23.04.2019

Beschäftigtendatenschutz: Sind Sie auf dem Laufenden?

Bis zu 20 Millionen Euro nur für ein Bußgeld? So viel kann Sie als Arbeitgeber ein Verstoß gegen den Datenschutz Ihrer Beschäftigten kosten. Das Geld können Sie besser anlegen. Hier ein paar Tipps.

Beschäftigtendatenschutz

Ein Jahr neue Datenschutzregelung – eine Bilanz?

Eigentlich sind es zwei, die Datenschutzgrundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG). Sie gelten seit dem 25.05.2018. Die Datenschutzbeauftragten ließen zu Silvester die Korken knallen. Die Wahrnehmung von Unternehmen gegenüber ihrem Beruf sei mittlerweile eine ganz andere: Während man vorher oft genug nur müde belächelt wurde, werde man in Unternehmen tatsächlich ernst genommen, frohlockte „datenschutzbeauftragter-info.de“. All die Unsicherheiten auf Grund der neuen Gesetzeslage hätten vor allem zur Mitte des Jahres 2018 dafür gesorgt, dass man so gefragt war wie noch nie.

Auch an der Sünderfront scheint die Rechtsreform Früchte zu tragen. Eine erste Bilanz des Europäischen Datenschutzausschusses (EDSA), über die „internetworld.de“ Mitte März 2019 berichtet, zeigt: Bislang wurden über 200.000 Verstöße gemeldet und Bußgelder in Höhe von knapp 56 Millionen Euro verhängt. Klingt viel, allein davon muss allein Google ein 50-Millionen-Euro-Bußgeld berappen, verhängt von der französischen Datenschutzbehörde CNIL.

Insgesamt wurden laut EDSA in den ersten neun Monaten ihrer Gültigkeit 206.326 Verstöße gegen die DSGVO gemeldet:

  • 65.000 davon Selbstanzeigen von Datenschutzbeauftragten der Firmen, die Datenlecks meldeten,
  • 95.000 eigentliche Verstöße gegen die neue Verordnung.
  • 52 Prozent der Fälle sind bereits geschlossen.

Was ist neu in Sachen Beschäftigtendatenschutz?

Er orientiert sich größtenteils auch nach dem Inkrafttreten dieser neuen Normen im Wesentlichen am alten Bundesdatenschutzgesetz (BDSG-alt). Aber seither sind einige Rechte für Arbeitnehmer und Pflichten für Sie als Arbeitgeber hinzugekommen. Von hervorstechender Bedeutung für Sie als Arbeitgeber ist die drastische verschärfte Bußgeldandrohung bei Verstößen gegen die DSGVO. Sie droht Ihnen in § 83 dafür Bußgelder von bis zu 20 Millionen Euro oder vier Prozent weltweit erzielten Jahresumsatzes an.

Die Bußgeldandrohung gilt auch bei Verletzung von Auskunftspflichten. Ob Sie tatsächlich ein derart hohes Bußgeld bei einem Verstoß gegen den Arbeitnehmerdatenschutz befürchten müssen, mag dahin stehen. Hoch kann es auf jeden Fall ausfallen, zumal wenn das Gericht abschreckende Wirkung erzielen will. Besser also, Sie riskieren es gar nicht erst.

Empfehlung der Redaktion

Dieser Beitrag beruht auf einem Artikel aus dem „Personaltipp AKTUELL“ (Ausgabe 02/2019).

Unser Beratungsbrief „Personaltipp AKTUELL“ informiert Sie monatlich rechtsicher über alle aktuellen Neuerungen in Sachen Arbeitsrecht und Personalmanagement. Praxisnah mit konkreten Arbeitshilfen und Handlungsempfehlungen! Nehmen Sie an regelmäßigen Online-Seminaren teil und nutzen Sie den Kontakt zu unseren Experten im Seminar oder jederzeit auch per Email für Ihre persönlichen Fragen.

Jetzt 14 Tage kostenfrei testen!

Was sind die Grundsätze des Datenschutzes?

Zentrales Anliegen der DSGVO besteht darin, dass personenbezogene Daten nur

  • auf rechtmäßige Art und Weise,
  • nach Treu und Glauben und
  • in einer für die betroffene Person nachvollziehbaren Weise, also transparent

verarbeitet werden.

DSGVO wie schon BSDG-alt beruhen auf dem Verbotsprinzip mit Erlaubnisvorbehalt. Grundsätzlich verbieten sie Datenverarbeitung, es sei denn, das Gesetz erlaubt sie, z. B.

  • zum Zweck des Beschäftigungsverhältnisses (§ 26 Abs. 1 Satz 1 BSDSG – neu),
  • zur Aufdeckung einer Straftat (§ 26 Abs. 1 Satz 2 BSDSG – neu) oder
  • bei Einwilligung des Betroffenen (§ 26 Abs. 2 Satz 1 BSDSG – neu).

Was folgt daraus für Sie als Arbeitgeber?

Zunächst eine Pflicht zur Information. § 12 DSGVO enthält umfassende Informations- und Mitteilungspflichten für Sie als Arbeitgeber gegenüber Ihren Mitarbeitern wie:

  • Ihren Namen und Kontaktdaten,
  • auch von gesetzlichen Vertretern und
  • eines Datenschutzbeauftragten
  • Kategorien der verarbeiteten personenbezogenen Arbeitnehmerdaten, u. a.: Name, Vorname, Familienstand, Personalnummer, Eintrittsdatum etc. (Stammdaten)
  • Kontaktdaten
  • Qualifikationsdaten
  • Bankdaten
  • Sozialversicherungsdaten
  • Steuerdaten
  • Gesundheitsdaten
  • Zwecke und Rechtsgrundlage der Datenverarbeitung (insbesondere Begründung, Durchführung, Beendigung des Arbeitsverhältnisses, § 26 Abs. 1 BDSG-neu; andere gesetzliche Grundlagen, z. B. Arbeitszeitgesetz (ArbZG); Einwilligungen; Betriebsvereinbarungen)
  • Empfänger der personenbezogenen Daten (z. B. Personalabteilung, Vorgesetzte, Steuerbehörden, Sozialversicherungsträger)
  • Dauer der Speicherung
  • Hinweis auf Betroffenenrechte (z. B. Berichtigungsrecht und Recht auf Löschung)
  • Hinweis auf Beschwerderecht bei Aufsichtsbehörde

In welchen Fällen treten Sie als Arbeitgeber besonders in Aktion?

Beispielsweise, wenn ein Mitarbeiter von Ihnen als Arbeitgeber Auskünfte zu erhobenen Daten haben möchte. Auskunftsansprüche gehören zu seinen Betroffenenrechten gemäß § 15 DSGVO. Ihr Mitarbeiter hat sie gegen den in datenschutzrechtlichem Sinne Verantwortlichen, also in erster Linie gegen Sie als seinem Arbeitgeber. Ihr Arbeitnehmer kann danach Auskunft über die überhaupt verarbeiteten personenbezogenen Daten begehren, neben den Verarbeitungszwecken und Kategorien personenbezogener Daten außerdem über

  • Empfänger, gegenüber denen Sie seine personenbezogenen Daten offengelegt haben oder es noch wollen, insbesondere in Drittländern oder bei internationalen Organisationen,
  • falls möglich, die geplante Dauer der Datenspeicherung, oder,
  • falls nicht möglich, die Kriterien für die Festlegung dieser Dauer.

Zudem kann er von Ihnen verlangen, ihn betreffende personenbezogene Daten zu berichtigen, zu löschen oder nur eingeschränkt zu verarbeiten. Er kann auch der Verarbeitung überhaupt widersprechen. Er kann sich bei einer Aufsichtsbehörde über Ihre Datenverarbeitung beschweren. Er kann alle verfügbaren Informationen über die Herkunft personenbezogener Daten verlangen, die Sie nicht bei ihm erhoben haben, sowie über eine automatisierte Entscheidungsfindung, einschließlich Profiling.

Neben dieser umfangreichen Auskunft kann Ihr Mitarbeiter außerdem von Ihnen verlangen, ihm eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung zu stellen.

Dürfen Sie sich mit der Beantwortung solcher Verlangen Zeit lassen?

Nein, auf die lange Bank schieben, ist nicht. Stellt Ihr Mitarbeiter bei Ihnen als Arbeitgeber einen Antrag auf Auskunftserteilung über seine personenbezogenen Daten, müssen Sie nach § 12 Abs. 3 DSGVO die Auskunft unverzüglich, spätestens innerhalb eines Monats erteilen. Wenn diese Frist für Sie zu kurz ist, beispielsweise weil sie zu viele solche Anträge mit zudem umfassender Komplexität beantworten sollen, können Sie sie um zwei Monate verlängern. Sie müssen in diesem Fall den Mitarbeiter über die Fristverlängerung und die Gründe der Verzögerung unterrichten. Auch wenn Sie die Auskunft nicht erteilen wollen oder können, ist Ihr Handeln gefordert. Das Gesetz verpflichtet Sie, den Mitarbeiter spätestens innerhalb eines Monats über die Gründe der Nichtbearbeitung des Auskunftsantrages zu unterrichten. Auskunftsanträge sollten Sie zügig bearbeiten.

Außerdem müssen Sie ihn auf die Möglichkeit hinweisen, bei der Aufsichtsbehörde, dem Landesbeauftragten für Datenschutz, Beschwerde oder einen gerichtlichen Rechtsbehelf einzulegen. Auch wenn in einem bestehenden Arbeitsverhältnis nicht unbedingt damit zu rechnen ist, dass ein Arbeitnehmer sich über Sie als seinem Arbeitgeber bei der Aufsichtsbehörde beschwert: in einem gekündigten Arbeitsverhältnis sollten Sie zukünftig damit rechnen.

Kann der Mitarbeiter Sie mit Auskunftsanträgen überziehen?

Nein, als Arbeitgeber dürften Sie normalerweise keinen Missbrauch befürchten müssen. Einzelne Mitarbeiter werden Sie nicht ständig mit Auskunftsanträgen überziehen können, jedenfalls nicht mit gesetzlicher Rückendeckung. Das Gesetz sieht zwar vor, dass die Auskunft unentgeltlich zu erteilen ist. Bei offenkundig unbegründeten oder exzessiven, insbesondere häufig wiederholten Anträgen eines Arbeitnehmers können Sie als Arbeitgeber

  • ein angemessenes Entgelt für den Verwaltungsaufwand verlangen oder
  • sich weigern, den Antrag zu bearbeiten.

Die Einhaltung datenschutzrechtlicher Bestimmungen ist aber nicht nur wegen der Bußgeldandrohung dringend zu empfehlen. § 82 DSGVO sieht vor, dass jeder, also auch Beschäftigte im Sinne des Gesetzes, einen Schadenersatzanspruch geltend machen kann, dem wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist.

Allerdings dürften materielle Schadenersatzansprüche beim Beschäftigtendatenschutz eher eine untergeordnete Rolle spielen. Anders sieht es da schon bei einem immateriellen Schaden aus. Hier kann der Betroffene Schmerzensgeld fordern. Insbesondere nach Ende eines Arbeitsverhältnisses können Mitarbeiter künftig vermehrt Ersatz wegen eines Verstoßes gegen Datenschutzbestimmungen geltend machen. Zumal wenn der von Ihnen gekündigte Mitarbeiter im Vorfeld einer Kündigung, z. B. durch rechtswidrige Videoüberwachung oder rechtswidrige Auswertung der E-Mail-Korrespondenz, seine Persönlichkeitsrechte verletzt sieht, können Sie mit an Sicherheit grenzender Wahrscheinlichkeit davon ausgehen, dass er im Kündigungsschutzprozess nicht nur gegen Ihre Kündigung vorgehen, sondern auch ein hohes Schmerzensgeld verlangen wird.

Autor: Franz Höllriegel