Am 25. Mai 2018 treten die Datenschutz-Grundverordnung (DS-GVO) und das geänderte Bundesdatenschutzgesetz (BDSG) in Kraft und bringen eine Verschärfung der datenschutzrechtlichen Verpflichtungen mit sich, auch im Arbeitsverhältnis.

Die Unternehmen sind zukünftig verpflichtet, die Einhaltung der DS-GVO zu dokumentieren und nachzuweisen. Das bringt vor allem umfangreiche Prüfungs- und Dokumentationspflichten mit sich. Bei Verstößen gegen die Datenschutzbestimmungen drohen hohe Bußgelder von bis zu 20 Millionen Euro.

So gut wie alle Unternehmen haben ein schriftliches oder elektronisches Verzeichnis von Verarbeitungstätigkeiten zu führen, in dem jede Art des Umgangs mit personenbezogenen Daten erfasst ist. Das gilt auch für Arbeitnehmerdaten. In bestimmten Fällen ist außerdem eine Datenschutz-Folgenabschätzung mit Auflistung möglicher Risiken und Abwendungsmaßnahmen vorzunehmen. Bei Datenpannen muss in jedem Fall die zuständige Aufsichtsbehörde unverzüglich informiert werden, im Einzelfall auch der Betroffene.

Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses ist zulässig, wenn dies für die Einstellungsentscheidung, die Durchführung oder die Beendigung des Beschäftigungsverhältnisses erforderlich ist. Gleiches gilt, wenn dies zur Erfüllung von Pflichten aus Gesetz, Tarifvertrag oder Betriebsvereinbarung erforderlich ist. Zur Aufdeckung von Straftaten ist die Datenverarbeitung nur erlaubt, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist, die Verhältnismäßigkeit gewahrt ist und keine schutzwürdigen Beschäftigteninteressen überwiegen.

Sofern die Verarbeitung personenbezogener Daten im Arbeitsverhältnis nicht durch diese Bestimmungen, insbesondere die Erforderlichkeit, abgedeckt ist, ist die schriftliche Einwilligung des Arbeitnehmers nötig. Einwilligungen müssen trotz der Abhängigkeit im Arbeitsverhältnis auf echter Freiwilligkeit beruhen, das ist z.B. der Fall, wenn der Arbeitnehmer dadurch einen Vorteil hat oder er insoweit gleichgelagerte Interessen wie der Arbeitgeber hat. Die Einwilligung muss auf einen bestimmten Fall bezogen und unmissverständlich sein. Sie ist jederzeit widerruflich. Der Arbeitnehmer muss über den Zweck der Datenverarbeitung und sein Widerrufsrecht aufgeklärt werden.

Auch Betriebsvereinbarungen können die Verarbeitung von Beschäftigtendaten erlauben. Bereits bestehende Betriebsvereinbarungen sind darauf zu überprüfen, ob sie den neuen Datenschutzregeln entsprechen und ausreichende Schutzmaßnahmen beinhalten.

Mit einem externen Dienstleister, der mit der Datenverarbeitung beauftragt wird, z.B. Lohnbüro, ist ein schriftlicher Vertrag über die Auftragsverarbeitung mit bestimmten vorgegebenen Eckpunkten abzuschließen.

Der Arbeitgeber muss nachweisen können, dass die Verarbeitung von personenbezogenen Daten rechtmäßig, zweckgebunden, nur im erforderlichen Maße, richtig sowie entsprechend gesichert durchgeführt wird. Dies kann neben lückenloser Dokumentation auch Schulungen der Beschäftigten erfordern.

Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn dort in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, wenn personenbezogene Daten geschäftsmäßig verarbeitet werden oder wenn die umfangreiche Verarbeitung besonderer Daten Hauptaufgabe des Unternehmens ist. Datenschutzbeauftragter kann entweder ein dafür qualifizierter Arbeitnehmer oder eine externe Person sein.

Personenbezogene Daten von Bewerbern dürfen nur dann verarbeitet werden, wenn dies für die Einstellungsentscheidung erforderlich ist. Bei Beendigung des Bewerbungsverfahrens sind Daten abgelehnter Bewerber zu löschen und Unterlagen zurückzuschicken, am besten aber erst nach 4 bis 6 Monaten. Auch Daten des ausgewählten Bewerbers, die für die Durchführung des Beschäftigungsverhältnisses nicht mehr benötigt werden, sind zu löschen, z.B. Schulzeugnisse und Praktikumsbescheinigungen.

Fragen an den Bewerber müssen Bezug zu dem Arbeitsplatz haben und sich auf das erforderliche Maß für die Einstellungsentscheidung beschränken. Die Einholung von Informationen auf frei zugänglichen Internetplattformen (Xing, LinkedIn, eigene Webseite des Bewerbers) erscheint zulässig, ist jedoch auf geschlossenen Plattformen mit gesondertem Benutzerzugang oder privaten Plattformen (Facebook, Instagram, Twitter) unzulässig.

Die bisher bekannte „Verpflichtung auf das Datengeheimnis“ ist nun auf alle Personen zu erstrecken, die Zugang zu personenbezogenen Daten haben. Das hierfür verwendete Formular ist an die neue Rechtslage anzupassen.

Für die Durchführung eines betrieblichen Eingliederungsmanagements (BEM) ist die Einwilligung des Arbeitnehmers erforderlich. Eine BEM-Akte ist separat von der Personalakte zu führen.

Für die Veröffentlichung von Mitarbeiterfotos z.B. im Internet ist die schriftliche Einwilligung unter Nennung des konkreten Verwendungszweckes unverzichtbar.

Heimliche Videoüberwachung von Mitarbeitern ist nur sehr eingeschränkt zulässig und kommt nur bei einem konkreten Verdacht einer Straftat gegen eine bestimmte Person in Betracht, sofern es keine milderen Mittel zur Aufklärung gibt. Die Gründe und die Vorgehensweise sind zu dokumentieren. Die Aufzeichnungen sind unverzüglich zu löschen, wenn sie für den Zweck nicht mehr notwendig sind.

Wenn der Zweck der Datenverarbeitung wegfällt, insbesondere bei Beendigung des Arbeitsverhältnisses, sind alle Daten unverzüglich zu löschen und Unterlagen zu vernichten, sofern nicht ausnahmsweise rechtliche Verpflichtungen, z.B. Aufbewahrungspflichten oder berechtigte Interessen zur Durchsetzung oder Abwehr von Rechtsansprüchen entgegenstehen.

Eine automatische Weiterleitung von E-Mails, die an den ausgeschiedenen Mitarbeiter gerichtet waren, sollte nicht erfolgen, sondern stattdessen zunächst eine andere Mail-Adresse mitgeteilt und nach ca. 6 Wochen das E-Mail-Konto gelöscht werden.