kontakt
   (0800) 501 56 08     

Unsere Praxisbeispiele

[ Sachverhalt ]

Datenschutz: Auskunft zum Beschäftigtendatenschutz in einem Handelsunternehmen

Eine ehemalige Mitarbeiterin bat nach Beendigung ihrer nur kurzfristigen Tätigkeit um umfassende Auskünfte über den Umfang und Inhalt der Speicherung ihrer personenbezogenen Daten. Zugleich wandte sie sich vorsorglich zur Wahrung ihrer Betroffenenrechte an die zuständige Landesdatenschutzaufsicht. Gegenüber dieser behauptete die ehemalige Mitarbeiterin Mängel bei der "Einholung der nötigen Zustimmung" aus Anlass der Personaleinstellung. Zu Recht?

  • [ Aufgabe ]

    1. Prüfung der Form der Einwilligung
    2. Identifikation der in Frage kommenden Daten
    3. Herausgabe erforderlicher Informationen

  • [ Herausforderung ]

    • Kein aktuell verfügbares Verzeichnis der Verabeitungstätigkeiten
    • Rückfragen der zuständigen Landesdatenschutzaufsicht
    • Bereitstellung der Unterlagen in vertretbarem Umfang

  • [ Leistung ]

    • Beratung der Fachbereichsleitung und des internen Datenschutzbeauftragten
    • Prozessanalyse und Dokumentation relevanter Abläufe mit Verarbeitung von Beschäftigtendaten
    • Entwicklung eines Prozessregisters und entsprechender Filter-/Analysewerkzeuge

  • [ Vorgehen ]

    1. Überprüfung der Identität und des Auskuftsersuchens
    2. Dokumentation der bei Personaleinstellung erfolgten Unterweisungen und übergebenen Dokumente (hier: Hinweise und Rechte zum Datenschutz von Beschäftigten)
    3. Analyse und Quantifizierung der verarbeiteten personenbezogenen Daten (auch auf Datei-, Mail- und sonstigen Kommunikationsservern)
    4. Aufbereitung identifizierter Dokumente und Sammlungen mit identifizierten pbD der Beschäftigten
    5. Anonymisierung (Schwärzung) von pbD von nicht betroffenen Personen auf Dokumenten (ca. 3.800 Dokumente, vorzusgweise E-Mail)
    6. Bereitstellung eines Datenraums zur Einsichtnahme der Beschäftigten
    7. Bereitstellung der gesamten Datensätze als PDF mit geschwärzten Drittdaten (s.a. Nr. 5)
    8. Löschung der gesetzlich bzw. arbeitsrechtlich nicht erforderlichen Daten der betroffenen Person
    9. Einbindung des Verzeichnis der Verarbeitungstätigkeiten in die Prozesslandschaft und Nachbesserungen des Aktualisierungsprozesses
    10. Aufbau eines Vertragskatasters für erteilte bzw. erforderliche Vereinbarungen zur Auftragsdatenverarbeitung

[ EMPFEHLUNG ]

Die Betroffenenrechte gelten uneingeschränkt auch für Beschäftigte bzw. ehemalige Beschäftigte. Der Beschäftigtendatenschutz stellt für Unternehmen eine sehr große Herausforderung dar: Ein umfassendes Beschäftigtendatenschutzrecht gibt es derzeit nicht. Die DS-GVO enthält keine konkreten, bereichsspezifischen Regelungen. Vielmehr richtet sich der Beschäftigtendatenschutz zunächst nach den allgemeinen Regelungen der DS-GVO, die für jedes Rechtsverhältnis gelten. Der deutsche Gesetzgeber hat auf Bundesebene von der Öffnungsklausel des Artikel 88 Absatz 1 DS-GVO durch Erlass des § 26 Bundesdatenschutzgesetz (BDSG) Gebrauch gemacht.

Nach § 26 Absatz 1 Satz 1 BDSG dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, soweit dies insbesondere für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Aber: Im Beschäftigungsverhältnis kommt eine wirksame Einwilligung regelmäßig nicht in Betracht. Ausnahmsweise können Beschäftigte in die Verarbeitung ihrer personenbezogenen Daten durch ihre Arbeitgeber einwilligen. Rechtswirksam ist diese Einwilligung nur, wenn sie freiwillig erteilt wird. Die Freiwilligkeit dürfte bereits entfallen, wenn sich die betroffenen Person im Beschäftigungsverhältnis beeinflusst, gedrängt, bestimmt oder gezwungen sieht, ohne dass es einer Zwangsausübung bedarf. § 26 Absatz 2 BDSG nennt Kriterien, wann unter anderem von der Freiwilligkeit einer durch einen Beschäftigten erteilten Einwilligung ausgegangen werden kann. Im Hinblick auf die gesetzlichen Regelvermutungen kommt aufgrund des Über-/Unterordnungsverhältnisses eine Datenverarbeitung mittels einer Einwilligung nur ausnahmsweise zum Tragen.

Um der Gefahr von Datenschutzverstößen und der Sanktion mit Bußgeldern zu begegnen, sollte immer geprüft werden, ob die verfolgten Zwecke nicht auch mit anonymisierten bzw. aggregierten Daten (zusammengefassten Daten (ohne Bezug zu einzelnen Personen) erreicht werden kann: Entscheidend ist jedoch, dass die Information nicht auf den Einzelnen rückführbar ist, also nicht auf diesen „durchschlägt“.  Sind personenbezogene Daten derart verändert, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können, spricht man von anonymisierten Daten. Und bei diesen Daten ist der Arbeitgeber von der "Last" datenschutzrechtlicher Bestimmungen in aller Regel befreit.

Auf jeden Fall sollten Arbeitgeber auf eine geordnete und systematische Sammlung personenbezogener Daten ihrer Bewerber und Beschäftigten achten. Durch datenschutzkonforme Protokollierungs- und Löschkonzepte müssen personenbezogene Daten bei Auskunftsansprüchen sowie Berichtigungs- und Löschungsbegehren nicht mühselig zusammengesucht werden, sondern können in Kürze extrahiert und den Betroffenen zugänglich gemacht werden.

Bei der Verarbeitung hat der Verantwortliche nach § 26 Absatz 3 Satz 3 BDSG zudem § 22 Absatz 2 BDSG zu beachten und angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen (siehe beispielhafte Auflistung technischer und organisatorischer Maßnahmen in § 22 Absatz 2 Satz 2 BDSG). Der Handelsbetrieb hat mehr als 250 Beschäftigte: Insoweit müssen u.a. die erforderlich 'Technisch-Organisatorischen Maßnahmen' einerseits und der Nachweis als 'Verzeichnis der Verarbeitungstätigkeit' aktuell vorliegen. Ebenso ist bei der Datenspeicherung das Gebot der Datensparsamkeit zu beachten: Für die Speicherung von beispielsweise fünfzehn Jahre alten Arbeitsunfähigkeitsbescheinigungen dürfte es am Nachweis des Erfordernis in aller Regel scheitern. Empfehlenswert ist dahr im Rahmen der laufenden Prozessdokumentation von betrieblichen Abläufen beispielsweise im Personalwesen (Einstellung, Lohn- u. Gehaltsabrechnung, Aus-/Weiterbildungen, interne Beurteilungen etc.) die Identifikation der spezifischen Verarbeitung personenbezogener Daten, insbesondere von Beschäftigtendaten. Auch Daten besonderer Kategorie können bei Beschäftigten beispielsweise im Rahmen der arbeitergeberseitigen Fürsorgepflichten (Einstellungsuntersuchung, arbeitsmedizinische Vorsorge, Impfnachweise etc.) entstehen. Deren Verbleib und Verarbeitung unterliegt auch berufsständischem Recht. Mit externen Dienstleistern (hier: externe Entgeltabrechnung und extern arbeitsmedizinischer Betreuung) sind daher schriftliche Vereinbarungen zur 'Auftragsdatenverarbeitung' bzw. zur Erfüllung der 'gemeinsamen Verantwortung' abzuschließen und deren Einhaltung regelmäßig auch zu überprüfen.

Notwendig ist u.a. die regelmäßige Aktualisierung des Verzeichnis der Verarbeitungstätigkeiten und die Löschung nicht länger benötigter Daten. Die verantwortliche Leitung treffen hier empfindliche Sorgfaltspflichten. Diese können nicht auf unterstellte Bedienstete abgewälzt werden. Dringend empfohlen wird die Dokumentation relevanter Verarbeitungsvorgänge im Rahmen eines dokumentierten Prozessmanagements innerhalb der Verwaltung.

Abschließend ist für den Bereich der öffentlichen Verwaltung darauf hinzuweisen, dass für Beschäftigte bei Behörden und sonstigen öffentlichen Stellen des Bundes und der Länder (einschließlich der Kommunen) besondere bundes- und landesspezifische Regelungen gelten (beispielsweise auch dienst-/beamtenrechtliche Vorschriften).

Bitte beachten Sie: Es handelt sich um ein in Auszügen wiedergegebenes Beispiel ohne Anspruch auf Vollständigkeit und Richtigkeit. Wir leisten keine Rechtsberatung und empfehlen in Rechtsfragen die Einholung juristischen Beistands.

 [ Loslegen ]

Was brauchen Sie?

Lassen Sie uns über Ihre konkreten Herausforderungen bei Ihnen
und in Ihrer Organisation zum Arbeits-, Datenschutz- und Risikomanagement sprechen.

 

 

Kennenlernen

Kontakt

secc.systemic ug + co kg
(haftungsbeschränkt)

Threema: SE363V4F
Freecall: (0800) 501 56 08
Mail: anfrage [at] secc-systemic.de

 

Sorry, this website uses features that your browser doesn’t support. Upgrade to a newer version of Firefox, Chrome, Safari, or Edge and you’ll be all set.