de en
Nexia Ebner Stolz

Rechtsberatung

Welche Neuerungen bringt die Datenschutzgrundverordnung für die Personalabteilung?

Ab dem 25.5.2018 gel­ten EU-weit die EU-Da­ten­schutz­grund­ver­ord­nung (DS­GVO) und in Deutsch­land be­glei­tend das neue Bun­des­da­ten­schutz­ge­setz (BDSG-neu). Ziel der DS­GVO ist es, in der ge­sam­ten EU ein ein­heit­li­ches Da­ten­schutz­ni­veau zu schaf­fen.

Bis­lang hatte je­der Mit­glieds­staat seine ei­ge­nen Da­ten­schutz­re­ge­lun­gen, die nur zum Teil auf EU-Recht be­ruh­ten. Die DS­GVO schafft EU-weit ein­heit­li­che Re­ge­lun­gen und Wett­be­werbs­be­din­gun­gen für die Da­ten­ver­ar­bei­tung.

Bis zum 25.5.2018 ha­ben Un­ter­neh­men noch Zeit, sich auf die neuen Be­stim­mun­gen ein­zu­stel­len. Ab die­sem Zeit­punkt können (und wer­den) Da­ten­schutz­behörden vor­aus­sicht­lich Sank­tio­nen verhängen, die zu­dem deut­lich schärfer sind als nach bis­he­ri­gem Recht.

Die DS­GVO re­gelt den Schutz per­so­nen­be­zo­ge­ner Da­ten. Das sind sämt­li­che Da­ten, an­hand de­rer man eine natürli­che Per­son („be­trof­fene Per­son“) iden­ti­fi­zie­ren kann. Die DS­GVO rich­tet sich an öff­ent­li­che Stel­len, wie auch an alle natürli­chen und ju­ris­ti­schen Per­so­nen („Ver­ant­wort­li­che“ und „Auf­trags­ver­ar­bei­ter“), die per­so­nen­be­zo­gene Da­ten ver­ar­bei­ten. „Ver­ar­bei­tung“ ist bei­spiels­weise das Er­he­ben, Er­fas­sen, die Or­ga­ni­sa­tion, Spei­che­rung, Verände­rung, Ver­wen­dung, Über­mitt­lung und auch die Löschung von Da­ten – also je­der Vor­gang, der per­so­nen­be­zo­gene Da­ten be­trifft.

Eine Ab­tei­lung, die na­tur­gemäß viele per­so­nen­be­zo­gene Da­ten ver­ar­bei­tet, ist die Per­so­nal­ab­tei­lung. Sie spei­chert Da­ten von An­ge­stell­ten, freien Mit­ar­bei­tern, Prak­ti­kan­ten und Be­wer­bern. Darüber hin­aus verfügt sie über be­son­ders sen­si­ble In­for­ma­tio­nen, wie bio­me­tri­sche Da­ten, Ge­sund­heits- oder Bank­da­ten.

Wie wirken sich die Gesetzesänderungen auf die Personalabteilung aus?

Gleich bleibt, dass per­so­nen­be­zo­gene Da­ten über­haupt nur mit Ein­wil­li­gung der be­trof­fe­nen Per­son oder auf­grund ei­ner ge­setz­li­chen Rechts­grund­lage ver­ar­bei­tet wer­den dürfen. Die Da­ten dürfen auch nur so lange wie er­for­der­lich ge­spei­chert wer­den.

Die DS­GVO selbst re­gelt in Be­zug auf Be­schäftig­ten­da­ten nur, dass die Mit­glieds­staa­ten spe­zi­fi­schere Vor­schrif­ten er­las­sen können und diese die Rechte der be­trof­fe­nen Per­so­nen aus­rei­chend wah­ren müssen. Al­ler­dings be­tref­fen die all­ge­mei­nen Neue­run­gen, insb. die neuen In­for­ma­ti­ons­pflich­ten, ebenso die Per­so­nal­ab­tei­lung - diese müssen im Verhält­nis zu den Mit­ar­bei­tern und Be­wer­bern glei­chermaßen um­ge­setzt wer­den.

Neue Rechtsgrundlagen für die Verarbeitung von Personaldaten

Der deut­sche Ge­setz­ge­ber hat auf­grund der DS­GVO alte Rechts­grund­la­gen neu struk­tu­riert und ei­nige neue ge­schaf­fen. So dürfen Da­ten nach § 26 Abs. 1 BDSG-neu künf­tig auf­grund von An­sprüchen der Be­schäftig­ten­ver­tre­tun­gen ver­ar­bei­tet wer­den. Da­ten dürfen also an den Be­triebs­rat über­mit­telt wer­den, wenn die­ser einen An­spruch gel­tend macht. Wei­ter­hin dürfen nach § 26 Abs. 4 BDSG-neu Da­ten auf­grund von Kol­lek­tiv­ver­ein­ba­run­gen ver­ar­bei­tet wer­den. § 26 Abs. 7 BDSG-neu re­gelt außer­dem, dass die da­ten­schutz­recht­li­chen Pflich­ten nicht nur für die Ver­ar­bei­tung elek­tro­ni­scher, son­dern auch ana­lo­ger Da­ten gilt - etwa durch Auf­nahme hand­schrift­li­cher No­ti­zen in Ak­ten­ord­ner oder Wei­ter­gabe von Da­ten in persönli­chen Ge­sprächen.

Neue Informationspflichten bei Datenerhebungen

Die DS­GVO schafft neue um­fas­sende In­for­ma­ti­ons­pflich­ten, die auch (po­ten­ti­elle) Ar­beit­ge­ber be­ach­ten müssen. So sind be­trof­fene Per­so­nen, von de­nen Da­ten ver­ar­bei­tet wer­den, zum Zeit­punkt der Da­ten­er­he­bung min­des­tens über Fol­gen­des zu un­ter­rich­ten:

  • Name und Kon­takt­da­ten des Ver­ant­wort­li­chen,
  • Zwecke und Rechts­grund­lage der Da­ten­ver­ar­bei­tung,
  • Empfänger der Da­ten,
  • Spei­cher­dauer,
  • Rechte der be­trof­fe­nen Per­son auf Aus­kunft, Be­rich­ti­gung, Löschung, Ein­schränkung, Wi­der­spruch und Da­tenüber­trag­bar­keit,
  • Wi­der­rufs­recht.
Diese In­for­ma­tio­nen sind präzise, trans­pa­rent, verständ­lich und leicht zugäng­lich zu über­mit­teln. Bei einem On­line-Be­wer­bungs­tool bie­tet sich bspw. an, un­ter einem Link auf die In­for­ma­tio­nen hin­zu­wei­sen. Beim pa­pier­gestütz­ten Ab­schluss von Ar­beits­verträgen kommt die Ver­wen­dung etwa ei­nes Merk­blatts in Be­tracht.

Fazit

Zwar brin­gen die DS­GVO und das BDSG-neu keine fun­da­men­ta­len Verände­run­gen für den Be­schäftig­ten­da­ten­schutz mit sich. Al­ler­dings ist - nicht zu­letzt we­gen der deut­lich höheren Sank­tio­nen - in der Per­so­nal­ab­tei­lung dar­auf zu ach­ten, dass die Pro­zesse bis spätes­tens 25.5.2018 da­ten­schutz­kon­form aus­ge­stal­tet und insb. die neuen In­for­ma­ti­ons­pflich­ten be­ach­tet wer­den. Das gilt vor al­lem für den Be­wer­bungs­pro­zess und den ggf. an­schließen­den Ab­schluss von neuen Ar­beits­verträgen.

nach oben