Florian Padberg
Datenschutzbeauftragter
„Im geschäftlichen Bereich ist das mit der DSGVO viel weniger streng, das gilt ja vor allem für die Daten von Privatleuten.“ Diesen Satz hört man immer wieder, vor allem wenn es um betriebsinterne Abläufe ohne direkten Kundenkontakt und ohne die Verarbeitung von deren Daten geht. Doch das ist natürlich nicht korrekt, denn im Datenschutz geht es um den Schutz der Daten natürlicher Personen, da ist es unerheblich, ob es sich um Kunden, Lieferanten, Behördenvertreter oder eben auch die eigenen Mitarbeiter handelt, sie alle können Betroffene im Sinne der DSGVO sein. Damit gelten auch für Mitarbeiter die Grundsätze der DSGVO wie etwa die Datensparsamkeit, Need to know, Speicherbegrenzung, Erforderlichkeit usw.
Der Beschäftigtendatenschutz ist ein durchaus kompliziertes Teilgebiet, da hier zum einen üblicherweise besonders viele und auch teils sensitive personenbezogene Daten verarbeitet werden (u.a. Gehalt, Gesundheitsdaten, Angaben zur religiösen Überzeugung etc.), zum anderen greifen in diesem Bereich zahlreiche gesetzliche Regelungen ineinander (teilweise aber leider nicht mal eindeutig gleichlaufend).
Schließlich liegt beim Beschäftigten-Verhältnis in den meisten Fällen auch eine besondere Schutzwürdigkeit vor, denn im Allgemeinen ist das Kräfteverhältnis zwischen Arbeitgeber und Arbeitnehmer nicht ausgeglichen sondern eher auf Seiten des Arbeitgebers konzentriert.
Der Beschäftigtendatenschutz hat daher Auswirkungen auf eine Vielzahl von Geschäftsprozessen, so etwa auf den Rekrutierungs- und Einstellungsprozess (Stichworte besondere Informationspflichten, Richtlinien, Verträge), interne Stellenbesetzungsplanungen (Stichworte relevante Datenkategorien für Umbesetzungsentscheidungen, Infos an Mitbestimmungsgremien) oder den Umgang mit Abmahnungen (Stichwort Löschfristen in der Personalakte), um nur einige zu nennen.
Man kann also sagen, dass Beschäftigte eindeutig die Datenschutzrechte von Betroffenen genießen, und dass Arbeitgeber sogar einiges an zusätzlichen Anforderungen im Personalbereich berücksichtigen müssen.
In der DSGVO selbst finden sich nur wenige explizite Verweise auf die Beschäftigten als besondere Gruppe der Betroffenen, etwa im Bereich der Aufgaben des Datenschutzbeauftragten, der natürlich auch für diese Gruppe als erster Ansprechpartner in Datenschutzbelangen gilt. Etwas konkreter wird nur der Erwägungsgrund 155, in dem geregelt ist, dass Mitgliedsstaaten zusätzlich zu den bestehenden Regeln dieser Verordnung Vereinbarungen zwischen den Teilnehmern des Arbeitsmarktes zulassen können, insbesondere sog. „Kollektivvereinbarungen“, also Tarifverträge und Betriebsvereinbarungen. Diese können dann als zusätzliche Rechtsgrundlagen für die zweckgebundene Verarbeitung von personenbezogenen Daten von Mitarbeitern angeführt werden.
Das neue hingegen beinhaltet einige ganz konkret auf Beschäftigte ausgerichtete Paragrafen, die somit in Deutschland wirksam sind (Achtung: Sofern Sie also einen Umstand in einem anderen EU-Land Datenschutz-seitig prüfen, konsultieren Sie daher immer die nationale diesbezügliche Datenschutzgesetzgebung, sie kann natürlich vom BDSG abweichen!). Zu nennen wären hier insbesondere der §22 sowie der §26.
In §22 BDSG-neu wird eine wichtige Erleichterung geregelt, nämlich der Umstand, dass die Verarbeitung besonderer personenbezogener Daten gem. Art. 9 DSGVO – also etwa Gesundheitsdaten oder Daten zur religiösen Ausrichtung – im Beschäftigtenumfeld normalerweise zulässig ist und keiner besonderer Maßnahmen wie etwa einer zwingenden Datenschutzfolgenabschätzung bedarf: Das Unternehmen muss diese Daten ja verarbeiten, um seinen Pflichten aus der sozialen Absicherung nachzukommen (bspw. für das Abführen von Sozialbeiträgen), oder um die Arbeitsfähigkeit eines Mitarbeiters einschätzen zu können (Verarbeitung von Krankmeldungen).
In §26 BDSG-neu werden neben der nochmaligen Konkretisierung der o.g. Verarbeitungszulässigkeit noch spezifische Anforderungen an das Unternehmen aufgezeigt, wenn sie mit Daten von Beschäftigten umgehen:
Ihre Daten müssen für Begründung, Durchführung oder Beendigung erforderlich sein um verarbeitet werden zu dürfen, ebenso um etwaige Rechte und Pflichten aus Kollektivvereinbarungen umsetzen zu können.
Bei der Verarbeitung von Mitarbeiterdaten zur Aufdeckung von Straftaten dürfen diese nur verarbeitet werden, wenn es klare Anhaltspunkte für eine Verantwortung des konkreten Beschäftigten gibt und wenn sie für die Aufklärung nachweislich erforderlich sind.
Besonders hervorzuheben sind die besonderen Anforderungen an Einwilligungen im Beschäftigtenumfeld (die Freiwilligkeit und der Vorteil für den Mitarbeiter müssen eindeutig nachgewiesen werden) sowie der explizite Hinweis, dass sich der Beschäftigtendatenschutz auch auf Daten bezieht, die nicht elektronisch verarbeitet werden (sprich: klassische Akten).
Neben diesen beiden spezifischen Datenschutznormen gelten natürlich zahlreiche weitere Gesetze zu Mitarbeiterrechten fort, wie etwa das Betriebsverfassungsgesetz (BetrVG) und die Sozialgesetzbücher (SGB), in denen u.a. Informationsrechte für Arbeitnehmervertreter oder Aufbewahrungsfristen für diverse Personalunterlagen-Arten geregelt sind – all das hat oft auch Auswirkungen auf den Datenschutz. Diese Regelungsvielfalt erschwert eine Datenschutz-seitige Sachverhaltsprüfung zum Teil immens.
Bei Unternehmen, die über eine institutionalisierte Mitarbeitervertretung verfügen – also bspw. einen Einzel- oder Gesamtbetriebsrat – sind auch Auswirkungen durch die DSGVO spürbar. Dies ist dadurch begründet, dass oft über die Jahre zahlreiche Abläufe und Austausch-Prozesse etabliert wurden, bei denen auch jede Menge personenbezogene Daten von Mitarbeitern, Bewerbern oder externen Dienstleistern zwischen Fachabteilungen, Leitungsebene und Betriebsrat hin und hergeschoben werden.
Diese sind nun angesichts der strengen Verarbeitungsregelungen auf den Prüfstand zu stellen: Nicht jede in der Vergangenheit „liebgewonnene“ regelmäßig erzeugte und an den Mitarbeitervertreter übergebene Liste mit Beschäftigtendaten entspricht den Datenminimierungs-Anforderungen für den ganz konkreten Zweck, genauso wie eine bisher unterlassene Hinzuziehung des Betriebsrates bei der Überprüfung eines individuellen Postfachs eines Beschäftigten eigentlich erforderlich wäre.
Als Praxistipp sollte man folgendes beherzigen: Die Geschäftsführung und der Betriebsrat sollten sich bei den laufenden gemeinsamen Regelprozessen ohne Vorbehalte einmal die Frage stellen, ob die hier ausgetauschten Daten wirklich alle zweckbezogen und erforderlich sind und wie man ggf. die relevante Unterlage bzw. die Systemkonfiguration mit einfachen Mitteln diesbezüglich anpassen kann. Manchmal kann es schon ausreichend sein, das ein oder andere Datenfeld einfach aus der Regel-Übersicht herauszulassen (ist etwa das Geburtsdatum zwingend nötig für einen regelmäßig abgestimmten Stellenbesetzungsplan?).
Eine gern geführte Diskussion in Unternehmen mit Mitbestimmungsstrukturen ist übrigens die Frage, ob denn der Betriebsrat selbst sich auch den innerbetrieblichen Datenschutzregelungen und -prozessen zu unterwerfen hat (Stichwort regelmäßige oder stichprobenhafte Überprüfung durch den Datenschutzbeauftragten), oder ob er wegen seiner weisungsunabhängigen Rolle als eigener Verantwortlicher anzusehen ist (und sich damit aber auch eigenständig um seine Datenschutzprozesse kümmern muss).
Im Ergebnis der Betrachtung muss man zum Schluss kommen, dass der Betriebsrat trotz seiner Unabhängigkeit als Teil der Unternehmensorganisation anzusehen ist und einige zentrale Entscheidungen nicht selbst bestimmen kann, bspw. wie die IT-Infrastruktur des Unternehmens, die er mitnutzt, zu gestalten ist, oder welche Aufgaben er konkret wahrnehmen muss (dies gibt ihm das BetrVG vor).
Daher gelten für ihn im Grundsatz die Regelungen des Unternehmens zum Datenschutz (so muss der Betriebsrat dafür sorgen, dass die in seinem Einflussbereich stattfindenden Verarbeitungen auch sauber im Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO aufgeführt sind und gepflegt werden), allerdings muss darauf geachtet werden, dass er seine Rolle auch angemessen und weisungsfrei ausüben kann.
Daher empfiehlt es sich, dass der Betriebsrat und der Datenschutzbeauftragte ein eher kooperatives Miteinander und kein Gegeneinander entwickeln, damit beide ihre jeweiligen neutralen Aufgaben und Ziele effektiv und unabhängig verfolgen können, zum Wohle des Unternehmens und der Mitarbeiter – und natürlich unter Berücksichtigung der gesetzlichen Erfordernisse.
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!