Arbeitgeber müssen im Arbeitsvertrag auf den Datenschutz achten

Die neuen Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten werden im Art 1 Abs. 1 DSGVO beschrieben und regeln den freien Verkehr (Umgang) mit diesen schätzenswerten Daten.

Hinweise: https://www.datenschutz.org/arbeitsvertrag/#datenschutzklausel-im-arbeitsvertrag-als-unabdingbarer-bestandteil

Das Wichtigste zum Arbeitnehmerdatenschutz

  • Der Arbeitnehmerdatenschutz soll im Allgemeinen die Persönlichkeitsrechte, im Besonderen das Recht auf informationelle Selbstbestimmung der Arbeitnehmer vor Missbrauch bewahren.
  • Ein eigens errichtetes Arbeitnehmerdatenschutzgesetz gibt es nicht. Stattdessen finden dezentral einzelne Regelungen in unterschiedlichsten anderen Gesetzestexten wie dem Bundesdatenschutzgesetz  (BDSG), dem Telekommunikationsgesetz, der Bildschirmverordnung, dem Einkommensteuergesetz u. v. m.
  • Im Allgemeinen darf Ihr Arbeitgeber nur personenbezogene Daten zu Ihrer Person erheben, die für die Aufnahme, Beendigung oder Durchführung Ihres Beschäftigungsverhältnisses relevant sind.
  • Die heimliche Überwachung von Telekommunikation, Aktivitäten am PC oder die heimliche Videoüberwachung durch den Arbeitgeber sind regelmäßig nicht zulässig.

Merke:

Bestimme zu welcher Kategorie der Arbeitnehmer fällt. (gem. § 26 Abs. 8 BDSG-neu):

  • Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,
  • zu ihrer Berufsbildung Beschäftigte,
  • Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
  • in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
  • Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten,
  • Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
  • Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende

Zum Zeitpunkt der Erhebung der Daten muss ein Arbeitgeber seine Beschäftigten gem. Art. 13 DSGVO in alle im Artikel genannten Punkte informieren.  Die Art und Weise, der Information beschreibt Art. 12 DSGVO. Diese Informationen sollten als Anhang zum Arbeitsvertrag ausgegeben bzw. falls die Erhebung der Daten bereits früher stattfindet, sollten auch die Informationen zum Zeitpunkt der Erhebung herausgegeben werden.

  • Fragen sie bei ihrem Datenschutzbeauftragten ein Muster für das „Informationsschreiben für den Arbeitsvertrag“ an.

Beschäftigte sollten darüber hinaus auf das Datengeheimnis nach Art. 32 Abs. 1 lit. b) 2. Var. DSGVO verpflichtet werden. In diesem Zusammenhang ist darauf zu achten, eine Verpflichtungserklärung zu verwenden, die alle anzugebenden Informationen enthält. Die Verpflichtungserklärung auf das Datengeheimnis muss von den Beschäftigten gegengezeichnet werden. Diese Erklärung sollte sich ebenfalls im Anhang des Arbeitsvertrages befinden.

  • Fragen sie bei ihrem Datenschutzbeauftragten ein Muster für die „Verpflichtungserklärung auf das Datengeheimnis“ an.
  • Arbeitgeber müssen bei der Verarbeitung der Daten die Grundsätze der Datenverarbeitung gem. Art. 5 DSGVO beachten:
    • Personenbezogene Daten müssen rechtmäßig, nach Treu und Glauben und transparent verarbeitet werden, Art. 5 Abs. 1 lit. a) DSGVO.
    • Der Grundsatz der Zweckbindung gem. Art. 5 Abs. 1 lit .b) DSGVO muss eingehalten werden.
    • Außerdem muss bei der Verarbeitung von personenbezogenen Daten der Grundsatz der Datenminimierung bzw. der Datensparsamkeit eingehalten werden, Art. 5 Abs. 1 lit. c) DSGVO.
    • Personenbezogene Daten müssen gerne richtig verarbeitet werden, also dem Grundsatz der Richtigkeit genügen, Art. 5 Abs. 1 lit. d) DSGVO.
    • Auch der Grundsatz der Speicherbegrenzung spielt im Beschäftigtendatenschutz eine wichtige Rolle und muss eingehalten werden, vgl. Art. 5 Abs. 1 lit. e) DSGVO
    • Darüber hinaus müssen personenbezogene Daten in einer Weise verarbeitet werden, die den Grundsätzen der Integrität und Vertraulichkeit entspricht, Art. 5 Abs. 1 lit f.) DSGVO.
  • Richtlinien, z.B. bezüglich der Nutzung der IT und des Internets des Betriebes, sollten erstellt und von den Mitarbeitern gegengezeichnet werden

Arbeitgeber müssen dafür sorgen, dass für Verarbeitungen von personenbezogenen, für die keine gesetzliche Grundlage existiert, eine informierte Einwilligung nach den Vorgaben der DSGVO erstellt und den betroffenen Mitarbeitern übergeben werden. Eine gesetzliche Grundlage für die Verarbeitung von personenbezogenen Daten existiert z.B. in § 26 Abs. 1 und Abs. 3 BDSG-neu. Allerdings muss genau geprüft werden, ob diese Rechtsgrundlage für die beabsichtigte Verarbeitung ausreichen. Andernfalls ist eine Einwilligungserklärung erforderlich Die Mitarbeiter können, müssen die Einwilligungserklärung aber nicht unterzeichnen, da eines der zentralen Merkmale einer Einwilligung stets die Freiwilligkeit ist, die speziell im Beschäftigungsverhältnis eine besondere Bedeutung besitzt, vgl. Art. 7, 9, 88 DSGVO, § 26 Abs. 2, Abs. 3 BDSG-neu. Wenn die Einwilligung nicht erteilt wird, darf die beabsichtigte Verarbeitung nicht stattfinden. Anbei finden Sie eine Muster-Datenschutzerklärung, die allerdings stets auf den Einzelfall angepasst und ggfs. erweitert werden muss. Wichtig ist, dass die Einwilligungserklärung alle erforderlichen Informationen nach Art. 7, 8, 12 ff DSGVO enthält und insbesondere einen Hinweis auf die Möglichkeit eines Widerrufs enthält.

  • Fragen sie bei Ihren Datenschutzbeauftragten nach einen Muster für die „Einwilligungserklärung„.

datenschutzrechtlichen Einwilligungserklärung 

  • Sind Speicherung, Nutzung und Verarbeitung personenbezogener Daten nicht aufgrund einer gesetzlichen Grundlage gestattet oder geboten, ist dies nur bei Einwilligung des Betroffenen zulässig.
  • Die Einwilligungserklärung muss dabei grundsätzlich eindeutig als solche erkennbar sein und muss neben dem Hinweis auf den jeweiligen Verwendungszweck auch die Rechte des Betroffenen auf Löschung, Auskunft und Widerspruch aufführen.
  • Fehlt die Einwilligung des Betroffenen in einem solchen Falle und die Daten werden dennoch unzulässigerweise erhoben, so handelt es sich um einen Datenschutzverstoß.

Ausgenommen von der Erfordernis einer Einwilligungserklärung sind grundsätzlich alle personenbezogenen Daten, die für Aufnahme, Durchführung oder Beendigung eines Arbeitsverhältnisses notwendig sind. Es bedarf oft einer in einem Arbeitsvertrag enthaltenen Datenschutzklausel, die die Zustimmung des Betroffenen herstellt, wenn es um die Speicherung von Personendaten wie Name, Vorname, Geburtsdatum, Rentenversicherungsnummer, Krankenversicherungsscheinnummer und Bankverbindung geht. Diese Daten sind unerlässlich für die Vertragsausübung.

Werden Dienstleister für die Verarbeitung von personenbezogenen Daten eingesetzt, muss geprüft werden, ob eine Auftragsverarbeitung i.S.d. Art. 28 DSGVO vorliegt. Für den Fall der Einschlägigkeit müssen entsprechende Auftragsverarbeitungsverträge mit den Auftragsverarbeitern vereinbart. Der Inhalt dieser Verträge muss die Vorgaben von Art. 28 DSGVO berücksichtigen. Mitarbeiter müssen bezüglich der datenschutzrechtlichen Pflichten geschult werden, vgl. Art. 39 Abs. 1 lit. b) letzte Variante DSGVO. Ein Verfahren für die rechtskonforme Bearbeitung von Betroffenenrechten nach Art. 15 bis Art. 23 DSGVO, insbesondere wenn diese von aktuellen oder ehemaligen Mitarbeitern geltend gemacht werden, muss ebenfalls von dem Arbeitgeber mit der Hilfe des Datenschutzbeauftragten erarbeitet und mit in die Unternehmensprozesse aufgenommen werden

Die Verarbeitungen von betroffenen Personen müssen in das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach den Vorgaben des Art. 30 DSGVO aufgenommen werden.

Darüber hinaus müssen alle nach Art. 32 DSGVO vorgeschriebenen technisch-organisatorischen Maßnahmen im Bereich der Verarbeitung von  Beschäftigtendaten etabliert werden.

Weitere datenschutzrechtliche Pflichten nennt Ihnen ihr Datenschutzbeauftragter nach einer ausführlichen Bestandsaufnahme hinsichtlich der Verarbeitung von personenbezogenen Daten Ihrer Beschäftigten. Zu berücksichtigen ist stets die Nachweispflicht in Art. 5 Abs. 2 DSGVO: Für die Nachweisbarkeit der Einhaltung des Datenschutzes ist der Arbeitgeber verantwortlich.

  • Fragen sie bei Ihrem Datenschutzbeauftragten nach einem „Muster für die Auftragsdatenvereinbarung“

Datenschutz-Konsequenzen (Bußgelder):

Ein Verstoß des Arbeitgebers gegen den Datenschutz kann schwerwiegende Folgen haben. Gem. 83 Abs. 4 lit. a) DSGVO drohen bei einem Verstoß gegen die hier genannten Vorgaben Geldbußen von bis zu 10 Millionen Euro allerdings maximal 2 % des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres des Unternehmens.

Bei einem Verstoß gegen die in Art. 83 Abs. 5 lit. a) und b) DSGVO genannten Vorschriften drohen sogar Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist.

Categories:

Tags:

No responses yet

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.