Die Datenschutzgrundverordnung im Arbeitsverhältnis
von Petra Ebeling,
Schon lange vor Inkrafttreten der Datenschutzgrundverordnung (DSGVO) war jeder Arbeitgeber zum Schutz der Daten der Bewerber und Mitarbeiter verpflichtet; bereits im alten Bundesdatenschutzgesetz (BDSG-alt) gab es eine entsprechende Vorschrift. Da aufgrund der Brisanz des Datenschutzthemas und der hohen Bußgeldvorschriften der DSGVO davon ausgegangen werden muss, dass die Aufsichtsbehörden auch auf den Arbeitnehmerdatenschutz ein besonderes Augenmerk legen werden, ist eine Überprüfung und Anpassung der internen Handhabe mit Bewerber- und Beschäftigtendaten unumgänglich.
Deutscher Drucker zeigt in der Folge 23 der Serie “Recht in der Druckbranche (DD 23/2018) die von jedem Arbeitgeber und Personaler im Berufsalltag zu beachtenden datenschutzrechtlichen Pflichten auf und stellt maßgebliche Vorschriften in Datenschutzgrundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG) vor. Die Redaktion print.de greift einige Themen aus diesem Artikel auf.
Anzeige
Personenbezogene Daten
Ob und wie personenbezogene Daten von Bewerbern und Mitarbeitern verarbeitet werden dürfen, wird seit dem 25. Mai 2018 an § 26 BDSG-neu gemessen. Demnach muss die Datenverarbeitung für die Entscheidung über die Begründung eines Arbeitsverhältnisses oder nach Begründung für dessen Durchführung erforderlich sein. Natürlich ist die Auswertung der Daten im Lebenslauf, die der Bewerber angibt, zur Entscheidung über die Begründung eines Arbeitsverhältnisses erforderlich. Ebenso natürlich sind die Anlage einer Personalakte, die Teilnahme am Zeiterfassungssystem, die Weitergabe der Daten an Sozialversicherungsträger und Steuerbehörden sowie die Korrespondenz mit der Krankenkasse zur Durchführung des Arbeitsverhältnisses erforderlich und gesetzlich legitimiert. Aber: Ist es erforderlich, von jedem Bewerber oder Mitarbeiter ein Führungszeugnis zu verlangen? Nein. Nur in Betrieben, die erhöhte Sicherheitsanforderungen erfüllen müssen oder wenn für die zu besetzende Stelle jegliches strafrechtliches Vorverhalten relevant ist, z.B. bei Datenschutzbeauftragten oder Compliance-Verantwortlichen, ist dies unabdingbar. In allen anderen Fällen ist die Anforderung des Führungszeugnisses nicht erforderlich im Sinn des BDSG-neu und damit nicht rechtmäßig.
Der Betriebsrat und die Beteiligungsrechte
Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt – das wurde in § 26 Abs. 6 BDSG-neu klargestellt. Bedeutet: Zur Ausübung seiner Mitbestimmungsrechte darf der Betriebsrat personenbezogene Daten der Mitarbeiter verarbeiten. Bisher wurde der Betriebsrat einerseits als ein vom Arbeitgeber unabhängiges Gremium gesehen, andererseits musste der Arbeitgeber sich ein datenschutzrechtliches Fehlverhalten des Betriebsrates zurechnen lassen. Das könnte sich ändern, denn: Nach der DSGVO ist ein „Verantwortlicher“ eine Stelle, die allein oder mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Richtigerweise entscheidet der Arbeitgeber gerade nicht darüber, wie der Betriebsrat mit personenbezogenen Daten der Mitarbeiter umgeht. Das lässt schließen, dass der Betriebsrat eigener Verantwortlicher sein soll, mit dem Ergebnis, dass dieser direkt von den Aufsichtsbehörden belangt werden kann, dass er einen eigenen Datenschutzbeauftragen benötigt und dass Mitarbeiter wegen Datenschutzverstößen gegen ihn vorgehen können. Eine klärende Entscheidung durch die Rechtsprechung bleibt abzuwarten. Bis dahin ist jedem Betriebsrat empfohlen, eigene Datensicherheitsmaßnahmen zu treffen sowie sich gegebenenfalls dem Datenschutzbeauftragten des Arbeitgebers zu unterwerfen. [5175]
Erfahren Sie mehr über “Die Datenschutzgrundverordnung im Arbeitsverhältnis” in Deutscher Drucker 23/2018, der im print.de-Shop zum Download bereit steht oder nutzen Sie auch gerne ein Abonnement von Deutscher Drucker, um immer auf dem neuesten Stand der Rechtslage zu sein. Hier geht es zu den Abo-Modellen.