem im Datenschutzrecht (z. B. DS-GVO-Checks, Abschluss von IT-Betriebsvereinbarungen) und im Bereich arbeitsrechtlicher Compliance (z. B. interne Untersuchungen bei Fehlverhalten von Mitarbeitern, Vermeidung von Scheinselbständigkeit und illegaler Arbeitnehmerüberlassung, Einhaltung Betriebsverfassungsrecht).
Verwandte Beiträge
Datenschutz Neueste Beiträge

Kann der Auskunftsanspruch nach Art. 15 DS-GVO rechtsmissbräuchlich sein? Ja, sagt das LAG Sachsen!

Das LAG Sachsen hat entschieden, dass ein Auskunftsanspruch nach Art. 15 Abs. 1 DS-GVO ausscheidet, wenn das Auskunftsbegehren rechtsmissbräuchlich ist. Anlass der Entscheidung war, dass ein Arbeitnehmer während eines laufenden Rechtsstreits gegen den Arbeitgeber Auskunftsansprüche geltend machte. Diese Informationen wollte der Arbeitnehmer gegen den Arbeitgeber verwenden, um seine behaupteten Überstunden beweisen zu können. Das LAG urteilte, dass dieser Zweck nicht von der DS-GVO gedeckt und…
Datenschutz ESG Neueste Beiträge

Beschäftigtendaten – darf man sie zum Beispiel für ESG-Befragungen einfach nutzen? (Video)

Im Laufe eines Arbeitslebens sammeln Arbeitgeber von ihren Mitarbeitenden viele Daten, beginnend bei der Bewerbung über die Einstellung und auch während des Beschäftigungsverhältnisses. Teilweise werden diese Informationen auch durch Umfragen aktiv gesammelt – derzeit sehr aktuell etwa beim Thema ESG. Dabei stellt sich die Frage, ob diese einmalig für einen bestimmten Zweck gesammelten Daten auch für andere Zwecke als den ursprünglichen genutzt werden können, etwa…
Arbeitsrecht 4.0 Arbeitsrecht in der Pandemie Compliance Datenschutz Mobile Working Neueste Beiträge

Mobiles Arbeiten – Do's and Don'ts bei der Begründung und Beendigung

Agile Arbeitsstrukturen und die modernen Formen des Arbeitens „when-ever-and where-ever“ fordern ein hohes Maß an Flexibilität von Arbeitszeit und Arbeitsort. Der Gesetzgeber hat diese Themen bisher nur rudimentär aufgegriffen, weshalb der Praxis in vielen Bereichen ein weiter Gestaltungsrahmen bleibt. Da die Rechtsprechung insbesondere mit Blick auf den allgemeinen Arbeitnehmerschutz jedoch nicht müde wird, in für die Arbeitnehmer nachteilige Gestaltungen einzugreifen, bringen diese Gestaltungsformen auch Gestaltungsrisiken…
Abonnieren Sie den KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.