Читать книгу Das 1x1 des Bauhofs - Inga Dora Meyer, Christian Borzym - Страница 15
ОглавлениеDatenschutz im Arbeitsverhältnis
Das Datenschutzrecht im Rahmen des Arbeitsverhältnisses will den Arbeitnehmer vor missbräuchlicher Verwendung seiner Daten durch den Arbeitgeber und Dritte schützen. Zweck des gesamten Datenschutzrechts, das auch den Schutz der Daten im Arbeitsverhältnis umfasst, ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem grundgesetzlich geschützten allgemeinen Persönlichkeitsrecht beeinträchtigt wird.
Verschärfung des Datenschutzes seit dem 25.05.2018
Seit dem 25.05.2018 gelten mit der neuen, auf europäischer Ebene erlassenen Datenschutzgrundverordnung (nachfolgend DSGVO) und dem zu diesem Datum reformierten deutschen Datenschutzgesetz (nachfolgend BDSG (neu)) verschärfte Datenschutzregelungen. Mit den neuen Datenschutzregeln sollte sich jeder für den Datenschutz Verantwortliche allein aufgrund der hohen Strafandrohungen unbedingt befassen. Denn während das bisherige Bundesdatenschutzgesetz Geldbußen von bis zu 300.000 Euro vorsieht, hat die DSGVO künftige Bußgelder kräftig erhöht. Sie können auf bis zu 4 % des globalen Umsatzes eines Unternehmens festgesetzt werden. In Bezug auf an Datenschutzverstößen beteiligte natürlichen Personen, die für den Datenschutz im Betrieb oder Unternehmen verantwortlich sind (in den Gesetzesvorschriften als verantwortliche Personen oder auch Verantwortliche bezeichnet), können Bußgelder bis zu 10 Mio. Euro oder bis zu 20 Mio. Euro festgesetzt werden.
Für die für den Datenschutz verantwortlichen Personen ist dies Grund genug, sich mit den neuen Datenschutzvorschriften vertraut zu machen. Aber vor dem Hintergrund der neuen, verschärften Gesetzesvorschriften ist es für alle, die mit schützenswerten Daten in Kontakt kommen, sinnvoll, sich mit den nun erlassenen Regelungen zu befassen. Dieser Beitrag kann dabei nur einen ersten Überblick über die umfangreichen Neuregelungen der DSGVO und des BDSG (neu) geben. Die beiden neuen Datenschutzregelungen weisen den sog. Verantwortlichen, im Wesentlichen dem Arbeitgeber und dem Datenschutzbeauftragten, die Verantwortung zu.
Beginn des Datenschutzes
Zunächst ist zu fragen, was unter Datenverarbeitung i. S. d. DSGVO bzw. des BDSG (neu) zu verstehen ist. Unter Datenverarbeitung wird nicht nur die ganz bzw. teilweise automatisierte Verarbeitung personenbezogener Daten (z. B. durch Computer) verstanden. Es genügt für die Anwendbarkeit der Datenschutzvorschriften auch eine nicht-automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert werden oder die in einer solchen Datei gespeichert werden sollen. Hierfür genügen z. B. auch Karteikarten, mit deren Hilfe im Rahmen eines geordneten Systems personenbezogene Daten gesammelt werden. Ferner gelten die vorgenannten Datenschutzbestimmungen mithin auch, wenn Personalakten nicht automatisiert geführt werden, sondern noch in Papierform. Wichtig ist auch daran zu denken, dass Datenschutzvorschriften bereits vor Beginn des Arbeitsverhältnisses gelten, z. B. im Rahmen von Bewerbungsverfahren. Unter Beachtung des Vorbenannten sind mithin auch Daten von Bewerbern, die mittels automatisierter Verfahren als auch solche, die ohne technische Hilfsmittel, z. B. im Rahmen des Vorstellungsgesprächs lediglich in Papierform, erhoben und sodann systematisch geordnet, erfasst werden, für den Datenschutz relevant.
Pflicht zum Nachweis des Beachtens der Datenschutzvorschriften
Wichtig ist, dass die DSGVO den Betrieben bzw. Unternehmen auferlegt, stets nachweisen zu können, die Datenschutzvorschriften zu erfüllen. Dies bedeutet für die Datenschutzverantwortlichen, dass sie nicht nur die Umsetzung der Datenschutzvorschriften sicherstellen müssen, sondern stets in der Lage sein müssen, diese Umsetzung durch Vorlage entsprechender Beweise den zuständigen Behörden und Betroffenen jederzeit nachweisen zu können. Es wird im Übrigen erwartet, dass in den Betrieben oder Dienststellen vorhandene Betriebs- bzw. Personalräte von ihren Auskunftsrechten (beim Betriebsrat z. B. gem. § 80 Abs. 2 BetrVG) Gebrauch machen und entsprechende Nachweise zum Datenschutz anfordern werden. Außerdem wird erwartet, dass Arbeitsgerichte zukünftig bei solchen Fallgestaltungen, bei denen geschützte Daten im Rahmen von Arbeitsgerichtsprozessen zur Unterstützung der Argumentation des Arbeitgebers herangezogen werden, vom Arbeitgeber den Nachweis datenschutzgerechter Erhebung dieser Daten verlangen. Kann der Arbeitgeber diesen Nachweis nicht führen, riskiert er, mit diesem Vortrag mangels Nachweises datenschutzkonformer Erhebung zurückgewiesen zu werden. Der Arbeitgeber kann sodann entsprechende Beweise nicht führen.
Besondere Regelungen zum Datenschutz im Arbeitsverhältnis
Die DSGVO wurde auf europäischer Ebene erlassen. Sie gilt nicht nur für die gesamte EU, sondern auch für Unternehmen oder Personen in anderen Staaten, wenn diese in der EU Waren oder Dienstleistungen anbieten bzw. andere Tätigkeiten ausüben, die datenschutzrelevant sind. Seit dem 25.05.2018 verdrängt die DSGVO die Datenschutzgesetze der einzelnen Mitgliedstaaten der EU, sofern diese mit der DSGVO nicht vereinbar sind bzw. gleiche Sachverhalte regeln. Von diesem Vorrang der Datenschutz-Grundverordnung gibt es Ausnahmen. Dies insbesondere für Arbeitsverhältnisse. So erlaubt Art. 88 DSGVO den jeweiligen Mitgliedstaaten, Datenverarbeitung im Zusammenhang mit Beschäftigungs-/Arbeitsverhältnissen durch nationale Rechtsvorschriften näher auszugestalten. Die Bundesrepublik Deutschland hat von dieser Möglichkeit, den Datenschutz im Rahmen von Beschäftigungs-/Arbeitsverhältnissen (nachfolgend nur noch Beschäftigungsverhältnisse) zu regeln, Gebrauch gemacht. In dem neuen deutschen Bundesdatenschutzgesetz, welches seit dem 25.05.2018 gilt, sind entsprechende Regelungen für den Datenschutz im Rahmen eines Beschäftigungsverhältnisses durch § 26 BDSG (neu) aufgenommen worden.
| Hinweis |
| Verarbeitung personenbezogener Daten nur bei Vorliegen eines Erlaubnistatbestands zulässig. |
Bevor auf die Einzelheiten der Datenverarbeitung im Rahmen eines Arbeitsverhältnisses durch Art. 88 DSGVO und § 26 BDSG (neu) eingegangen wird, ist zunächst zu fragen, wann die Verarbeitung personenbezogener Daten grundsätzlich überhaupt zulässig ist.
Wie bereits das bisherige Bundesdatenschutzgesetz verbieten sowohl die DSGVO als auch das neue Bundesdatenschutzgesetz im Grundsatz zunächst jede Verarbeitung personenbezogener Daten. Nur dann, wenn die Verarbeitung solcher personenbezogener Daten ausdrücklich auf einen sog. Erlaubnistatbestand der DSGVO gestützt werden kann, ist die Verarbeitung solcher Daten zulässig. Die DSGVO nennt vier verschiedene Gründe, aufgrund derer die Verarbeitung von personenbezogenen Daten zulässig ist. Diese vier Gründe (juristisch: Erlaubnistatbestände) lauten wie folgt:
| • | Der Betroffene hat in die Verarbeitung seiner personenbezogenen Daten ausdrücklich eingewilligt. |
| • | Die Datenverarbeitung dient zur Durchführung oder Erfüllung eines Vertrags. |
| • | Die Datenverarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung notwendig. |
| • | Die Datenverarbeitung dient der Wahrung berechtigter Interessen. |
Wie vorstehend erwähnt, lässt § 26 BDSG (neu) im Rahmen von Beschäftigungsverhältnissen die Verarbeitung personenbezogener Daten in vielen Fallgestaltungen zu. Dort, wo eine Datenverarbeitung nicht bereits aufgrund der Gesetzesvorschrift des § 26 BDSG (neu) möglich ist, kann der Arbeitgeber versuchen, eine entsprechende Einwilligung des Arbeitnehmers zur Datenverarbeitung zu erlangen. Außerdem kann durch den Abschluss entsprechender Betriebs- oder Dienstvereinbarungen mit dem Betriebs- bzw. Personalrat versucht werden, einen Teil der datenschutzrelevanten Regelungen betriebseinheitlich mit den Arbeitnehmervertretungen zu regeln. Im Einzelnen:
Gesetzlicher Erlaubnistatbestand zur Datenverarbeitung im Arbeitsverhältnis des § 26 BDSG (neu)
Wie vorstehend erwähnt, eröffnet § 26 Abs. 1 BDSG (neu) dem Arbeitgeber bereits einen weiten Erlaubnistatbestand, um Daten im Rahmen eines Beschäftigungsverhältnisses verarbeiten zu dürfen. Danach dürfen personenbezogene Daten von Beschäftigten für die Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach dessen Begründung für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Beispiele:
Im Rahmen von Bewerbungsverfahren dürfen Daten der Bewerber der Bewerbungsunterlagen grundsätzlich gespeichert werden. Im Rahmen von Bewerberfragebögen dürfen dadurch ermittelte Daten gespeichert werden, sofern die Daten zulässig erhoben wurden. Unzulässig werden Daten im Rahmen von Bewerbungsverfahren erhoben, wenn hiernach nicht gefragt werden darf (z. B. geschlechts-/altersdiskriminierende Frage nach Familienplanung, Alter).
Nach Beendigung des Bewerbungsverfahrens dürfen die Bewerberdaten nicht unbegrenzt gespeichert werden, sondern sind zu löschen, sobald sie nicht mehr benötigt werden. Diskutiert wird derzeit eine Speicherdauer nach Abschluss des Bewerberverfahrens von längstens sechs Monaten.
Während des Arbeitsverhältnisses dürfen die Daten der Arbeitnehmer gespeichert werden, die für die Durchführung des Arbeitsverhältnisses, seiner Abrechnung, Abführung der Sozialversicherungsbeiträge notwendig sind.
Nach der Beendigung des Arbeitsverhältnisses dürfen Daten der Arbeitnehmer weiter gespeichert werden, sofern der Arbeitgeber ein berechtigtes Bedürfnis für die Speicherung hat (z. B., wenn er die Daten für die Gewährung der betrieblichen Altersversorgung benötigt).
Besondere Kategorien personenbezogener Daten
§ 26 Abs. 3 BDSG (neu) gestattet dem Arbeitgeber auch grundsätzlich die Verarbeitung besonderer Kategorien personenbezogener Daten. Solche besonderen Kategorien personenbezogener Daten sind in Art. 9 DSGVO benannt. Es handelt sich dabei um besonders sensible Daten, die einem besonderen Datenschutz obliegen. Zu diesen besonders geschützten personenbezogenen Daten gehören die rassistische und ethnische Herkunft, die politische Meinung, die religiöse oder weltanschauliche Überzeugung und die Gewerkschaftszugehörigkeit. Ferner unterfällt die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung diesem besonderen Schutz.
§ 26 Abs. 3 BDSG (neu) erlaubt die Verarbeitung solcher besonderen Kategorien personenbezogener Daten grundsätzlich auch im Rahmen eines Beschäftigungsverhältnisses, macht allerdings Einschränkungen bzw. gibt dem Arbeitgeber weitere Prüfungen auf. Denn § 26 Abs. 3 BDSG (neu) lässt die Verarbeitung solcher besonderen Kategorien personenbezogener Daten zwar auch dann zu, wenn dies zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist. Grundsätzlich ist die Verarbeitung dieser sensiblen Daten im Rahmen eines Beschäftigungsverhältnisses aufgrund § 26 Abs. 3 BDSG (neu) mithin zulässig, sofern dies aufgrund der arbeits- bzw. sozialrechtlichen Vorschriften notwendig ist. Darüber hinaus verlangt § 26 Abs. 3 BDSG (neu) allerdings, dass kein Grund zu der Annahme bestehen dürfe, dass schutzwürdige Interessen der betreffenden Personen an dem Ausschluss der Verarbeitung überwiegen.
Dies bedeutet, der Arbeitgeber muss bei diesen besonders sensiblen Daten vor einer Verarbeitung abwägen, ob schutzwürdige Interessen der betreffenden Person dem Interesse des Arbeitgebers an der Verarbeitung solcher Daten überwiegen. Sollte das der Fall sein, darf der Arbeitgeber sie nicht verarbeiten. Wann im Einzelfall ein solch schutzwürdiges Arbeitnehmerinteresse überwiegen soll, lässt das Gesetz offen. Da der Arbeitgeber auf der einen Seite die gesetzlichen Regelungen beachten muss und insoweit zur Datenverarbeitung auch dieser sensiblen Daten berechtigt ist und auf der anderen Seite diese wenig konkrete Gesetzesvorschrift in Ausnahmefällen eine Datenverarbeitung verbietet, wird gerade vor dem Hintergrund der hohen Strafandrohungen bei Datenschutzverstößen angeraten, im Zweifelsfall die zuständige Datenschutzbehörde vorab bei der Entscheidung mit einzubeziehen und ggf. mit dieser in Zusammenarbeit zu entscheiden, ob berechtigte Interessen eines Arbeitnehmers im Einzelfall der Datenverarbeitung dieser besonders sensiblen Daten entgegenstehen.
Beispiele für die Speicherung besonderer Kategorien personenbezogener Daten:
Werden Gesundheitsdaten des Arbeitnehmers etwa im Rahmen eines betrieblichen Eingliederungsmanagements erhoben, nachdem der Arbeitnehmer zuvor häufig erkrankt war, handelt es sich um besondere Kategorien personenbezogener Daten. Diese Daten müssen sodann besonders aufbewahrt werden, sodass nur ein beschränkter, unbedingt notwendiger und besonders autorisierter Personenkreis von ihnen Kenntnis nehmen kann und Unberechtigte auch nicht zufällig von ihnen Kenntnis erlangen können.
Einwilligung
Ist die Datenverarbeitung im Arbeitsverhältnis nicht bereits aufgrund von Art. 88 DSGVO bzw. § 26 BDSG (neu) zulässig, kann aufgrund einer eindeutigen Einwilligung des Arbeitnehmers in die Verarbeitung seiner personenbezogenen Daten ein Erlaubnistatbestand geschaffen werden, um die Daten zulässig verarbeiten zu können. Um als Grundlage für die Zulässigkeit der Datenverarbeitung zu genügen, muss diese Einwilligung einen bestimmten Inhalt und eine bestimmte Form haben.
Grundsätzlich wird die schriftliche Einwilligung des betroffenen Arbeitnehmers gefordert. Ferner muss der Arbeitgeber den Arbeitnehmer über den Zweck der Datenverarbeitung hinreichend deutlich und verständlich in Textform unterrichten.
Außerdem muss der Arbeitgeber den Arbeitnehmer darauf hinweisen, dass diese Einwilligung jederzeit widerruflich ist. Dieser Widerruf muss ebenso leicht möglich sein, wie die Abgabe der Einwilligung an sich. Für den Widerruf genügt grundsätzlich die Textform (z. B. E-Mail, Telefax). Das heißt, der Arbeitnehmer muss dem Arbeitgeber den Widerruf nicht zwingend persönlich in Form eines eigenhändig unterzeichneten Schreibens überbringen.
Wichtig ist, dass die Einwilligung freiwillig durch den Arbeitnehmer erteilt wird. Im Rahmen von Arbeitsverhältnissen wird immer wieder diskutiert, ob die Einwilligung eines Arbeitnehmers in seine Datenverarbeitung aufgrund des Abhängigkeitsverhältnisses zwischen ihm und seinem Arbeitgeber überhaupt freiwillig erfolgen könne. Der Gesetzgeber hat diese Diskussion im neuen BDSG aufgenommen und definiert nun, eine Freiwilligkeit könne insbesondere dann vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und Arbeitnehmer gleichgelagerte Interessen verfolgen. Ungeklärt ist bislang, ob eine solche Einwilligungserklärung mithin auch noch erteilt werden kann, wenn der Arbeitnehmer durch sie keinen entsprechenden Vorteil erlangt oder keine mit dem Arbeitgeber gleichgelagerte Interessen verfolgt. Hier wird abzuwarten sein, wie die Datenschutzbehörden und die Rechtsprechung solche Fälle der Einwilligung hinsichtlich der Freiwilligkeit beurteilen werden. Dem Arbeitgeber ist in solchen Fällen anzuraten, besondere Gründe, die für eine Vorteilhaftigkeit oder zumindest eine gleichgelagerte Interessenverfolgung zugunsten des Arbeitnehmers sprechen, frühzeitig zu dokumentieren.
Wichtig ist für die praktische Umsetzung, dass eine solche Einwilligung deutlich für den Arbeitnehmer erkennbar ist. Es wird grundsätzlich davon abgeraten, eine solche datenschutzrechtliche Einwilligung im Arbeitsverhältnis im Arbeitsvertrag sogleich mit zu regeln. Denn dem Arbeitgeber könnte vorgehalten werden, der Arbeitnehmer könne nicht hinreichend deutlich und unmissverständlich erkennen, dass er in die Verarbeitung seiner personenbezogenen Daten einwilligt. Vorteilhafter ist es, die Einwilligung aus diesem Grund in einem gesonderten Schreiben einzuholen. Soll die Einwilligung dennoch sogleich im Arbeitsvertrag mit erfolgen, sollte sie unbedingt deutlich drucktechnisch hervorgehoben werden (z. B. durch Fettdruck, andere Farbwahl).
Sollen besondere Kategorien personenbezogener Daten erhoben werden (Definition siehe vorstehend), kann auch in soweit eine Einwilligung des Arbeitnehmers eingeholt werden. In dieser Einwilligung ist jedoch deutlich darauf hinzuweisen, dass es sich um besondere Kategorien personenbezogener Daten handelt. Weitere Hinweise gibt § 26 Abs. 3 BDSG (neu).
Hinweis auf Betroffenenrechte
Der Arbeitgeber muss nicht nur bei der Verarbeitung personenbezogener Daten Arbeitnehmerrechte beachten. Er muss im Fall von Datenverarbeitung seine Arbeitnehmer umfangreich über ihre Rechte in Bezug auf die eigenen Daten unterrichten.
Die Datenschutz-Grundverordnung sieht umfangreiche Betroffenenrechte vor, über die der Verantwortliche die betroffenen Personen gem. Art. 12 DSGVO zu unterrichten hat. Nach Art. 12 DSGVO müssen die von der Datenverarbeitung betroffenen Arbeitnehmer in
| • | präziser, |
| • | transparenter, |
| • | verständlicher und |
| • | leicht zugänglicher Form |
in einer klaren und einfachen Sprache über die in Art. 13 und Art. 14 DSGVO niedergelegten Informationen und über alle Mitteilungen gem. den Artikeln 15 bis 22 und Art. 34 DSGVO unterrichtet werden. Die wichtigsten Rechte, über die der Arbeitgeber bzw. jeder, der Daten verarbeitet, die betroffenen Personen (im Arbeitsverhältnis die Arbeitnehmer) zu unterrichten hat:
Art. 13 der DSGVO gibt dem Verantwortlichen auf, der betroffenen Person zum Zeitpunkt der Datenerhebung mitzuteilen
| • | den Namen und die Kontaktdaten des Verantwortlichen sowie ggf. (falls vorhanden) dessen Vertreters, |
| • | die Kontaktdaten des Datenschutzbeauftragten (sofern ein solcher bestellt wurde bzw. zu bestellen ist), |
| • | den Zweck, für den die personenbezogenen Daten verarbeitet werden sollen, |
| • | sowie die Rechtsgrundlage für die Verarbeitung, |
| • | ggf. die berechtigten Interessen, die der Verantwortliche oder ein Dritter an der Datenverarbeitung verfolgt, |
| • | den Empfänger oder die Kategorien von Empfängern der personenbezogenen Daten und ggf. die Absicht des Verantwortlichen, die personenbezogenen Daten in ein Drittland oder an eine internationale Organisation zu übermitteln. |
Ferner sind der betroffenen Person folgende Informationen mitzuteilen:
| • | die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer, |
| • | das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Wortverarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit, |
| • | die Verarbeitung auf Art. 6 Abs. 1 a oder Art. 9 Abs. 2 Buchstabe A der DSGVO beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung des Widerrufs erfolgten Verarbeitung berührt wird, |
| • | das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; |
| • | ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für ein Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen und welche möglichen Folgen die nicht Bereitstellung hätte und |
| • | bei Bestehen einer automatisierten Entscheidungsfindung einschließlich Profilings und aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffenen Personen. |
Art. 14 DSGVO sieht weitere der Arbeitnehmer bzw. betroffenen Person entsprechende Rechte vor, wenn die betreffenden personenbezogenen Daten nicht bei ihr selbst erhoben werden.
Art. 15 DSGVO sieht Auskunftsrechte der betroffenen Person vor. Hierzu gehört u. a. das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob betreffende personenbezogenen Daten über sie verarbeitet werden. Sollte dies der Fall sein, sieht Art. 15 umfangreiche Auskunftsrechte hinsichtlich der Verarbeitungszwecke usw. vor. Es wird insoweit wegen der Einzelheiten auf die Regelung des Art. 15 DSGVO verwiesen.
Recht auf Berichtigung unrichtiger Daten
Art. 16 DSGVO sieht das Recht vor, die Berichtigung unrichtiger personenbezogener Daten zu verlangen.
Art. 17 sieht ein Recht auf Löschung personenbezogener Daten vor. Dies wird auch als „Recht auf Vergessen werden“ bezeichnet. Nach Art. 17 DSGVO sind personenbezogene Daten unverzüglich zu löschen, wenn sie für die Zwecke, für die sie erhoben oder in sonstiger Weise verarbeitet wurden, nicht mehr notwendig sind, die betroffene Person ihre Einwilligung widerruft und auch ansonsten keine anderweitige Rechtsgrundlage für die Verarbeitung der Daten vorhanden ist. Außerdem hat die betroffene Person z. B. dann ein Löschungsrecht, wenn sie Widerspruch gegen die Verarbeitung ihrer Daten eingelegt hat und keine vorrangigen berechtigten Gründe für die Datenverarbeitung vorliegen – oder, wenn Daten unrechtmäßig verarbeitet wurden.
Wichtig ist in diesem Zusammenhang, darauf zu achten, dass z. B. nach Durchführung von Bewerbungsverfahren die Daten der Bewerber gelöscht werden, sobald hierfür kein Bedarf mehr besteht.
Pflicht zu Mitteilung
Art. 19 DSGVO sieht eine Mitteilungspflicht des Verantwortlichen im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung vor. Art. 20 DSGVO gibt den betroffenen Personen ein Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und hieraus folgernd das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen zu übermitteln.
Widerspruchsrecht
Art. 21 DSGVO sieht das im Rahmen der Einwilligung bereits besprochene Widerspruchsrecht vor. Art. 22 DSGVO sieht das Recht der betroffenen Person vor, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Mithin können Arbeitnehmer im Rahmen eines Arbeitsverhältnisses bei solchen Entscheidungen, die durch ein rein automatisiertes Verfahren herbeigeführt werden, eine individuelle Prüfung und Entscheidung verlangen.
Informationspflicht bei Datenschutzverstößen
Im Falle der Verletzung des Schutzes personenbezogener Daten ist der Verantwortliche verpflichtet, unverzüglich und möglichst binnen 72 Std., nachdem die Verletzung bekannt wurde, dies der zuständigen Aufsichtsbehörde zu melden. Eine Ausnahme besteht dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so hat der Verantwortliche die betroffenen Personen gem. Art. 34 DSGVO unverzüglich von der Verletzung zu benachrichtigen. Über dieses Recht hat der Arbeitgeber den Arbeitnehmer gemäß den vorstehenden Ausführungen zu unterrichten.
Umsetzung der Informationspflichten
Hinsichtlich dieser umfangreichen Informationspflichten über die Betroffenenrechte ist es i. d. R. für den Arbeitgeber sinnvoll, diese im Rahmen eines gesonderten Schriftstücks dem Arbeitnehmer mitzuteilen. Auch kann versucht werden, generelle Hinweise, z. B. auf den Verantwortlichen, den Datenschutzbeauftragten und deren Erreichbarkeit im Rahmen genereller Regelungen, z. B. über Betriebsvereinbarungen zu regeln und im Betrieb allgemein bekannt zu machen. Dies hat z. B. den Vorteil, nicht für jeden Einzelfall die entsprechenden Informationen einholen und im Überprüfungsfall nachweisen zu müssen.
