Worauf Unternehmen und Arbeitgeber in Hinblick auf die Datenschutzgrundverordnung achten müssen und wo verborgene Fallstricke lauern. Ein Kommentar von Marco Riegler, ScherbaumSeebacher Rechtsanwälte.
Die ab 25. Mai 2018 anwendbare DSGVO sieht eine Stärkung des Datenschutzes für alle Bürger in der EU und damit auch ein einheitliches Datenschutzniveau vor. Geschützt werden dabei personenbezogene Daten, also Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Damit zählen natürlich auch Arbeitnehmer zum Kreis der schutzwürdigen Betroffenen. Beispiele für personenbezogene Daten sind etwa Name, Geburtsdatum und Gehalt, aber auch Gesundheitsdaten, wie etwa Krankmeldungen oder Arbeitsunfälle.
Gerade im Zusammenhang mit Arbeitsverhältnissen werden durch den Arbeitgeber viele verarbeitet. Generell lautet dabei der Ausgangspunkt: Jede Datenanwendung ist grundsätzlich verboten, soweit sie nicht aufgrund einer Ausnahme, nämlich einer gesonderten Rechtsgrundlage, zulässig ist. Darunter fallen etwa die Erfüllung eines Vertrags, die Einwilligung durch den Betroffenen oder eine rechtliche Verpflichtung des Verantwortlichen. Führt beispielsweise eine Baufirma Arbeitszeitaufzeichnungen, erfolgt diese Datenverarbeitung aufgrund einer gesetzlichen Verpflichtung. Name, Gehalt und Kontoverbindung werden vom Arbeitgeber z.B. dafür benötigt, um den Arbeitsvertrag zu erfüllen. Wie soll der Arbeitgeber ohne Konto- und Gehaltsdaten sonst das Gehalt überweisen? Möchte ein Arbeitgeber etwa Fotos seiner Mitarbeiter auf der Homepage veröffentlichen, ist dafür wohl eine Einwilligung erforderlich, weil im Normalfall keine andere Rechtsgrundlage zutreffen wird.
Achtung Kontrolle
Wenn eine Baustelle videoüberwacht wird und auf diesen Aufnahmen auch Arbeitnehmer zu sehen sind, handelt es sich dabei ebenfalls um personenbezogene Daten der Arbeitnehmer, für deren Verarbeitung eine Einwilligung erforderlich ist. Maßnahmen oder technische Systeme zur Kontrolle der Mitarbeiter dürfen in einem Betrieb mit Betriebsrat zusätzlich nur dann eingesetzt werden, wenn vor der Einführung der Maßnahme eine Betriebsvereinbarung darüber abgeschlossen wurde. Selbst wenn, wie im Beispiel der Baustellenüberwachung, die personenbezogenen Daten nicht deshalb ermittelt werden, um eine Kontrolle der Mitarbeiter durchzuführen, reicht allein die Möglichkeit der Kontrolle aus, um eine Betriebsvereinbarungspflicht auszulösen.
Gefahr durch Datenlecks
Mitarbeiter sind im Übrigen nicht selten, ob gewollt oder ungewollt, Ursache für sogenannte Datenlecks. Die Datensicherheit – das Vermeiden von ungewollten Datenabflüssen – ist eine der zentralen Forderungen der DSGVO und spielt gerade im Personalbereich eine wichtige Rolle – gibt es hier doch viele sensible Daten, wie etwa Gesundheitsdaten, Schwangerschaftsmeldungen, Angaben zum Religionsbekenntnis, etc. Vergisst z.B. ein Mitarbeiter seinen Laptop im Bus, auf dem Baupläne und damit Kundendaten gespeichert sind, liegt bereits ein potenzielles Datenleck vor. Natürlich kommt es auch immer wieder vor, dass Mitarbeiter im Unfrieden aus dem Unternehmen ausscheiden und dabei Kundendaten »mitnehmen«. Auch dadurch können Datenlecks entstehen, die umgehend abgestellt und in der Regel binnen 72 Stunden der Datenschutzbehörde gemeldet werden müssen.
Bewerbungsdaten löschen
Nach dem Grundsatz der Datenlöschung dürfen Daten außerdem nicht länger aufbewahrt werden, als dies für den Zweck, für den sie erhoben wurden, notwendig ist. Dies gilt natürlich auch für die Daten von Bewerbern um eine freie Arbeitsstelle (Lebenslauf, Motivationsschreiben, etc.). Ist die Stelle besetzt bzw. wurde die Bewerbung abgelehnt, ist der Zweck, für den die Daten erhoben wurden, erfüllt. Nachdem man bei Ablehnung einer Bewerbung innerhalb von sechs Monaten mit Ansprüchen nach dem Gleichbehandlungsgesetz konfrontiert sein könnte, wird man die Daten daher auch für diesen Zeitraum noch weiter speichern dürfen. Für eine längere Speicherung oder sogar die Aufnahme des Bewerbers in einen »Bewerber-Pool« wird aber eine gesonderte Einwilligung erforderlich sein.