deen
Nexia Ebner Stolz

Welche Neuerungen bringt die Datenschutzgrundverordnung für die Personalabteilung?

Ab dem 25.5.2018 gelten EU-weit die EU-Datenschutzgrundverordnung (DSGVO) und in Deutschland begleitend das neue Bundesdatenschutzgesetz (BDSG-neu). Ziel der DSGVO ist es, in der gesamten EU ein einheitliches Datenschutzniveau zu schaffen.

Bis­lang hatte jeder Mit­g­lieds­staat seine eige­nen Daten­schutz­re­ge­lun­gen, die nur zum Teil auf EU-Recht beruh­ten. Die DSGVO schafft EU-weit ein­heit­li­che Rege­lun­gen und Wett­be­werbs­be­din­gun­gen für die Daten­ver­ar­bei­tung.

Bis zum 25.5.2018 haben Unter­neh­men noch Zeit, sich auf die neuen Bestim­mun­gen ein­zu­s­tel­len. Ab die­sem Zeit­punkt kön­nen (und wer­den) Daten­schutz­be­hör­den vor­aus­sicht­lich Sank­tio­nen ver­hän­gen, die zudem deut­lich schär­fer sind als nach bis­he­ri­gem Recht.

Die DSGVO regelt den Schutz per­so­nen­be­zo­ge­ner Daten. Das sind sämt­li­che Daten, anhand derer man eine natür­li­che Per­son („betrof­fene Per­son“) iden­ti­fi­zie­ren kann. Die DSGVO rich­tet sich an öff­ent­li­che Stel­len, wie auch an alle natür­li­chen und juris­ti­schen Per­so­nen („Ver­ant­wort­li­che“ und „Auf­trags­ver­ar­bei­ter“), die per­so­nen­be­zo­gene Daten ver­ar­bei­ten. „Ver­ar­bei­tung“ ist bei­spiels­weise das Erhe­ben, Erfas­sen, die Orga­ni­sa­tion, Spei­che­rung, Ver­än­de­rung, Ver­wen­dung, Über­mitt­lung und auch die Löschung von Daten – also jeder Vor­gang, der per­so­nen­be­zo­gene Daten betrifft.

Eine Abtei­lung, die natur­ge­mäß viele per­so­nen­be­zo­gene Daten ver­ar­bei­tet, ist die Per­so­nal­ab­tei­lung. Sie spei­chert Daten von Ange­s­tell­ten, freien Mit­ar­bei­tern, Prak­ti­kan­ten und Bewer­bern. Dar­über hin­aus ver­fügt sie über beson­ders sen­si­ble Infor­ma­tio­nen, wie bio­me­tri­sche Daten, Gesund­heits- oder Bank­da­ten.

Wie wir­ken sich die Geset­zes­än­de­run­gen auf die Per­so­nal­ab­tei­lung aus?

Gleich bleibt, dass per­so­nen­be­zo­gene Daten über­haupt nur mit Ein­wil­li­gung der betrof­fe­nen Per­son oder auf­grund einer gesetz­li­chen Rechts­grund­lage ver­ar­bei­tet wer­den dür­fen. Die Daten dür­fen auch nur so lange wie erfor­der­lich gespei­chert wer­den.

Die DSGVO selbst regelt in Bezug auf Beschäf­tig­ten­da­ten nur, dass die Mit­g­lieds­staa­ten spe­zi­fi­schere Vor­schrif­ten erlas­sen kön­nen und diese die Rechte der betrof­fe­nen Per­so­nen aus­rei­chend wah­ren müs­sen. Aller­dings betref­fen die all­ge­mei­nen Neue­run­gen, insb. die neuen Infor­ma­ti­onspf­lich­ten, ebenso die Per­so­nal­ab­tei­lung - diese müs­sen im Ver­hält­nis zu den Mit­ar­bei­tern und Bewer­bern glei­cher­ma­ßen umge­setzt wer­den.

Neue Rechts­grund­la­gen für die Ver­ar­bei­tung von Per­so­nal­da­ten

Der deut­sche Gesetz­ge­ber hat auf­grund der DSGVO alte Rechts­grund­la­gen neu struk­tu­riert und einige neue geschaf­fen. So dür­fen Daten nach § 26 Abs. 1 BDSG-neu künf­tig auf­grund von Ansprüchen der Beschäf­tig­ten­ver­t­re­tun­gen ver­ar­bei­tet wer­den. Daten dür­fen also an den Betriebs­rat über­mit­telt wer­den, wenn die­ser einen Anspruch gel­tend macht. Wei­ter­hin dür­fen nach § 26 Abs. 4 BDSG-neu Daten auf­grund von Kol­lek­tiv­ve­r­ein­ba­run­gen ver­ar­bei­tet wer­den. § 26 Abs. 7 BDSG-neu regelt außer­dem, dass die daten­schutz­recht­li­chen Pflich­ten nicht nur für die Ver­ar­bei­tung elek­tro­ni­scher, son­dern auch ana­lo­ger Daten gilt - etwa durch Auf­nahme hand­schrift­li­cher Noti­zen in Akten­ord­ner oder Wei­ter­gabe von Daten in per­sön­li­chen Gesprächen.

Neue Infor­ma­ti­onspf­lich­ten bei Daten­er­he­bun­gen

Die DSGVO schafft neue umfas­sende Infor­ma­ti­onspf­lich­ten, die auch (poten­ti­elle) Arbeit­ge­ber beach­ten müs­sen. So sind betrof­fene Per­so­nen, von denen Daten ver­ar­bei­tet wer­den, zum Zeit­punkt der Daten­er­he­bung min­des­tens über Fol­gen­des zu unter­rich­ten:

  • Name und Kon­takt­da­ten des Ver­ant­wort­li­chen,
  • Zwe­cke und Rechts­grund­lage der Daten­ver­ar­bei­tung,
  • Emp­fän­ger der Daten,
  • Spei­cher­dauer,
  • Rechte der betrof­fe­nen Per­son auf Aus­kunft, Berich­ti­gung, Löschung, Ein­schrän­kung, Wider­spruch und Daten­über­trag­bar­keit,
  • Wider­rufs­recht.

Diese Infor­ma­tio­nen sind präzise, tran­s­pa­rent, ver­ständ­lich und leicht zugäng­lich zu über­mit­teln. Bei einem Online-Bewer­bung­stool bie­tet sich bspw. an, unter einem Link auf die Infor­ma­tio­nen hin­zu­wei­sen. Beim papier­ge­stütz­ten Abschluss von Arbeits­ver­trä­gen kommt die Ver­wen­dung etwa eines Merk­blatts in Betracht.

Fazit

Zwar brin­gen die DSGVO und das BDSG-neu keine fun­da­men­ta­len Ver­än­de­run­gen für den Beschäf­tig­ten­da­ten­schutz mit sich. Aller­dings ist - nicht zuletzt wegen der deut­lich höhe­ren Sank­tio­nen - in der Per­so­nal­ab­tei­lung dar­auf zu ach­ten, dass die Pro­zesse bis spä­tes­tens 25.5.2018 daten­schutz­kon­form aus­ge­stal­tet und insb. die neuen Infor­ma­ti­onspf­lich­ten beach­tet wer­den. Das gilt vor allem für den Bewer­bung­s­pro­zess und den ggf. ansch­lie­ßen­den Abschluss von neuen Arbeits­ver­trä­gen.



nach oben