Datenschutz im Arbeitsrecht

Mehr zum Thema: Arbeitsrecht, Arbeitsrecht, Datenschutz, DSGVO, Auskunft, Schadensersatz
0 von 5 Sterne
Bewerten mit: 5 Sterne 4 Sterne 3 Sterne 2 Sterne 1 Stern
0

Grundlagen der Datenschutzgrundverordnung im Beschäftigungsverhältnis

Der Schutz des in Art 1 I, 2 I GG garantierten Rechts auf "informationelle Selbstbestimmung" gilt auch im Arbeitsrecht. Der Arbeitgeber darf deshalb ganz allgemein nur insoweit in die Persönlichkeitsrechte seiner Arbeitnehmer eingreifen, soweit diese Massnahme geeignet ist, einen erstrebten Erfolg zu fördern, erforderlich ist, also kein relativ milderes Mittel für den erstrebten Zweck möglich ist, angemessen ist, also nicht unverhältnismäßig ist, was durch Gesamtabwägung "Intensität des Eingriffs - Gewicht der Rechtfertigungsgründe" gerichtlich überprüfbar ist. Datenschutzrechte für Arbeitnehmer, genauer "Beschäftigte", sind geregelt in:

der Datenschutzrichtlinie95/46/EG vom 24.10.1995,
dem Bundesdatenschutzgesetz(BDSG),
der EU - Datenschutzgrundverordnung(EU - DSGVO).

Bodo Michael Schübel
seit 2010 bei
123recht.de
Rechtsanwalt
Fachanwalt für Arbeitsrecht
Hohenstaufenring 62
50674 Köln
Tel: 0221/64009096
Web: http://www.schuebel.com
E-Mail:
Verbraucherkreditrecht, Gesellschaftsrecht, Erbrecht
Preis: 149 €

Verstoß gegen Datenschutz

Bei Verstoß gegen Datenschutzvorschriften, jetzt insbesondere auch die DSGVO, gewährleisten Art. 77 - 84 DSGVO ein ganzes Bündel an abgestuften Rechts- und Sanktionsmöglichkeiten gegen die zuständige Aufsichtsbehörde sowie vor allem gegen Verantwortliche und Auftragsverarbeiter.

Bei Verstössen gegen die DSGVO und das Datenschutzgesetz macht der Arbeitgeber sich grundsätzlich nach 30 OWIG bußgeldpflichtig.

Die Kriterien für die Höhe der zu verhängten Geldbußen sind in Art. 83 II DSGVO im allgemeinen aufgestellt. Art. 83 III DSGVO listet zusätzlich einen Katalog wichtiger Verstöße auf, die mit Geldbußen bis 10.000 000,00 €, oder bei Unternehmen bis zu 2 % des Jahresumsatz, sanktioniert sein können. Bei besonders schwerwiegenden Verstöße nach Art. 83 IV DSGVO sieht das Gesetz sogar Geldbußen bis € 20.000 000,00 , oder bei Unternehmen 4 % des Jahresumsatzes, vor.

Weiterhin besteht nach § 29a OWIG neuerdings die Möglichkeit zu "Gewinn - Einzug" des durch Datenschutzverstoß erwirtschafteten, wenn eine Geldbuße nicht festgesetzt wird.

Nach Art. 82 I DSGVO hat der Beschäftigte Anspruch auf Schadensersatz, wenn ihm wegen eines Verstoßes gegen die DSGVO, durch Verschulden des Verantwortlichen, oder Auftragsverarbeiters, ein materieller oder immaterieller Schadenentstanden ist.

Der Verantwortliche kann sich "exkulpieren", wenn er nach Art. 82 III DSGVO nachweist, dass er für den Umstand, durch den der Schaden entstanden ist, nicht verantwortlich.

Mehrere Verantwortliche haften als Gesamtschuldner

Nach dem Wortlaut ist "jeder" Verstoß gegen die DSGVO sanktioniert. Nach den Erwägungsgründen zur DSGVO sollen Schäden ersetzt werden, die "einer Person aufgrund einer Verarbeitung entstehen".

Denkbar sind weiter auch deliktische Schadensersatzansprüche wegen Eingriff in die aus Art 1 I , Art 2 I GG geschützten Persönlichkeitsrechte des Beschäftigten.

Ob und inwieweit ein gerichtliches Verwertungsverbot "rechtswidrig" erlangter Daten besteht, ist nur im konkreten Einzelfall feststellbar.

Speicherung / Schutz der Arbeitnehmerdaten

Die Speicherung und Verarbeitung der Arbeitnehmer-, ebenso wie Kunden - Daten, müssen nach Art. 5 DSGVO auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden(„Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“); für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; ...... („Zweckbindung“); dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“); sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“); in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Absatz 1 verarbeitet werden („Speicherbegrenzung“); in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

Der Arbeitgeber ist für die Einhaltung und Überwachung verantwortlich, und muss die Einhaltung nachweisen können.

Dokumentations- / Verzeichnispflicht

Nach Art. 30 DSGVO treffen den Arbeitgeber, genauer die Entscheidungsträger über Zweck und Mittel der verarbeiteten Daten soweit in ihrer Zuständigkeit , strenge im einzelnen benannte Dokumentationspflichten.

Jeder Verantwortliche, ebenso wie jeder Auftragsverarbeiter des Arbeitgebers, muss ein Verzeichnis aller Verarbeitungstätigkeiten seines Zuständigkeitsbereiches führen. Grundsätzlich soll die Verzeichnispflicht nur für für Unternehmen mit mehr als 250 Mitarbeitern gelten. ABER tatsächlich gilt sie für jeden Arbeitgeber - unabhängig von der Beschäftigtenzahl - weil dieser gem. Art. 30 V DSGVO nicht nur gelegentlich Daten seiner Beschäftigten verarbeitet (z.B. Lohnbuchhaltung, Urlaubspläne), besonders geschützte Datenkategorien i.S. von Art. 9 I DSGVO verarbeitet(z.B. Gesundheitsdaten bei Arbeitsunfähigkeit, Religion wg. Kirchensteuer), oder weil die vorgenommene Verarbeitung besondere Risiken für die Rechte und Freiheiten der Beschäftigtenbirgt (z.B. Videoüberwachung, Kontrolle von e - mail Telefon oder Internet).

Frist / Inhalt Informationspflicht nach Art. 13 DSGVO

Soweit der Arbeitgeber ohne Einwilligung des Beschäftigten Daten speichern darf, treffen ihn nach Art. 13 DSGVO - bereits schon im Bewerbungsverfahren, i.d.R. erneut bei Abschluss des Arbeitsvertrags - besondere Informationspflichten.

Die Informationspflicht muss nach Art. 14 DSGVO innerhalb einer angemessenen Frist - längstens nach 1 Monat- , spätestens zum Zeitpunkt einer ersten Mitteilung an einen Bewerber, erfolgen.

Spätestes aber zum Zeitpunkt der Erhebung von Arbeitnehmerdaten muss der Arbeitgeber dem Beschäftigten / Bewerber (!) bereits folgendes mitteilen:

den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters; gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten; die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlagefür die Verarbeitung; wenn die Verarbeitung zur Wahrung der berechtigten Interessen des Arbeitgebers erfolgt (Art. 6 I 1 f DSGVO) beruht, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden; gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Datenund gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Artikel 47 oder Artikel 49 Absatz 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Zusätzlich muss der Arbeitgeber dem Beschäftigten zum Zeitpunkt der Erhebung folgende weitere Informationen zur Verfügung stellen, die notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten:

Die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Datensowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit; wenndie Verarbeitung auf einer Einwilligung des Beschäftigten beruht (Art. 6 I a oder Art. 9 II a DSGVO)

- das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen,
- ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird; das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; ob die Bereitstellungder personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profilingnach Art. 22 I, IV DSGVO und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Beabsichtigt der Arbeitgeber - soweit er überhaupt nach der DSGO ohne Einwilligung des Beschäftigten berechtigt ist - später die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten als den, für den diese ursprünglich erhoben wurden, so muss er dem Beschäftigten / Bewerber VOR dieser Weiterverarbeitung Informationen über diesen anderen "neuen" Zweck und alle anderen maßgeblichen Informationen wie oben "zusätzlich" zur Verfügung stellen.

Zulässige Datenverarbeitung - ohne Einwilligung -

Nach § 26 BDSG n.F. ist die Erhebung, Verarbeitung, und Nutzung personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn dies:

für die Entscheidung über dieBegründung eines Arbeitsverhältnisses (im Bewerbungsverfahren), für die Durchführungdes Arbeitsverhältnisses, für die Beendigungdes Arbeitsverhältnisses, oder zur Ausübung oder Erfüllung, der sich aus - Gesetz, - Tarifvertrag, - Betriebs- oder Dienstvereinbarung ergebenden Rechte und Pflichten - erforderlich - ist.

Weitergehende Datenverarbeitung - nur mit Einwilligung -

Für alle "weitergehende" Datennutzung - und verarbeitung durch den Arbeitgeber ist die "Einwilligungdes Beschäftigten für den jeweils konkreten Einzelfall" erforderlich.

Die Einwilligung des Beschäftigten ist nach Art. 6 I a DSGVO nur dann wirksam, wenn sie freiwilligerfolgt, eindeutig und unmissverständlichist, für einen konkreten festgelegten Zweckabgegeben wird, der Arbeitnehmer vor der Verarbeitung über den Zweck ausreichend informiert wird, und rein vorsorglich wohl auch der Arbeitnehmer - je nach besonderem Einzelfall oder auf seine nachfrage hin - auf die Folgen der Verweigerung der Einwilligung hingewiesen wird.

Die Einwilligung ist formgebunden. Sie ist grundsätzlich:

schriftlich zu erteilen, soweit nicht ausnahmsweise die Umstände des Einzelfalls eine andere Form zulassen, drucktechnisch besonders hervorzuheben, wenn mit der Einwilligung weitere Erklärungen erteilt werden, sollte "besser nicht" in einer gemeinsamen Erklärung mit weiteren Beschäftigten, z.B. Unterschriftenliste, erteilt werden ("kein Gruppenzwang").

Der Arbeitnehmer wird tatsächlich in vielen Fällen über den Verarbeitungszweck nur dann hinreichend informiert sein, wenn der Arbeitgeber gem. Art.7, 35 VII DSGVO eine Datenschutz - Folgenabschätzung , vornimmt.

Fallbeispiele erforderliche Einwilligung des Arbeitnehmers / Sanktionen

Besondere Informationspflichten , sowie insbesondere auch eine – gesonderte - Einwilligung der Beschäftigten nach § 6 I DSGVO, können den Arbeitgeber insbesondere auch in folgenden Fallkonstellationen treffen:

Videoüberwachung
Überwachung von PC, e - mail und Telekommunikationsverkehr
Bewerbungsverfahren

Einzelheiten sind im konkreten Einzelfall zu prüfen und abzuwägen.

Auskunftsrecht nach Art. 15 DSGVO

Der Beschäftigte hat Anspruch auf:

Auskunft (Art. 15 DSGVO),
Berichtigung (Art. 16 DSGVO) und
Löschung (Art. 17 DSGVO)seiner Daten.

Er hat Anspruch auf Auskunft:

ob, und wenn ja,
welche Beschäftigtendaten verarbeitet werden.

Die Auskunft ist "in angemessener Zeit, längstens innerhalb 1 Monats" entsprechend Art. 14 III DSGVO, zu erteilen.

Im einzelnen hat der Beschäftigte nach Art. 15 I DSGVO auf Antrag Anspruch auf Information über:

die Verarbeitungszwecke;
die Kategorien personenbezogener Daten, die verarbeitet werden;
die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sindoder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
das Bestehen eines Rechts auf Berichtigung oder Löschungder sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten; das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profilinggemäß Artikel 22 Absätze 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person. Der Arbeitgeber muss dem Beschäftigten eine vollständige Kopie aller gespeicherten / verarbeiteten Daten, in unveränderter Form- wie verarbeitet - kostenlos (für die 1. Kopie, angemessene Kosten für Zweitkopien) so zur Verfügung stellen, dass dieser die Informationen, mit einer allgemein üblichen Software verarbeitet / gelesen werden kann.

Grundsätzlich wird vom Arbeitgeber danach die Übersendung einer pdf Datei zu allen verarbeiteten Daten zu verlangen sein.

Ändert sich der Datenbestand, hat der Arbeitnehmer erneut Anspruch auf Auskunft.

Der Arbeitgeber muss sicherstellen, die Identitätdes Beschäftigten beim Auskunftsverlangen zu überprüfen und nur dem BerechtigtenBeschäftigten, und nicht unberechtigten Dritten, die Informationen / Kopien zu erteilen.

Hat der Arbeitgeber begründete Zweifel an der Identität des Antragstellers, kann er zusätzliche Informationen zur Bestätigung der Identität, zB Personalausweis / Reisepass, anfordern.

Berichtigungsrecht nach Art. 16 DSGVO

Der Beschäftigte hat "unverzüglich" Anspruch auf Berichtigung unrichtiger Tatsachen/nicht Meinungen und Bewertungen), Vervollständigung unvollständiger Personendaten.

Die Berichtigung kann in Form einer berichtigenden Erklärung erfolgen. Der Berichtigungsanspruch kann gerade auch bei Bewerbungen erforderlich sein wenn der Arbeitgeber die Unterlagen in einer Bewerberdatenbank aufnimmt.

Löschungsrecht nach Art. 17 DSGVO

Der Arbeitgeber muss die Daten der Beschäftigten "unverzüglich" löschen, wenn personenbezogene Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig, - also grundsätzlich bei Ende des Bewerbungsverfahrens / Beschäftigungsverhältnisses, der Beschäftigte / Bewerber ihre (erforderliche) widerruft, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung, die betroffene Person legt gemäß Artikel 21 Absatz 1 Widerspruch gegen die Verarbeitungein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt gemäß Artikel 21 Absatz 2 Widerspruch gegen die Verarbeitung ein. die personenbezogenen Daten wurden unrechtmäßig verarbeitet, die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtungnach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt, es sein den, es liegt kein Ausschlussgrund zur Löschung vor soweit die Verarbeitung erforderlich ist zur Ausübung des Rechts auf freie Meinungsäußerung und Information; zur Erfüllung einer rechtlichen Verpflichtung, welcher der Verantwortliche unterliegt, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesseliegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Ernennung Datenschutzbeauftragter

Der Arbeitgeber muss einen betrieblichen Datenschutzbeauftragten nach § 38 I BDSG benennen, wenn er in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, oder Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung nach Art. 35DSGVO unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung bearbeitet.

Nach § 38 II BDSG i.V.m. § 6 BDSG

hat - nur - der "Pflicht - Datenschutzbeauftragte" besonderen Kündigungsschutz. Eine Kündigung ist also nur aus "wichtigem Grund" außerordentlich nach § 626 BGB zulässig. Der besondere Kündigungsschutz gilt auch für die Zeit von 1 Jahr nach Beendigung der Tätigkeit als Datenschutzbeauftragter.

Bodo Michael Schübel, Rechtsanwalt & Fachanwalt für Arbeitsrecht - schuebel@arbeitsrechtanwalt.de - Tel. (+49) 0221 64009096 - https://arbeitsrechtanwalt.de/
Wollen Sie mehr wissen? Lassen Sie sich jetzt von diesem Anwalt schriftlich beraten.