Arbeitnehmer haben seit dem 25.05.2018 ergänzende Ansprüche gegen den Arbeitgeber in Bezug auf ihre persönlichen Daten, die der Arbeitgeber verarbeitet.
Die Grundsätze, Rechte und Pflichten der DSGVO gelten auch für die Datenverarbeitung im Beschäftigungsverhältnis. Allerdings gibt die Verordnung den Mitgliedsstaaten in Art.88 DSGVO die Möglichkeit, spezifischere Regelungen für die Verarbeitung von Arbeitnehmerdaten zu treffen. Vom deutschen Gesetzgeber wurde dies in § 26 Bundesdatenschutzgesetz (BDSG) umgesetzt.
Generell stellt das Datenschutzrecht ein Verbot der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt dar. Das heißt im Klartext, jede Verarbeitung personenbezogener Daten ist erst einmal verboten, es sei denn, es existiert ein spezieller Erlaubnis- oder Rechtfertigungsgrund. Welche Erlaubnisgründe die Datenverarbeitung rechtfertigen können, ist in Art.6 DSGVO aufgeführt.
Einen sehr allgemeinen Rechtfertigungsgrund für Arbeitgeber, Mitarbeiterdaten zu verarbeiten, kann aus Art.6 Abs.1 Buchstabe b) DSGVO abgeleitet werden. Hiernach ist die Verarbeitung persönlicher Datenrechtmäßig, wenn sie zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Anfrage der betroffenen Person erfolgen.
Das gilt auch für Beschäftigungsverhältnisse, da weder der Abschluss eines Arbeitsvertrages noch die Durchführung des Arbeitsverhältnisses ohne die Verarbeitung der Personaldaten möglich wäre.
In § 26 Bundesdatenschutzgesetz ist diese Vorschrift in Bezug auf Arbeitsverhältnisse genauer geregelt. In Abs.1 Satz 1 heißt es:
„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“
Der Arbeitgeber ist weiterhin aus sozialversicherungs- und steuerrechtlichen Gründen zur monatlichen Verarbeitung der Daten und ggf. auch Weitergabe verpflichtet, dies entspricht dem in Art.6 Abs.1 Buchstabe c) DS-GVO normierten Rechtsfertigungsgrund. Für besonders sensible Daten wie z.B. eine Religions- oder Gewerkschaftszugehörigkeit oder Krankheitsdaten gelten die Regeln des Art.9 Abs.2 Buchstabe b) DS-GVO bzw. § 26 Abs.3 Satz 1 BDSG.
In der DSGVO, genauer im Kapitel III sind konkrete Rechte der "betroffenen" Personen genannt. Darunter fallen u.a. die Datenlöschung , das "Recht auf Vergessenwerden" , ein Rechtsanspruch auf Berichtigung der gespeicherten Daten, ein Recht auf Datenübertragbarkeit sowie ein allgemeines Widerspruchsrecht.
Insbesondere kann der Arbeitnehmer vom Arbeitgeber gem. Art.15 DSGVO Auskunft über die Verarbeitung seiner personenbezogenen Daten verlangen. Macht Arbeitnehmer von diesem Recht Gebrauch, muss der Arbeitgeber offenlegen,
- zu welchen Zwecken er die Daten des Arbeitnehmers verarbeitet,
- welche Art von Daten verarbeitet werden,
- wer Einsicht in die Daten erhält,
- wie lange die Daten voraussichtlich gespeichert werden,
- welche Rechte der Arbeitnehmer in Bezug auf die Daten hat,
- wie der Arbeitgeber an die Daten gelangt ist, falls sich nicht direkt von Arbeitnehmer mitgeteilt wurden, und
- ob eine automatisierte Entscheidungsfindung (einschließlich Profiling) stattfindet.
Einige Einschränkungen des Auskunftsrechts sieht aber § 34 BDSG vor. So entfällt der Anspruch z.B., wenn die Daten ausschließlich gespeichert werden, weil sie aufgrund gesetzlicher Vorschriften nicht gelöscht werden dürfen. Auch ein unverhältnismäßiger Aufwand für die Auskunftserteilung kann dem Auskunftsanspruch entgegengehalten werden.
Unabhängig vom Bestehens eines Auskunftsanspruchs beinhaltet Art.13 DSGVO eine umfangreiche Liste von Pflichtinformationen, die die der Arbeitnehmer schon zum Zeitpunkt der Datenerhebung erhalten muss. Die dort aufgezählten Punkte überschneiden sich teilweise mit jenen des Auskunftsanspruchs.
Weiterhin muss ein Datenschutzbeauftragter gem. Art. 37 DSGVO in Verbindung mit § 38 Abs.1 Satz 1 BDSG benannt werden, wenn im Unternehmen regelmäßig mindestens zehn Personen mit der Datenverarbeitung beschäftigt sind.
Auch muss nach Art.30 DSGVO jede verantwortliche Stelle, der personenbezogene Daten verarbeitet, ein sog. Verzeichnis von Verarbeitungstätigkeiten anlegen. Dieses Verzeichnis soll sämtliche Verarbeitungsverfahren mit den jeweils zugehörigen Pflichtangaben aus Art.30 Abs.1 DSGVO enthalten. Diese sehzr umfangreiche Pflicht trifft auch alle Arbeitgeber aufgrund der regelmäßigen Verarbeitung von Lohn- und Gehaltsdaten.
Zwar sieht Art.30 Abs.5 DSGVO eine Ausnahme von der Pflicht zur Verzeichniserstellung zugunsten von Unternehmen mit weniger als 250 Mitarbeitern vor, doch ist diese "Ausnahme" wertlos bzw. so formuliert, dass sie praktisch nie zur Anwendung kommen kann. Denn die Ausnahme zugunsten von Unternehmen mit weniger als 250 Mitarbeitern gilt nicht für Unternehmen, die nicht nur „gelegentlich“ personenbezogene Daten verarbeiten. Eine derartige ständige Datenverarbeitung , schon aufgrund der rechtlichen Pflicht zur regelmäßigen monatlichen Gehaltsabrechnung, betreiben aber alle Arbeitgeber.
Sie sehen schon, die Umsetzung aller Vorgaben aus der DSGVO betrifft nicht nur große Unternehmen sonder auch den kleinsten Handwerksbetrieb. Aufgrund der doch recht erheblichen Strafandrohungen kann nur jedem Unternehmer empfohlen werden, dies zur Chefsache zu machen zumal sich die DSGVO nicht nur auf den Arbeitnehmerbereich beschränkt sondern auch den Unternehmensauftritt ingesammt betrifft.
Ob aufgrund des teilweise wettbewerbsrelevanten Charakters der DSGVO mit Abmahnungen seitens potentieller Mitbewerber gerechnet werden muss, kann noch nicht wirklich beantwortet werden. In einem solchen Fall empfehlen wir auf jeden Fall, anwaltliche Hilfe einzuholen und nichts vorschnell zu unterschreiben.
Wir stehen gern bei Fragen zur rechtskonformen Umsetzung zur Verfügung, weisen aber auch darauf hin, dass manche Auslegungsfragen erst gerichtlich geklärt sein müssen.