Insbesondere im Personalbereich hantieren die Unternehmen tagtäglich mit sensiblen Daten ihrer MitarbeiterInnen. Umso wichtiger ist es für Personalverantwortliche, sich mit der DSGVO eingehend auseinanderzusetzen, um für die Zukunft rechtssicher mit den Daten des eigenen Personals umzugehen:

I. Was verstehen wir unter der Datenschutz-Grundverordnung (DSGVO)?

Am 25.05.2018 tritt die in 2016 bereits verabschiedete Datenschutz-Grundverordnung der Europäischen Union in Kraft. Sie ersetzt die bis dahin geltende EG-Datenschutzrichtlinie von 1995. Im Vergleich zur EG-Datenschutzrichtlinie wird die DSGVO direkt anwendbar sein, Umsetzungsakte der EU-Mitgliedstaaten sind nicht mehr notwendig. Damit soll mehr Rechtssicherheit durch die Angleichung der Datenschutzvorschriften in Europa entstehen. Inhaltlich zielt die DSGVO somit auf die Vereinheitlichung zum Schutz von personenbezogenen Daten auf europäischer Ebene ab.

Hinweis für HR-Verantwortliche:

In Art. 88 DSGVO sind allerdings Öffnungsklauseln enthalten, die den Mitgliedstaaten die Möglichkeit gewähren, speziellere Vorschriften für die Verarbeitung von Beschäftigtendaten zu erlassen. Das meint in diesem Zusammenhang, dass beispielsweise Deutschland durch Rechtsvorschrift oder Kollektivvereinbarung speziellere Regelungen treffen kann.

Hier tritt in Deutschland zum einen das Datenschutz-Anpassungs- und Umsetzungsgesetz, kurz DSAnpUG, in Kraft, welches eine Modifikation und Konkretisierung der DSGVO darstellt. Zum anderen ersetzt hierzulande dann § 26 BDSG-neu die bisherige Norm des § 32 BDSG. Sie ergänzt die Vorgaben zum Beschäftigtensdatenschutz in der DSGVO.

II. Was genau zieht die Einführung der neuen Datenschutzgrundverordnung nach sich?

Frühzeitig sollten Sie sich mit den Änderungen dieser neuen Verordnung auseinandersetzen, da Ihnen als Unternehmen angesichts der sehr kurz gefassten Umsetzungsfristen nicht viel Zeit zum Handeln bleiben wird, und Ihnen bei verspäteter Aktion Bußgelder drohen. Dabei ist zu beachten, dass der Bußgeldrahmen beträchtlich erhöht wird, und bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen kann.

Die DSGVO regelt vor allem die rechtlichen Grundlagen für die Datenverarbeitung sowie Rechte und Pflichten der Normadressaten.

Vor allem werden die Rechte der Nutzer gestärkt. Hier sei insbesondere auf die neuen Transparenz- und Informationspflichten der datenverarbeitenden Unternehmen einzugehen. Sie ermöglichen zum einen für Betroffene leichteren Zugang zu ihren Daten sowie der Information der Datennutzung. Zudem wird der Anspruch auf Löschung nun im Gesetz fest verankert.

Daneben werden zudem wesentliche Elemente des bisherigen BDSG erhalten bleiben, zusätzlich aber weitergehende Anforderungen an den Datenschutz speziell in Unternehmen in Deutschland und außerhalb der EU gestellt. Als Beispiel wäre die Regelung zu benennen, die verpflichtet, Geräte und Anwendungen datenschutzfreundlich voreinzustellen. Desweiteren ist explizit auf die Verpflichtung von Unternehmen zur Datenschutz-Folgeeinschätzung bei besonderen Risiken für die erhobenen Daten durch beispielsweise neue Technologien aufmerksam zu machen.

Die Tatsache, dass die DSGVO auch für Unternehmen außerhalb der EU gilt, wird vor allem für Unternehmen mit Sitz in den USA weitreichende Konsequenzen haben.

III. Welchen Voraussetzungen unterliegt die Datenverarbeitung?

Nur wenn die Verordnung oder ein anderes Gesetz es ausdrücklich erlaubt, ist die Datenverarbeitung zulässig. Damit bleibt die bisherige Regelung dazu im BDSG im Wesentlichen erhalten.

Die relevantesten Erlaubnistatbestände wären die Folgenden:

  • Einwilligung zur Datenverarbeitung durch den Betroffenen gemäß Art. 7 und Art. 8 DSGVO: Definition an die Anforderungen der Einwilligung
  • Anforderung an die Gründe der Datenverarbeitung: Der Datenverarbeitung wird die Erfüllung eines Vertrags, die Durchführung vorvertraglicher Maßnahmen, die Erfüllung einer rechtlichen Verpflichtung oder ein Überwiegen berechtigter Interessen der Verantwortlichen/Dritter gegenüber der Interessen der Betroffenen vorausgesetzt.

Zudem ist Art. 9 DSGVO als Verbotsnorm zu erwähnen, die besondere Kategorien von Daten benennt, die grundsätzlich nicht verarbeitet werden dürfen. Im Vergleich zu der bisherigen Regelung im BDSG sind die Kategorien jedoch weiter gefasst. Sofern jedoch einer der oben genannten Erlaubnistatbestände greift, ist die Datenverarbeitung erlaubt.

IV. Was müssen Sie im Hinblick auf eine Datenverarbeitung konkret als Unternehmen bzw. als HR-Verantwortliche(r) eines Unternehmens beachten?

Die wichtigsten zu beachtenden Pflichten wären die Folgenden:

1. Die Datenschutzorganisation im Unternehmen

Es wird für Unternehmen keinen unerheblichen Verwaltungsaufwand darstellen, ihre eigene Datenschutzorganisation gemäß der DSGVO auszugestalten:

a. Dokumentation der Art und Weise der Verarbeitungstätigkeiten

Jedes Unternehmen muss genau verzeichnen, inwiefern es welche Daten verarbeitet gemäß der Vorgaben der DSGVO zum Nachweis gegenüber Aufsichtsbehörden sowie zur Erfüllung von Informationspflichten gegenüber den betroffenen Personen. Diese Verzeichnisse müssen über den Verarbeitungszweck, die Kategorien der personenbezogenen Daten und die eingesetzten technischen sowie organisatorischen Schutzmaßnahmen beschreiben.

Hinweis für HR-Verantwortliche:

Für Sie als Personalverantwortliche(r) ist hier insbesondere zu beachten, die Daten Ihrer MitarbeiterInnen stets so zu verarbeiten, dass Sie theoretisch jederzeit auskunftsfähig gegenüber der jeweiligen Aufsichtsbehörde oder den betroffenen Personen sind. Dies gilt für die personenbezogenen Daten von Bewerbern genauso wie für die Daten gegenwärtiger oder bereits ausgeschiedener MitarbeiterInnen.

b. Ernennung eines internen oder externen Datenschutzbeauftragten?

Sofern gesetzlich dazu verpflichtet, muss ein Datenschutzbeauftragter ernannt werden. Dies kann mit entsprechender fachlicher Befähigung ein interner, zum Datenschutzbeauftragten ernannte(r) MitarbeiterIn sein oder aber ein extern beauftragter Datenschutzbeauftragter. Dies gilt zum einen für Privatunternehmen, sofern die Haupttätigkeit ihrer Unternehmensstrategie in der Durchführung von Datenverarbeitungstätigkeiten besteht. Daneben treten zudem die Fälle, bei denen gemäß BDSG ein Datenschutzbeauftragter zu benennen ist.

Hinweis für HR-Verantwortliche:

Grundsätzlich sollte der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.

c. Risikoabwägung im Datenschutz

Zudem wird von Unternehmen zukünftig erwartet, eine Datenschutz-Folgeabschätzung vorzunehmen, sofern beispielsweise die Verarbeitungstätigkeit, insbesondere unter der Verwendung neuer Technologien dazu führt, dass ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht. Hier müssen Maßnahmen zur Minimisierung des Datenschutzrisikos erörtert werden. Insbesondere ist hier zu beachten, dass vor der Datenverarbeitung die Aufsichtsbehörde hinzugezogen werden muss, sofern die Datenschutz-Folgenabschätzung ein erhöhtes Datenschutzrisiko für einzelne Personen besteht und der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

Hinweis für HR-Verantwortliche:

Als HR-Verantwortliche(r) müssen Sie hier insbesondere wachsam bei der Einführung neuer digitaler HR-Instrumente sein, da diese prädestiniert sind, die oben genannte Problematik zu eröffnen. Sie müssen vor der Einführung des jeweiligen Instruments genau identifizieren, wie die Daten Ihres Personals von dem HR-Instrument verarbeitet werden und wo die Daten Ihres Personals durch die Verwendung des Instruments eventuell zwischengespeichert werden. Sofern Mitarbeiterdaten außerhalb der EU auf einem Server abgespeichert werden, ergeben sich hier neue kaum absehbare Folgeproblematiken. Hier empfehle ich immer, sich an einen internationalen Fachexperten zu wenden.

Grundsätzlich sollte der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.

d. Technikgestaltung und datenschutzfreundliche Voreinstellungen

Unternehmen sollten sich dringend mit der Thematik auseinandersetzen ihre Technikgestaltung durch Voreinstellung datenschutzfreundlich zu gestalten, da sonst Bußgelder von beträchtlicher Höhe drohen könnten.

Hinweis für HR-Verantwortliche:

Speziell für den HR-Bereich gelten hier keine Besonderheiten zu anderen Bereichen des Unternehmens. Grundsätzlich sollte der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.

e. Technischer und organisatorischer Datenschutz

Technische und organisatorische Datenschutzmaßnahmen müssen getroffen werden zur Gewährleistung der verarbeiteten personenbezogenen Daten. Welches Datenschutzniveau im konkreten Fall angemessen ist, muss anhand des Risikopotenzials der jeweiligen Datenverarbeitungstätigkeit ermittelt werden.

Hinweis für HR-Verantwortliche:

Insbesondere ist im HR-Bereich im Hinblick auf die Verarbeitung und Speicherung von Bewerberdaten immer besonders auf die Einhaltung datenschutzrechtlicher Vorgaben zu achten (Näheres dazu in einem weiteren Blogeintrag). Mitarbeiter willigen grundsätzlich bei Unterzeichnung des Arbeitsvertrags und einer zusätzlich zu unterzeichnenden Erklärung in die Verarbeitung ihrer Daten ein, so dass lediglich darauf zu achten ist, dass entsprechende Klauseln im Arbeitsvertrag bzw. entsprechende Formulare zur Einwilligung in die Datenverarbeitung im Hinblick auf die ab Mai geltende DSGVO zu aktualisieren wären.

Es gilt auch hier, dass der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten sollte, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.

f. Rechte betroffener Personen

Zukünftig müssen datenverarbeitende Unternehmen zahlreiche Informationsrechte gegenüber betroffenen Personen erfüllen. Zum Beispiel sind diese Unternehmen verpflichtet, Informationen über die Verarbeitung und das Löschen personenbezogener Daten zu erteilen.

Hinweis für HR-Verantwortliche:

Speziell für den HR-Bereich gelten hier keine Besonderheiten zu anderen Bereichen des Unternehmens. Insbesondere ist im HR-Bereich in dem genannten Zusammenhang im Hinblick auf die Verarbeitung und Speicherung von Bewerberdaten auf die Einhaltung datenschutzrechtlicher Vorgaben zu achten (Näheres dazu in einem weiteren Blogeintrag). Grundsätzlich sollte der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.

g. Melde- und Benachrichtigungspflichten bei Datenschutzverletzungen

Sofern sich eine Datenschutzverletzung zugetragen hat, müssen die Datenschutzverantwortlichen in den Unternehmen innerhalb eines Zeitraums von 72 Stunden nach Bekanntwerden der Verletzung diese der Aufsichtsbehörde melden. Sofern zudem ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, müsse diese auch informiert werden. Die Aufsichtsbehörde unterstützt hier bei der Kommunikation.

Hinweis für HR-Verantwortliche:

Grundsätzlich sollte der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.

h. Datenschutzmanagement

Die Einhaltung der Vorgaben der DSGVO kann mithilfe eines Datenschutzmanagementsystems in der Form eines internen Compliance-Systems sichergestellt und überwacht werden.

Hinweis für HR-Verantwortliche:

Grundsätzlich sollte der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.

i. Benennung eines Vertreters durch nicht in der EU niedergelassene Unternehmen

Auch solche Unternehmen, die keine Niederlassung in der EU haben, müssen einen Vertreter in der EU als Ansprechpartner benennen.

j. Verhaltensregeln & Datenschutzzertifizierungen

In der DSGVO kommt Selbstregulierungsinstrumenten wie beispielsweise Datenschutzzertifizierungen eine erhöhte Bedeutung zu.

Hinweis für HR-Verantwortliche:

Grundsätzlich sollte der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.

2. Die rechtlichen Voraussetzungen für die Datenverarbeitung

Neben organisatorischen Verpflichtungen müssen Unternehmen zudem den rechtlichen Verpflichtungen, die die DSGVO auferlegt, gerecht werden:

a. Rechtsgrundlagen für die Verarbeitung

Grundsätzlich unterliegen Datenverarbeitungstätigkeiten einem Verbot mit Erlaubnisvorbehalt. Das bedeutet im Klartext, dass grundsätzlich primär alle Datenverarbeitungstätigkeiten verboten sind, es sei denn deren Zulässigkeit ist gesetzlich ausdrücklich durch einen Erlaubnistatbestand geregelt. Als Beispiel sei hier die Einwilligung der von der Datenverarbeitung betroffenen Person genannt. Diese wurden im Wesentlichen unter Punkt III. erwähnt.

Hinweis für HR-Verantwortliche:

Grundsätzlich sollte der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.

b. Interne Datenverarbeitung im Konzern

Auch konzerninterne Datentransfers müssen von einer Rechtsgrundlage gedeckt sein wie jeder Datentransfer an sonstige Dritte.

Hinweis für HR-Verantwortliche:

Für den Personalbereich ziehen wir in diesem Zusammenhang wieder das folgende Beispiel heran:

Konzern A mit Hauptsitz in den USA hat eine deutsche Tochtergesellschaft B in Hamburg (Deutschland). Der Konzern beschließt nunmehr die Einführung eines einheitlichen digitalen Personalinstruments zur Verwaltung der Mitarbeiterdaten. Um gewisse Mitarbeiterdaten der Konzernmutter in den USA via Datentransfer zukommen zulassen, bedarf es hier einer ausdrücklichen Rechtsgrundlage, die diesen Datentransfer rechtfertigt.

c. Besondere Kategorien personenbezogener Daten

Besonders schutzwürdig sind personenbezogene Daten, die politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gesundheit der Personen wiedergeben. Die Verarbeitung dieser Daten kann nur dann erfolgen, sofern angemessene Schutzmaßnahmen eingesetzt werden, die dem hohen Risikopotenzial der Verarbeitungssituation Rechnung tragen.

Hinweis für HR-Verantwortliche:

Vor allem können Beschäftigtendaten von MitarbeiterInnen auch Informationen zur Gesundheit dieser enthalten. In diesem Zusammenhang müssen Sie als HR-Verantwortliche(r) beachten, dass unter Umständen bei der Verarbeitung besonderer Kategorien der personenbezogenen Daten explizit die Einwilligung der betroffenen Person erforderlich ist. Zum anderen kann die Verarbeitung in diesem Kontext gerechtfertigt sein, sofern ein Arbeitsverhältnis diese Notwendigkeit voraussetzt oder sozialversicherungsrechtlich die Datenverarbeitung erforderlich ist. Grundsätzlich sollte der ernannte Datenschutzbeauftragte eng mit der Unternehmens-IT und dem Personalbereich sowie ggfs. dem Betriebsrat zusammenarbeiten, um so die unternehmensinternen Prozesse abgestimmt neu auszurichten.

d. Auftragsverarbeitung

Im Sinne der DSGVO gelten Auftragsverarbeiter nicht als Dritte, weswegen eine Weitergabe personenbezogener Daten an diesen im Entscheidungsspielraum des Verantwortlichen liegt. Es bedarf hier keines Erlaubnistatbestandes. Dies gilt sogar für Auftragsverarbeiter außerhalb der EU. Gerade wegen des hier vorhandenen Spielraums muss der Auftragsverarbeiter in seinem Handeln ein angemessenes Datenschutzniveau aufzeigen, da diesem ansonsten Bußgelder drohen, sofern er seine datenschutzrechtlichen Verpflichtungen nicht einhält.

e. Allgemeine Anforderungen an Datenübermittlungen in Drittländer

Wie bereits unter Punkt IV.2.b. bereits angemerkt: Sofern Datenübermittlungen an außerhalb der EU ansässige Dritte erfolgen, bedarf es einer Rechtsgrundlage, die zur Datenübermittlung ermächtigt. Folgende Instrumente stehen hier zur Verfügung:

EU-Standardvertragsklauseln

Es kann ein Vertrag geschlossen werden zwischen dem Datenexporteur und dem außerhalb der EU niedergelassenen Datenimporteur. Dieser Vertrag hat als Grundlage die EU-Standard-Vertragsklauseln, die von der Europäischen Kommission oder einer nationalen Aufsichtsbehörde verabschiedet werden.

Mehr Informationen dazu unter https://www.gdd.de/links.

EU-U.S. Privacy Shield

Für einen Datentransfer in die USA bedarf es eines EU-U.S. Privacy Shield, wobei es sich um einen durch Europäische Kommission verabschiedeten Rechtsakt handelt. Danach wird einem Unternehmen aus den USA eine Zertifizierung ermöglicht, welche die Einhaltung eines Datenschutzniveaus nach europäischen Standards sicherstellt.

Mehr Informationen dazu unter https://www.privacyshield.gov/welcome.

Binding Corporate Rules

Sofern Konzerne oder eine Gruppe von Unternehmen einer gemeinsam wirtschaftlichen Tätigkeit nachgehen, besteht die Möglichkeit, dass diese Konzerne oder Unternehmen sich Binding Corporate Rules unterwerfen. Unter den Binding Corporate Rules ist eine weltweit geltende Datenschutz-Policy zu verstehen, die festlegen, welchen Vorgaben der Datentransfer an Gruppenmitglieder in Ländern außerhalb der EU unterliegt, sofern diese Staaten kein hinreichendes Datenschutzniveau vorweisen können.

Mehr Informationen dazu unter https://www.datenschutzbeauftragter-info.de/internationale-datentransfers-binding-corporate-rules-nach-dsgvo/.

Hinweis für HR-Verantwortliche:

Wie bereits unter Punkt III.1.c. bereits angemerkt: Als HR-Verantwortliche(r) müssen Sie hier insbesondere wachsam bei der Einführung neuer digitaler HR-Instrumente sein, da diese prädestiniert sind, die genannte Problematik zu eröffnen. Sie müssen vor der Einführung des jeweiligen Instruments genau identifizieren, wo die Daten Ihres Personals durch die Verwendung des Instruments eventuell zwischengespeichert werden. Sofern es zu einer Datenübermittlung von Mitarbeiterdaten in Drittländer (außerhalb der EU) kommt durch bzw. Abspeicherung auf einem externen Sever, ergeben sich hier neue kaum absehbare Folgeproblematiken. Hier empfehle ich immer, sich an einen internationalen Fachexperten zu wenden.

V. Weitere Hinweise

Diese Auflistung einiger gesetzlicher relevanter Neuheiten der DSGVO ist nicht abschließend und stellt als solche weder eine rechtliche Beratung dar noch ersetzt sie diese. Es handelt sich hier lediglich um informative Hinweise zur Sensibilisierung. Auf die neue Rolle des Betriebsrates ab Geltung der DSGVO wird in einem weiteren Blogbeitrag eingegangen.

Zur Vertiefung dieser weitaus umfangreichen Problematik empfehle ich die Lektüre des folgenden Praxishandbuchs und des benannten Aufsatzes. Zudem empfehle ich ebenso weitere Links:

„EU-Datenschutz-Grundverordnung (DSGVO)“ von Paul Voigt und Dr. Axel von dem Bussche, ISBN: 978-3-662-56186-7

„Worauf beim Beschäftigtendatenschutz geachtet werden muss“, Online-Artikel bei Springer Porfessional v. V. Reitler u. K.Höhendinger, 14.08.2017

https://www.datenschutzbeauftragter-info.de/.

Damit Sie sich und Ihre MitarbeiterInnen im Datenschutz fachlich auf dem neuesten Stand halten und über ausreichendes Fachwissen verfügen empfehle ich die Schulungen und Fortbildungsseminare des TÜV:

https://www.tuev-nord.de/weiterbildung/seminare/Datenschutzbeauftragter-TUEV/

https://www.tuev-sued.de/akademie-de/seminare-management/datenschutz/1117001?ns_campaign=1117001&ns_mchannel=ppc&ns_source=google&subID=1324872625220266394&gclid=EAIaIQobChMI963UqsnV2QIVUBDTCh39YAAqEAAYAyAAEgJo4_D_BwE

Zudem verweise ich Sie in diesem Zusammenhang gerne auf Herrn Dr. Volker Wodianka als externen Datenschutzbeauftragten sowie fachlichen Experten auf diesem Gebiet: https://www.linkedin.com/in/dr-volker-wodianka-ll-m-5a97b290/.