27. Juli 2017

Der neue Datenschutz für Beschäftigte

Die neuen Regeln der europäis­chen Daten­schutz-Grund­verord­nung (DSGVO) gel­ten in Deutsch­land zusam­men mit einem neuen Bun­des­daten­schutzge­setz ab dem 25. Mai 2018. Dies wirkt sich auch auf die Per­sonal­dien­stleis­tungs­branche aus. Wir haben für Sie die wichtig­sten Neuerun­gen in ein­er Über­sicht herausgearbeitet:

 

Erlaubt ist, was erforderlich ist

Zuläs­sig ist die erforder­liche Daten­ver­ar­beitung zur Begrün­dung, Durch­führung und Beendi­gung eines Arbeitsver­hält­niss­es oder zur Wahrung berechtigter Inter­essen, sofern nicht die Inter­essen des Betrof­fe­nen über­wiegen. Konkret heißt das: Aus Sicht der Daten­schützer ist der Kor­ri­dor eng. So darf sich der Per­sonal­dien­stleis­ter etwa nur dann die öffentlichen Angaben eines Kan­di­dat­en in einem sozialen Net­zw­erk anschauen und diese in sein Recruit­ment ein­beziehen, wenn er darauf in sein­er Stel­lenanzeige hingewiesen hat und wenn es im Hin­blick auf die aus­geschriebene Stelle spez­i­fis­che Risiken gibt, die dadurch voraus­sichtlich aufgek­lärt wer­den kön­nen. Außer­dem dür­fen Dat­en aus elek­tro­n­is­chen Türschlössern nicht zur Leis­tungskon­trolle ver­wen­det wer­den. Und Fir­men sollen für ihre Beschäftigten Spiel­räume für die pri­vate Nutzung von IT-Ressourcen schaf­fen, die nicht unter das IT-Mon­i­tor­ing der Unternehmen fall­en, z. B. durch die Bere­it­stel­lung von pri­vatem Spe­icher­platz oder eines pri­vat­en Kalen­ders, freiem WLAN oder dem guten alten
Internet-Rechner.

 

Einwiligung im Beschäftigungsverhältnis

Neu ist die Möglichkeit, Ein­willi­gun­gen im Arbeit­sum­feld sin­nvoll ein­set­zen zu kön­nen. Die jew­eilige Ein­willi­gung muss frei­willig erteilt wer­den. Frei­willigkeit kann ins­beson­dere dann vor­liegen, wenn dadurch für die beschäftigte Per­son ein rechtlich­er oder wirtschaftlich­er Vorteil erre­icht wird oder Arbeit­ge­ber und beschäftigte Per­son gle­ichge­lagerte Inter­essen ver­fol­gen. Als Beispiele nen­nt die Geset­zes­be­grün­dung die Ein­führung eines betrieblichen Gesund­heits­man­age­ments, die Erlaub­nis zur Pri­vat­nutzung von betrieblichen IT-Sys­te­men, die Nutzung von Fotos für das Intranet oder Geburt­stagslis­ten. Die Ein­willi­gung bedarf im Regelfall der Schriftform.

 

Dokumentieren und informieren

Die Beschäftigten sind umfassend über die Daten­ver­ar­beitung zu informieren – und dies auch dann, wenn sie zur Ver­trags­durch­führung erforder­lich ist. So wie bei Web­seit­en sollte jed­er Per­sonal­dien­stleis­ter zukün­ftig eine interne Daten­schutzerk­lärung haben, welche die Prozesse der Daten­ver­ar­beitung sowohl für Kan­di­dat­en als auch für Beschäftigte beschreibt. In der Erk­lärung muss dargestellt wer­den, wer welche Dat­en zu welchem Zweck und ggf. durch wen auf welch­er Rechts­grund­lage wie lange ver­ar­beit­et. Zusät­zlich ist auf beste­hende Rechte zur Löschung, Berich­ti­gung, Ein­schränkung oder all­ge­mein zur Beschw­erde hinzuweisen. Alle Infor­ma­tio­nen müssen in präzis­er, trans­par­enter, ver­ständlich­er und leicht zugänglich­er Form in ein­er klaren und ein­fachen Sprache über­mit­telt wer­den. Die Erk­lärung ist dem Betrof­fe­nen zum Zeit­punkt der Erhe­bung zugänglich zu machen. Wer beispiel­sweise Jobs im Inter­net anbi­etet, sollte die Erk­lärung auch unmit­tel­bar dort platzieren.

 

IT-Sicherheit

Der Ver­ant­wortliche muss unter Berück­sich­ti­gung des Stands der Tech­nik die Ver­traulichkeit, Integrität, Ver­füg­barkeit und Belast­barkeit sein­er Sys­teme sich­er­stellen. Das Schutzniveau ist entsprechend anzuheben. Und natür­lich sind die Maß­nah­men nach den Kri­te­rien der DSGVO zu doku­men­tieren. Bei hohem Risiko, z. B. bei Track­ing oder der Möglichkeit zur Fern­löschung von mobilen Geräten, ist eine Daten­schutz-Fol­gen­ab­schätzung erforderlich.

 

Recht auf Datenübertragbarkeit

Der Beschäftigte hat das Recht, die von ihm bere­it gestell­ten und ihn betr­e­f­fend­en Dat­en in einem struk­turi­erten, gängi­gen und maschi­nen­les­baren For­mat zu erhal­ten. Insoweit wird der Betrof­fene vielle­icht ver­lan­gen kön­nen, dass seine Dat­en von einem Per­sonal­dien­stleis­ter an den näch­sten weit­ergegeben werden.

 

Verschärfte Sanktionen

Eine wesentliche Änderung liegt in der drastis­chen Erhöhung der vorge­se­henen Bußgelder. Es kön­nen unter der DSGVO Strafen bis zu 20 Mil­lion Euro bzw. 4 % des Vor­jahre­sum­satzes fäl­lig wer­den. Den Betrof­fe­nen sind materielle und imma­terielle Schä­den zu ersetzen.

Bern­hard Kloos