Arbeitnehmerdatenschutz durch die DSGVO
09. Oktober 2018
Die neuen Regeln der EU-Datenschutzgrundverordnung (DSGVO) sehen viele Rechte für Betroffene vor. Zur Zielgruppe der „Betroffenen“ gehören auch Arbeitnehmer, deren personenbezogene Daten von Arbeitgebern verarbeitet werden. Somit sind die in den Art. 12-23 DSGVO verankerten Informationspflichten und Betroffenenrechte auch auf Arbeitnehmer anzuwenden, wobei in diesem Zusammenhang die Besonderheiten des Arbeitsverhältnisses zu berücksichtigen sind.
Informationspflichten
Auch im Beschäftigtenverhältnis treffen den Arbeitgeber die Informationspflichten des Art. 13 DSGVO. Der Arbeitnehmer ist u.a. darüber zu informieren, welche personenbezogenen Daten über ihn gespeichert werden, wozu und wie lange dies geschieht, an wen diese ggf. übermittelt werden. Ebenso muss die Rechtsgrundlage genannt werden.
Darüber hinaus muss der Betroffene über seine Betroffenenrechte in Kenntnis gesetzt werden. Dazu zählen u.a. das Beschwerderecht bei einer Aufsichtsbehörde und das Recht, eine erteilte Einwilligung zur Datenverarbeitung zu widerrufen.
Arbeitgebern wird geraten, jedem Arbeitnehmer ein Informationsblatt über die Verarbeitung seiner Daten zukommen zu lassen. Sinnvoll ist es auch, diese Erklärung im Intranet der Firma bereitzustellen.
Auskunftsrecht
Weiterhin hat der Arbeitnehmer das Recht, von seinem Arbeitgeber zu erfahren, welche personenbezogenen Daten von ihm gespeichert sind, Art. 15 DSGVO. Diese Auskunft muss individuell erteilt werden, überschneidet sich teilweise aber mit dem Informationsrecht des Art. 13 DSGVO. Derzeit ist umstritten, in welcher Form und in welchem Umfang die Daten herausgegeben werden müssen. Nimmt der Arbeitnehmer dieses Recht in Anspruch, muss zumindest eine Kopie der Personalakte bereitgestellt werden.
Berichtigungsrecht, Recht auf Löschung und Vergessenwerden
Der Betroffene hat das Recht, seine Daten auf Verlangen berichtigen oder ergänzen zu lassen, Art. 16 DSGVO.
Fällt der Zweck der Datenverarbeitung weg, so müssen die Daten gelöscht werden (Art. 17 Abs. 1 DSGVO). Stehen der Löschung gesetzliche Aufbewahrungsfristen im Weg, so kann die Verarbeitung der Daten „gesperrt“ werden. In der Praxis kann dies dadurch geschehen, dass Akten als „gesperrt“ vermerkt und in einem Schrank abgeschlossen werden. Bei digitalen Daten müssen diese – soweit möglich – gelöscht werden und im Falle des Vorliegens einer Aufbewahrungspflicht dürfen sie nur noch einem eingeschränkten Personenkreis zur Verfügung stehen.
Werden vom Arbeitgeber Arbeitnehmerdaten an Dritte weitergegeben und verlangt ein Arbeitnehmer Löschung seiner Daten, so muss der Arbeitgeber nachweisen können, dass er die Empfänger von der geforderten Löschung der personenbezogenen Daten in Kenntnis gesetzt hat (sog. Recht auf Vergessenwerden, Art. 17 Abs. 2 DSGVO). Eine Prüfpflicht, ob beim Dritten die Daten tatsächlich gelöscht wurden, trifft den Arbeitgeber hingegen nicht.
Recht auf Datenübertragbarkeit
Des Weiteren steht dem Arbeitnehmer ein Recht auf Datenübertragbarkeit gem. Art. 20 DSGVO zu. Das bedeutet, dass der Arbeitgeber in einem gängigen und maschinenlesbaren Format (z.B. Excel- oder *.xml-Dateien) die personenbezogenen Daten zur Verfügung stellen muss, die der Betroffene ihm selbst mitgeteilt hat. Der Arbeitgeber muss in diesem Zusammenhang insbesondere die Stammdaten (z.B. Name, Adresse, Bank- und Steuerdaten) angeben.
Recht auf Widerspruch
Schließlich steht dem Arbeitnehmer auch ein Recht auf Widerspruch gegen die Datenverarbeitung zu, wenn die Daten aufgrund eines „berechtigten Interesses“ des Arbeitgebers verarbeitet werden (Art. 21 DSGVO). Macht ein Arbeitnehmer von seinem Widerspruchsrecht Gebrauch, muss der Arbeitgeber eine erneute Interessenabwägung durchführen. Bringt der Arbeitnehmer in diesem Zusammenhang neue Argumente vor, die bei der ersten Interessenabwägung noch nicht berücksichtigt wurden, ist es denkbar, dass die Abwägung zugunsten des Arbeitnehmers ausfällt und der Arbeitgeber die Datenverarbeitung zu unterlassen hat.
Frist zur Umsetzung der Betroffenenrechte
Der Arbeitgeber hat eine Frist von einem Monat zur Bearbeitung des Antrags eines Arbeitnehmers im Zusammenhang mit Betroffenenrechten. Diese Frist kann in Ausnahmefällen um weitere zwei Monate verlängert werden.
Fazit
Arbeitnehmer haben eine ganze Reihe von Rechten bzgl. des Umgangs mit ihren personenbezogenen Daten gegenüber ihrem Arbeitgeber. Für Konzerne kann es viel Arbeit bedeuten, wenn sie ihren Beschäftigten Auskunft über gespeicherte Daten geben müssen. Die zur Umsetzung der Betroffenenrechte gesetzlich vorgesehene Monatsfrist baut dabei zeitlichen Druck auf. Arbeitgeber müssen darüber hinaus ein Löschkonzept implementieren, das sicherstellt, dass diejenigen Arbeitnehmerdaten gelöscht werden, für deren Verarbeitung keine Rechtsgrundlage mehr vorliegt. Die hohen Bußgeldandrohungen der DSGVO führen dazu, dass Arbeitgeber den regelkonformen Umgang mit Arbeitnehmerdaten sehr ernst nehmen sollten.