Bislang hatte jeder Mitgliedsstaat seine eigenen Datenschutzregelungen, die nur zum Teil auf EU-Recht beruhten. Die DSGVO schafft EU-weit einheitliche Regelungen und Wettbewerbsbedingungen für die Datenverarbeitung.
Bis zum 25.5.2018 haben Unternehmen noch Zeit, sich auf die neuen Bestimmungen einzustellen. Ab diesem Zeitpunkt können (und werden) Datenschutzbehörden voraussichtlich Sanktionen verhängen, die zudem deutlich schärfer sind als nach bisherigem Recht.
Die DSGVO regelt den Schutz personenbezogener Daten. Das sind sämtliche Daten, anhand derer man eine natürliche Person („betroffene Person“) identifizieren kann. Die DSGVO richtet sich an öffentliche Stellen, wie auch an alle natürlichen und juristischen Personen („Verantwortliche“ und „Auftragsverarbeiter“), die personenbezogene Daten verarbeiten. „Verarbeitung“ ist beispielsweise das Erheben, Erfassen, die Organisation, Speicherung, Veränderung, Verwendung, Übermittlung und auch die Löschung von Daten – also jeder Vorgang, der personenbezogene Daten betrifft.
Eine Abteilung, die naturgemäß viele personenbezogene Daten verarbeitet, ist die Personalabteilung. Sie speichert Daten von Angestellten, freien Mitarbeitern, Praktikanten und Bewerbern. Darüber hinaus verfügt sie über besonders sensible Informationen, wie biometrische Daten, Gesundheits- oder Bankdaten.
Wie wirken sich die Gesetzesänderungen auf die Personalabteilung aus?
Gleich bleibt, dass personenbezogene Daten überhaupt nur mit Einwilligung der betroffenen Person oder aufgrund einer gesetzlichen Rechtsgrundlage verarbeitet werden dürfen. Die Daten dürfen auch nur so lange wie erforderlich gespeichert werden.
Die DSGVO selbst regelt in Bezug auf Beschäftigtendaten nur, dass die Mitgliedsstaaten spezifischere Vorschriften erlassen können und diese die Rechte der betroffenen Personen ausreichend wahren müssen. Allerdings betreffen die allgemeinen Neuerungen, insb. die neuen Informationspflichten, ebenso die Personalabteilung - diese müssen im Verhältnis zu den Mitarbeitern und Bewerbern gleichermaßen umgesetzt werden.
Neue Rechtsgrundlagen für die Verarbeitung von Personaldaten
Der deutsche Gesetzgeber hat aufgrund der DSGVO alte Rechtsgrundlagen neu strukturiert und einige neue geschaffen. So dürfen Daten nach § 26 Abs. 1 BDSG-neu künftig aufgrund von Ansprüchen der Beschäftigtenvertretungen verarbeitet werden. Daten dürfen also an den Betriebsrat übermittelt werden, wenn dieser einen Anspruch geltend macht. Weiterhin dürfen nach § 26 Abs. 4 BDSG-neu Daten aufgrund von Kollektivvereinbarungen verarbeitet werden. § 26 Abs. 7 BDSG-neu regelt außerdem, dass die datenschutzrechtlichen Pflichten nicht nur für die Verarbeitung elektronischer, sondern auch analoger Daten gilt - etwa durch Aufnahme handschriftlicher Notizen in Aktenordner oder Weitergabe von Daten in persönlichen Gesprächen.
Neue Informationspflichten bei Datenerhebungen
Die DSGVO schafft neue umfassende Informationspflichten, die auch (potentielle) Arbeitgeber beachten müssen. So sind betroffene Personen, von denen Daten verarbeitet werden, zum Zeitpunkt der Datenerhebung mindestens über Folgendes zu unterrichten:
- Name und Kontaktdaten des Verantwortlichen,
- Zwecke und Rechtsgrundlage der Datenverarbeitung,
- Empfänger der Daten,
- Speicherdauer,
- Rechte der betroffenen Person auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit,
- Widerrufsrecht.
Fazit
Zwar bringen die DSGVO und das BDSG-neu keine fundamentalen Veränderungen für den Beschäftigtendatenschutz mit sich. Allerdings ist - nicht zuletzt wegen der deutlich höheren Sanktionen - in der Personalabteilung darauf zu achten, dass die Prozesse bis spätestens 25.5.2018 datenschutzkonform ausgestaltet und insb. die neuen Informationspflichten beachtet werden. Das gilt vor allem für den Bewerbungsprozess und den ggf. anschließenden Abschluss von neuen Arbeitsverträgen.
