open search
close
Arbeitsrecht 4.0 Compliance Datenschutz

Mitarbeiterdatenschutz: Bußgelder und Schadensersatzzahlungen vermeiden

Print Friendly, PDF & Email
DSGVO

Die Anwendung der EU-Datenschutz-Grundverordnung (DSGVO) nimmt bei den nationalen Datenschutzbehörden weiter Fahrt auf: Erste Bußgelder wurden sowohl in Deutschland als auch im Ausland verhängt. Jüngst hat es in Frankreich den „dicken Fisch“ Google mit einer Geldbuße von 50 Millionen Euro getroffen. Hierzulande ermitteln Datenschutzbehörden auch bei „kleineren Fischen“, wenn eine Anzeige vorliegt. Solche Anzeigen kommen durchaus mal von „enttäuschten“ Arbeitnehmern, die die angebliche Missachtung von DSGVO-Vorgaben beim Mitarbeiterdatenschutz anprangern. Vereinzelt machen Arbeitnehmer gar Schadensersatzansprüche gegen ihren (ehemaligen) Arbeitgeber geltend. Wie sollten sich Vorstände, Geschäftsführer oder sonstige Unternehmensverantwortliche aufstellen?

1. DSGVO als kontinuierliches Risk Management

In vielen Unternehmen ist bekannt: Datenschutz-Compliance ist (derzeit) in wesentlichen Teilen Risk Management. Das bedeutet, dass im „ersten Aufschlag“ das Ziel nicht darin besteht, in jeder Hinsicht sämtliche Vorgaben der DSGVO zu erfüllen. Hierfür reichen die in Unternehmen vorhandenen personellen und finanziellen Ressourcen meist nicht aus. Vielmehr ist das Ziel, zunächst diejenigen Vorgaben der DSGVO zu erfüllen, die der Vermeidung finanzieller Risiken in Form von drohenden Bußgeldern oder Schadensersatzzahlungen dienen. Die Angriffsfläche diesbezüglich soll klein gehalten werden.

Dieser Ansatz liegt im ureigenen Interesse der in Unternehmen tätigen Datenschutz-Verantwortlichen. Denn je besser das Unternehmen mit Blick auf potenzielle datenschutzbehördliche Ermittlungen und Schadensersatzansprüche aufgestellt ist, desto weniger kann den Verantwortlichen persönlich vorgeworfen werden.

2. Compliance-Checkliste

Wir haben nachfolgend einmal einige der wesentlichen Punkte aufgelistet, die Unternehmen im Bereich des Mitarbeiterdatenschutzes – neben der Datensicherheit – im Sinne einer kleinen Angriffsfläche umgesetzt haben sollten bzw. schleunigst umsetzen sollten:

  • Rechtsgrundlage für Verarbeitung von Mitarbeiterdaten checken

Jede Verarbeitung von Mitarbeiterdaten muss auf einer rechtlichen Erlaubnis beruhen (Erlaubnistatbestand). Im Arbeitsverhältnis stellt in erster Linie § 26 Bundesdatenschutzgesetz (BDSG) einen solchen Erlaubnistatbestand dar. Nach dieser Vorschrift dürfen Mitarbeiterdaten etwa dann verarbeitet werden, wenn dies zur Durchführung des Arbeitsverhältnisses erforderlich ist. Auch Betriebsvereinbarungen können als datenschutzrechtlicher Erlaubnistatbestand dienen. Einwilligungen des Mitarbeiters sollten im Arbeitsverhältnis wiederum nur in Ausnahmefällen herangezogen werden. Liegt kein Erlaubnistatbestand vor, ist die Datenverarbeitung unrechtmäßig und die Gefahr von Bußgeldern oder Schadensersatzzahlungen potenziell hoch. Daher sind zuvörderst sämtliche anhand eines Datenverarbeitungsverzeichnisses festgestellten Datenverarbeitungsvorgänge auf das Vorliegen eines datenschutzrechtlichen Erlaubnistatbestands hin zu überprüfen. Dabei sollte eine entsprechende Dokumentation erfolgen.

  • Mitarbeiterinformationen transparent gestalten

Nach Art. 13, 14 DSGVO sind Mitarbeiter über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Sie müssen etwa über die Zwecke der Datenverarbeitung unterrichtet werden. Diese Information muss unter anderem dem Gebot der Transparenz gerecht werden. Eine nicht ausreichende Information führt zwar nicht zur Unrechtmäßigkeit der Datenverarbeitung als solcher. Bußgelder können wegen unzureichender Unterrichtung aber durchaus verhängt werden, weshalb die Mitarbeiterinformation rechtlich sauber ausgestaltet sein sollte.

  • Löschvorgaben einführen

Mitarbeiterdaten dürfen nach der DSGVO nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Im besten Fall haben Unternehmen bereits ein ausgefeiltes Löschkonzept, aus dem für sämtliche im Unternehmen verarbeiteten Daten hervorgeht, welche Löschfristen gelten. Mindestens aber sollten Unternehmen in Bezug auf Mitarbeiterdaten etwa in einer Tabelle festlegen, welche Datenkategorien nach welcher Zeit zu löschen sind. Das betrifft u. a. Arbeitszeitaufzeichnungen oder Leistungsbeurteilungen. Die Einhaltung dieser Lösch-Vorgaben sollte regelmäßig überprüft werden.

  • Umgang mit Mitarbeiteranfragen standardisieren

Aus Art. 15 DSGVO folgt ein generelles Recht der Mitarbeiter, Auskunft über die sie betreffenden personenbezogenen Daten zu erhalten. Dies umfasst etwa Informationen zu den Zwecken der Verarbeitung und zur Speicherdauer. Die Auskunft durch den Arbeitgeber muss „unverzüglich“, in jedem Fall aber innerhalb eines Monats erteilt werden. Unternehmen sollten hier bereits im Vorfeld einen standardisierten Prozess etabliert haben, damit die Anträge auf Auskunft fristgerecht und im Einklang mit den detaillierten Vorgaben der DSGVO bearbeitet werden können.

  • Reaktion auf Datenpannen festlegen

Nach Bekanntwerden von Datenpannen muss die Aufsichtsbehörde unverzüglich, möglichst aber innerhalb von 72 Stunden, von der Datenschutzverletzung in Kenntnis gesetzt werden. Bei einer späteren Meldung muss die Verzögerung begründet werden. Wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten der Mitarbeiter besteht, müssen diese ebenfalls unverzüglich informiert werden. Diese Vorgaben werden kaum erfüllt werden können, wenn nicht bereits im Vorfeld Prozesse eingeführt worden sind, wie im Falle von Datenpannen zu agieren ist. Vor allem sollten Verantwortlichkeiten, interne Kommunikationswege sowie Art und Weise der Nutzung der von den Datenschutzbehörden zur Verfügung gestellten Meldeformulare festgelegt sein.

Dr. Jan Heuer

Rechts­an­walt
Fachanwalt für Arbeitsrecht
Principal Counsel
Jan Heuer berät deutsche und internationale Unternehmen sowie öffentlich-rechtliche Institutionen umfassend in allen Fragen des Arbeitsrechts. Einen Schwerpunkt bilden die Begleitung von Reorganisationen und Restrukturierungen sowie die Vertretung in Arbeitsgerichtsprozessen. Besondere Expertise hat er außerdem im Datenschutzrecht (z. B. DS-GVO-Checks, Abschluss von IT-Betriebsvereinbarungen) und im Bereich arbeitsrechtlicher Compliance (z. B. interne Untersuchungen bei Fehlverhalten von Mitarbeitern, Vermeidung von Scheinselbständigkeit und illegaler Arbeitnehmerüberlassung, Einhaltung Betriebsverfassungsrecht). Jan Heuer ist bei KLIEMT.Arbeitsrecht verantwortlich in den Fokusgruppen "Whistleblowing und interne Untersuchungen" sowie "Digitalisierung und Mitbestimmung".
Verwandte Beiträge
ESG Internationales Arbeitsrecht Neueste Beiträge

Update Nachhaltigkeitsberichterstattung: CSRD nun auch in Deutschland

Gut eineinhalb Jahre hat es gedauert, nun wurde der Referentenentwurf des Bundesministeriums für Justiz (BMJ) für ein deutsches Umsetzungsgesetz der europäischen CSRD-Richtlinie (CSRD) am 22. März 2024 veröffentlicht. In diesem setzt das BMJ die Richtlinie im Wesentlichen 1:1 um. Doch was bedeutet das für in Deutschland ansässige Unternehmen? Die deutsche Umsetzung der CSRD Hinter dem Akronym „CSRD“ steckt die als „Corporate Social Responsibility Directive“ benannte…
Compliance ESG Internationales Arbeitsrecht Neueste Beiträge

EU-Verordnung für entwaldungsfreie Produkte bringt „versteckte“ arbeitsrechtliche Sorgfaltspflichten

Am 30. Juni 2023 trat die EU-Verordnung zu entwaldungsfreien Lieferketten, die EU Deforestation Regulation (im Folgenden „EUDR“) in Kraft. Anders als der Name vielleicht vermuten lässt, ergeben sich aus dieser Regelung nicht nur umweltbezogene, sondern auch arbeitsrechtliche Sorgfaltspflichten in der Lieferkette. Insbesondere dann, wenn Sie in den Branchen Herstellung und Handel mit (bestimmten) Lebensmitteln oder Holz- und Papierprodukten, als Automobilzulieferer oder Hersteller technischer Bauteile aktiv…
Compliance Individualarbeitsrecht Neueste Beiträge Vergütung

Hoffnung für Honorarkräfte im Bildungssektor?

In einem bislang wenig beachteten Urteil des Bundessozialgerichts ist ein Senat von seiner langjährigen gefestigten Rechtsprechung zur Selbständigkeit von Musikschullehrkräften abgewichen. Aufgrund der kleinen Zielgruppe war das Interesse an dieser Entscheidung gering. Nun zeigt sich, dass die Deutsche Rentenversicherung Bund (DRV Bund) einen Umschwung in der Rechtsprechung vermutet und alle öffentlichen und privaten Bildungseinrichtungen ins Visier nimmt – zu Unrecht nach Ansicht des Landessozialgerichts Hamburg….
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert