Die Anwendung der EU-Datenschutz-Grundverordnung (DSGVO) nimmt bei den nationalen Datenschutzbehörden weiter Fahrt auf: Erste Bußgelder wurden sowohl in Deutschland als auch im Ausland verhängt. Jüngst hat es in Frankreich den „dicken Fisch“ Google mit einer Geldbuße von 50 Millionen Euro getroffen. Hierzulande ermitteln Datenschutzbehörden auch bei „kleineren Fischen“, wenn eine Anzeige vorliegt. Solche Anzeigen kommen durchaus mal von „enttäuschten“ Arbeitnehmern, die die angebliche Missachtung von DSGVO-Vorgaben beim Mitarbeiterdatenschutz anprangern. Vereinzelt machen Arbeitnehmer gar Schadensersatzansprüche gegen ihren (ehemaligen) Arbeitgeber geltend. Wie sollten sich Vorstände, Geschäftsführer oder sonstige Unternehmensverantwortliche aufstellen?
1. DSGVO als kontinuierliches Risk Management
In vielen Unternehmen ist bekannt: Datenschutz-Compliance ist (derzeit) in wesentlichen Teilen Risk Management. Das bedeutet, dass im „ersten Aufschlag“ das Ziel nicht darin besteht, in jeder Hinsicht sämtliche Vorgaben der DSGVO zu erfüllen. Hierfür reichen die in Unternehmen vorhandenen personellen und finanziellen Ressourcen meist nicht aus. Vielmehr ist das Ziel, zunächst diejenigen Vorgaben der DSGVO zu erfüllen, die der Vermeidung finanzieller Risiken in Form von drohenden Bußgeldern oder Schadensersatzzahlungen dienen. Die Angriffsfläche diesbezüglich soll klein gehalten werden.
Dieser Ansatz liegt im ureigenen Interesse der in Unternehmen tätigen Datenschutz-Verantwortlichen. Denn je besser das Unternehmen mit Blick auf potenzielle datenschutzbehördliche Ermittlungen und Schadensersatzansprüche aufgestellt ist, desto weniger kann den Verantwortlichen persönlich vorgeworfen werden.
2. Compliance-Checkliste
Wir haben nachfolgend einmal einige der wesentlichen Punkte aufgelistet, die Unternehmen im Bereich des Mitarbeiterdatenschutzes – neben der Datensicherheit – im Sinne einer kleinen Angriffsfläche umgesetzt haben sollten bzw. schleunigst umsetzen sollten:
- Rechtsgrundlage für Verarbeitung von Mitarbeiterdaten checken
Jede Verarbeitung von Mitarbeiterdaten muss auf einer rechtlichen Erlaubnis beruhen (Erlaubnistatbestand). Im Arbeitsverhältnis stellt in erster Linie § 26 Bundesdatenschutzgesetz (BDSG) einen solchen Erlaubnistatbestand dar. Nach dieser Vorschrift dürfen Mitarbeiterdaten etwa dann verarbeitet werden, wenn dies zur Durchführung des Arbeitsverhältnisses erforderlich ist. Auch Betriebsvereinbarungen können als datenschutzrechtlicher Erlaubnistatbestand dienen. Einwilligungen des Mitarbeiters sollten im Arbeitsverhältnis wiederum nur in Ausnahmefällen herangezogen werden. Liegt kein Erlaubnistatbestand vor, ist die Datenverarbeitung unrechtmäßig und die Gefahr von Bußgeldern oder Schadensersatzzahlungen potenziell hoch. Daher sind zuvörderst sämtliche anhand eines Datenverarbeitungsverzeichnisses festgestellten Datenverarbeitungsvorgänge auf das Vorliegen eines datenschutzrechtlichen Erlaubnistatbestands hin zu überprüfen. Dabei sollte eine entsprechende Dokumentation erfolgen.
- Mitarbeiterinformationen transparent gestalten
Nach Art. 13, 14 DSGVO sind Mitarbeiter über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Sie müssen etwa über die Zwecke der Datenverarbeitung unterrichtet werden. Diese Information muss unter anderem dem Gebot der Transparenz gerecht werden. Eine nicht ausreichende Information führt zwar nicht zur Unrechtmäßigkeit der Datenverarbeitung als solcher. Bußgelder können wegen unzureichender Unterrichtung aber durchaus verhängt werden, weshalb die Mitarbeiterinformation rechtlich sauber ausgestaltet sein sollte.
- Löschvorgaben einführen
Mitarbeiterdaten dürfen nach der DSGVO nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Im besten Fall haben Unternehmen bereits ein ausgefeiltes Löschkonzept, aus dem für sämtliche im Unternehmen verarbeiteten Daten hervorgeht, welche Löschfristen gelten. Mindestens aber sollten Unternehmen in Bezug auf Mitarbeiterdaten etwa in einer Tabelle festlegen, welche Datenkategorien nach welcher Zeit zu löschen sind. Das betrifft u. a. Arbeitszeitaufzeichnungen oder Leistungsbeurteilungen. Die Einhaltung dieser Lösch-Vorgaben sollte regelmäßig überprüft werden.
- Umgang mit Mitarbeiteranfragen standardisieren
Aus Art. 15 DSGVO folgt ein generelles Recht der Mitarbeiter, Auskunft über die sie betreffenden personenbezogenen Daten zu erhalten. Dies umfasst etwa Informationen zu den Zwecken der Verarbeitung und zur Speicherdauer. Die Auskunft durch den Arbeitgeber muss „unverzüglich“, in jedem Fall aber innerhalb eines Monats erteilt werden. Unternehmen sollten hier bereits im Vorfeld einen standardisierten Prozess etabliert haben, damit die Anträge auf Auskunft fristgerecht und im Einklang mit den detaillierten Vorgaben der DSGVO bearbeitet werden können.
- Reaktion auf Datenpannen festlegen
Nach Bekanntwerden von Datenpannen muss die Aufsichtsbehörde unverzüglich, möglichst aber innerhalb von 72 Stunden, von der Datenschutzverletzung in Kenntnis gesetzt werden. Bei einer späteren Meldung muss die Verzögerung begründet werden. Wenn ein hohes Risiko für die persönlichen Rechte und Freiheiten der Mitarbeiter besteht, müssen diese ebenfalls unverzüglich informiert werden. Diese Vorgaben werden kaum erfüllt werden können, wenn nicht bereits im Vorfeld Prozesse eingeführt worden sind, wie im Falle von Datenpannen zu agieren ist. Vor allem sollten Verantwortlichkeiten, interne Kommunikationswege sowie Art und Weise der Nutzung der von den Datenschutzbehörden zur Verfügung gestellten Meldeformulare festgelegt sein.