27. Juli 2017
Der neue Datenschutz für Beschäftigte
Die neuen Regeln der europäischen Datenschutz-Grundverordnung (DSGVO) gelten in Deutschland zusammen mit einem neuen Bundesdatenschutzgesetz ab dem 25. Mai 2018. Dies wirkt sich auch auf die Personaldienstleistungsbranche aus. Wir haben für Sie die wichtigsten Neuerungen in einer Übersicht herausgearbeitet:
Erlaubt ist, was erforderlich ist
Zulässig ist die erforderliche Datenverarbeitung zur Begründung, Durchführung und Beendigung eines Arbeitsverhältnisses oder zur Wahrung berechtigter Interessen, sofern nicht die Interessen des Betroffenen überwiegen. Konkret heißt das: Aus Sicht der Datenschützer ist der Korridor eng. So darf sich der Personaldienstleister etwa nur dann die öffentlichen Angaben eines Kandidaten in einem sozialen Netzwerk anschauen und diese in sein Recruitment einbeziehen, wenn er darauf in seiner Stellenanzeige hingewiesen hat und wenn es im Hinblick auf die ausgeschriebene Stelle spezifische Risiken gibt, die dadurch voraussichtlich aufgeklärt werden können. Außerdem dürfen Daten aus elektronischen Türschlössern nicht zur Leistungskontrolle verwendet werden. Und Firmen sollen für ihre Beschäftigten Spielräume für die private Nutzung von IT-Ressourcen schaffen, die nicht unter das IT-Monitoring der Unternehmen fallen, z. B. durch die Bereitstellung von privatem Speicherplatz oder eines privaten Kalenders, freiem WLAN oder dem guten alten
Internet-Rechner.
Einwiligung im Beschäftigungsverhältnis
Neu ist die Möglichkeit, Einwilligungen im Arbeitsumfeld sinnvoll einsetzen zu können. Die jeweilige Einwilligung muss freiwillig erteilt werden. Freiwilligkeit kann insbesondere dann vorliegen, wenn dadurch für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Als Beispiele nennt die Gesetzesbegründung die Einführung eines betrieblichen Gesundheitsmanagements, die Erlaubnis zur Privatnutzung von betrieblichen IT-Systemen, die Nutzung von Fotos für das Intranet oder Geburtstagslisten. Die Einwilligung bedarf im Regelfall der Schriftform.
Dokumentieren und informieren
Die Beschäftigten sind umfassend über die Datenverarbeitung zu informieren – und dies auch dann, wenn sie zur Vertragsdurchführung erforderlich ist. So wie bei Webseiten sollte jeder Personaldienstleister zukünftig eine interne Datenschutzerklärung haben, welche die Prozesse der Datenverarbeitung sowohl für Kandidaten als auch für Beschäftigte beschreibt. In der Erklärung muss dargestellt werden, wer welche Daten zu welchem Zweck und ggf. durch wen auf welcher Rechtsgrundlage wie lange verarbeitet. Zusätzlich ist auf bestehende Rechte zur Löschung, Berichtigung, Einschränkung oder allgemein zur Beschwerde hinzuweisen. Alle Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden. Die Erklärung ist dem Betroffenen zum Zeitpunkt der Erhebung zugänglich zu machen. Wer beispielsweise Jobs im Internet anbietet, sollte die Erklärung auch unmittelbar dort platzieren.
IT-Sicherheit
Der Verantwortliche muss unter Berücksichtigung des Stands der Technik die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit seiner Systeme sicherstellen. Das Schutzniveau ist entsprechend anzuheben. Und natürlich sind die Maßnahmen nach den Kriterien der DSGVO zu dokumentieren. Bei hohem Risiko, z. B. bei Tracking oder der Möglichkeit zur Fernlöschung von mobilen Geräten, ist eine Datenschutz-Folgenabschätzung erforderlich.
Recht auf Datenübertragbarkeit
Der Beschäftigte hat das Recht, die von ihm bereit gestellten und ihn betreffenden Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Insoweit wird der Betroffene vielleicht verlangen können, dass seine Daten von einem Personaldienstleister an den nächsten weitergegeben werden.
Verschärfte Sanktionen
Eine wesentliche Änderung liegt in der drastischen Erhöhung der vorgesehenen Bußgelder. Es können unter der DSGVO Strafen bis zu 20 Million Euro bzw. 4 % des Vorjahresumsatzes fällig werden. Den Betroffenen sind materielle und immaterielle Schäden zu ersetzen.
Bernhard Kloos