open search
close
Arbeitsrecht 4.0 Compliance Datenschutz

Mitarbeiterdatenschutz: Bußgelder und Schadensersatzzahlungen vermeiden

Print Friendly, PDF & Email
DSGVO

Die Anwendung der EU-Datenschutz-Grundverordnung (DSGVO) nimmt bei den nationalen Datenschutzbehörden weiter Fahrt auf: Erste Bußgelder wurden sowohl in Deutschland als auch im Ausland verhängt. Jüngst hat es in Frankreich den „dicken Fisch“ Google mit einer Geldbuße von 50 Millionen Euro getroffen. Hierzulande ermitteln Datenschutzbehörden auch bei „kleineren Fischen“, wenn eine Anzeige vorliegt. Solche Anzeigen kommen durchaus mal von „enttäuschten“ Arbeitnehmern, die die angebliche Missachtung von DSGVO-Vorgaben beim Mitarbeiterdatenschutz anprangern. Vereinzelt machen Arbeitnehmer gar Schadensersatzansprüche gegen ihren (ehemaligen) Arbeitgeber geltend. Wie sollten sich Vorstände, Geschäftsführer oder sonstige Unternehmensverantwortliche aufstellen?

1. DSGVO als kontinuierliches Risk Management

In vielen Unternehmen ist bekannt: Datenschutz-Compliance ist (derzeit) in wesentlichen Teilen Risk Management. Das bedeutet, dass im „ersten Aufschlag“ das Ziel nicht darin besteht, in jeder Hinsicht sämtliche Vorgaben der DSGVO zu erfüllen. Hierfür reichen die in Unternehmen vorhandenen personellen und finanziellen Ressourcen meist nicht aus. Vielmehr ist das Ziel, zunächst diejenigen Vorgaben der DSGVO zu erfüllen, die der Vermeidung finanzieller Risiken in Form von drohenden Bußgeldern oder Schadensersatzzahlungen dienen. Die Angriffsfläche diesbezüglich soll klein gehalten werden.

Dieser Ansatz liegt im ureigenen Interesse der in Unternehmen tätigen Datenschutz-Verantwortlichen. Denn je besser das Unternehmen mit Blick auf potenzielle datenschutzbehördliche Ermittlungen und Schadensersatzansprüche aufgestellt ist, desto weniger kann den Verantwortlichen persönlich vorgeworfen werden.

2. Compliance-Checkliste

Wir haben nachfolgend einmal einige der wesentlichen Punkte aufgelistet, die Unternehmen im Bereich des Mitarbeiterdatenschutzes – neben der Datensicherheit – im Sinne einer kleinen Angriffsfläche umgesetzt haben sollten bzw. schleunigst umsetzen sollten:

  • Rechtsgrundlage für Verarbeitung von Mitarbeiterdaten checken

Jede Verarbeitung von Mitarbeiterdaten muss auf einer rechtlichen Erlaubnis beruhen (Erlaubnistatbestand). Im Arbeitsverhältnis stellt in erster Linie § 26 Bundesdatenschutzgesetz (BDSG) einen solchen Erlaubnistatbestand dar. Nach dieser Vorschrift dürfen Mitarbeiterdaten etwa dann verarbeitet werden, wenn dies zur Durchführung des Arbeitsverhältnisses erforderlich ist. Auch Betriebsvereinbarungen können als datenschutzrechtlicher Erlaubnistatbestand dienen. Einwilligungen des Mitarbeiters sollten im Arbeitsverhältnis wiederum nur in Ausnahmefällen herangezogen werden. Liegt kein Erlaubnistatbestand vor, ist die Datenverarbeitung unrechtmäßig und die Gefahr von Bußgeldern oder Schadensersatzzahlungen potenziell hoch. Daher sind zuvörderst sämtliche anhand eines Datenverarbeitungsverzeichnisses festgestellten Datenverarbeitungsvorgänge auf das Vorliegen eines datenschutzrechtlichen Erlaubnistatbestands hin zu überprüfen. Dabei sollte eine entsprechende Dokumentation erfolgen.

  • Mitarbeiterinformationen transparent gestalten

Nach Art. 13, 14 DSGVO sind Mitarbeiter über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Sie müssen etwa über die Zwecke der Datenverarbeitung unterrichtet werden. Diese Information muss unter anderem dem Gebot der Transparenz gerecht werden. Eine nicht ausreichende Information führt zwar nicht zur Unrechtmäßigkeit der Datenverarbeitung als solcher. Bußgelder können wegen unzureichender Unterrichtung aber durchaus verhängt werden, weshalb die Mitarbeiterinformation rechtlich sauber ausgestaltet sein sollte.

  • Löschvorgaben einführen

Mitarbeiterdaten dürfen nach der DSGVO nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Im besten Fall haben Unternehmen bereits ein ausgefeiltes Löschkonzept, aus dem für sämtliche im Unternehmen verarbeiteten Daten hervorgeht, welche Löschfristen gelten. Mindestens aber sollten Unternehmen in Bezug auf Mitarbeiterdaten etwa in einer Tabelle festlegen, welche Datenkategorien nach welcher Zeit zu löschen sind. Das betrifft u. a. Arbeitszeitaufzeichnungen oder Leistungsbeurteilungen. Die Einhaltung dieser Lösch-Vorgaben sollte regelmäßig überprüft werden.

  • Umgang mit Mitarbeiteranfragen standardisieren

Aus Art. 15 DSGVO folgt ein generelles Recht der Mitarbeiter, Auskunft über die sie betreffenden personenbezogenen Daten zu erhalten. Dies umfasst etwa Informationen zu den Zwecken der Verarbeitung und zur Speicherdauer. Die Auskunft durch den Arbeitgeber muss „unverzüglich“, in jedem Fall aber innerhalb eines Monats erteilt werden. Unternehmen sollten hier bereits im Vorfeld einen standardisierten Prozess etabliert haben, damit die Anträge auf Auskunft fristgerecht und im Einklang mit den detaillierten Vorgaben der DSGVO bearbeitet werden können.

  • Reaktion auf Datenpannen festlegen

Nach Bekanntwerden von Datenpannen muss die Aufsichtsbehörde unverzüglich, möglichst aber innerhalb von 72 Stunden, von der Datenschutzverletzung in Kenntnis gesetzt werden. Bei einer späteren Meldung muss die Verzögerung begründet werden. Wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten der Mitarbeiter besteht, müssen diese ebenfalls unverzüglich informiert werden. Diese Vorgaben werden kaum erfüllt werden können, wenn nicht bereits im Vorfeld Prozesse eingeführt worden sind, wie im Falle von Datenpannen zu agieren ist. Vor allem sollten Verantwortlichkeiten, interne Kommunikationswege sowie Art und Weise der Nutzung der von den Datenschutzbehörden zur Verfügung gestellten Meldeformulare festgelegt sein.

Dr. Jan Heuer

Rechts­an­walt
Fachanwalt für Arbeitsrecht
Principal Counsel
Jan Heuer berät deutsche und internationale Unternehmen sowie öffentlich-rechtliche Institutionen umfassend in allen Fragen des Arbeitsrechts. Einen Schwerpunkt bilden die Begleitung von Reorganisationen und Restrukturierungen sowie die Vertretung in Arbeitsgerichtsprozessen. Besondere Expertise hat er außerdem im Datenschutzrecht (z. B. DS-GVO-Checks, Abschluss von IT-Betriebsvereinbarungen) und im Bereich arbeitsrechtlicher Compliance (z. B. interne Untersuchungen bei Fehlverhalten von Mitarbeitern, Vermeidung von Scheinselbständigkeit und illegaler Arbeitnehmerüberlassung, Einhaltung Betriebsverfassungsrecht). Jan Heuer ist bei KLIEMT.Arbeitsrecht verantwortlich in den Fokusgruppen "Whistleblowing und interne Untersuchungen" sowie "Digitalisierung und Mitbestimmung".
Verwandte Beiträge
Compliance ESG Individualarbeitsrecht Neueste Beiträge Vergütung

"Der Andere zahlt mehr!" – Vergütung im Einklang mit der Entgelttransparenzrichtlinie?

Die Umsetzung der Entgelttransparenzrichtlinie (RL (EU) 2023/970 vom 10. Mai 2023, nachfolgend „ETRL“ oder „Richtlinie“) in nationales Recht wird einige Veränderungen mit sich bringen. Für Arbeitgeber besteht (trotz Umsetzungsfrist bis 7. Juni 2026) bereits jetzt Handlungsbedarf. Was Arbeitgeber jetzt konkret tun sollten, haben wir bereits in unserem Blogbeitrag vom 24. April 2024 aufgezeigt. Mit diesem Blogbeitrag wollen wir nun einen spannenden Aspekt des WIE näher…
Compliance Neueste Beiträge Whistleblowing

EU-Kommission zur Whistleblowing-Richtlinie: Welche Bestimmungen des HinSchG stehen auf dem Prüfstand?

Rund ein Jahr nach Inkrafttreten des deutschen Hinweisgeberschutzgesetzes (HinSchG) hat die EU-Kommission nun ihren Bericht über die Umsetzung der Whistleblowing-Richtlinie (WB-RL) in den EU-Mitgliedsstaaten veröffentlicht und dabei erhebliche Mängel festgestellt, die auch das HinSchG betreffen. Bereits im März 2023 hatte die EU-Kommission vor dem EuGH Klage gegen Deutschland wegen nicht rechtzeitiger Umsetzung der WB-RL erhoben. Die Entscheidung des EuGH und Sanktionszahlungen im zweistelligen Millionenbereich werden…
Internationales Arbeitsrecht Neueste Beiträge

Israel expands sexual harassment law to service contractor employees

A recent amendment to Israel’s sexual harassment law expands the obligations of an employer under the law to cover employees of contractors providing services to the employer. The Law for the Prevention of Sexual Harassment is intended to address, among other issues, occurrences of sexual harassment in the workplace. Towards this goal, various obligations applying to employers are set out, including an obligation to establish…
Abonnieren Sie den kostenfreien KLIEMT-Newsletter.
Jetzt anmelden und informiert bleiben.

 

Die Abmeldung ist jederzeit möglich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert