Datenschutz am Arbeitsplatz: Die wichtigsten Neuerungen
11.07.2017 -
Mit der Europäischen Datenschutzgrundverordnung (EU-DSGVO), die im Mai 2018 wirksam wird, soll auch ein neues Bundesdatenschutzgesetz (BDSG-neu) in Kraft treten. Der Gesetzentwurf hat unlängst den Bundestag und den Bundesrat passiert. Die Regelungen tangieren häufig auch das Verhältnis von Arbeitgeber und Arbeitnehmer.
Was Unternehmen nun beachten müssen
Nutzung personenbezogener Daten: Im neuen BDSG wurde nochmals festgeschrieben, dass personenbezogene Daten nur nach einer Einwilligung des Arbeitnehmers oder auf gesetzlicher Grundlage genutzt werden dürfen. Die Aufklärung von Straftaten im Beschäftigungsverhältnis bleibt zulässig, muss aber strengen Anforderungen genügen.
Kollektivvereinbarungen: Das neue BDSG erwähnt erstmals ausdrücklich, dass auch Betriebsvereinbarungen und Tarifverträge Rechtsgrundlage für eine Datenverarbeitung sein können. Diese Instrumente haben sich in der Praxis bereits bewährt. Bestehende Betriebsvereinbarungen, die Grundlage für eine Datenverarbeitung sein sollen, sind bis zum 25. Mai 2018 auf ihre Vereinbarkeit mit dem neuen Datenschutzrecht zu überprüfen und anzupassen.
Datensicherheit: Unternehmen werden verpflichtet, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten zu treffen. Die einschlägigen Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind zu berücksichtigen.
Dokumentation: Der Arbeitgeber muss nachweisen können, dass er die geltenden datenschutzrechtlichen Vorgaben einhält (Beweislastumkehr). Unternehmen sind angehalten, die zum Schutz der Daten getroffenen Maßnahmen sowie die entsprechenden Rechtsgrundlagen zu dokumentieren. Ein sogenanntes „Verzeichnis der Verarbeitungstätigkeiten” ist das Kernstück der Dokumentation.
Berichtigung und Löschung von Daten: Unternehmen müssen Daten korrigieren, wenn sie unrichtig sind oder löschen, wenn die Voraussetzungen für die Datenverarbeitung nicht mehr bestehen. Hier bedarf es, wie auch für andere Betroffenenrechte, entsprechender organisatorischer Vorkehrungen in den Unternehmen.
Reaktion auf Datenpannen: Eine Verletzung personenbezogener Daten ist dem oder der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit unverzüglich und möglichst innerhalb von 72 Stunden nach Bekanntwerden der Verletzung zu melden. Ebenso muss die betroffene Person informiert werden.
Empfindliche Bußgelder: Mit der EU-DSGVO werden Sanktionen für Datenschutzverstöße drastisch erhöht und europaweit vereinheitlicht. Bei Nichtbeachten drohen empfindliche Bußgelder bis zu 20 Millionen Euro oder bis zu 4% des Jahresumsatzes. Hierbei könnte sogar der Jahresumsatz der gesamten Unternehmensgruppe bzw. des Konzerns maßgeblich sein.
Hintergrund
Das Datenschutzanpassungsgesetz dient der Anpassung des deutschen Datenschutzrechts an die EU-DSGVO, die ab dem 25. Mai 2018 in den Mitgliedstaaten anzuwenden ist. Um Besonderheiten der jeweiligen Mitgliedstaaten Rechnung zu tragen, wurden zu verschiedenen Themenbereichen Öffnungsklauseln in die Verordnung integriert. Innerhalb eines gewissen Rahmens dürfen die Mitgliedstaaten daher speziellere Regelungen vorsehen.
In der Gesetzesbegründung für das neue BDSG hat der Gesetzgeber sich vorbehalten, die zentralen Fragen des Beschäftigtendatenschutzes künftig in einem eigenen Gesetz zu regeln. Es ist also nicht ausgeschlossen, dass dieses Gesetzesvorhaben nach der Bundestagswahl erneut aufgegriffen wird und die seit Jahren von vielen Seiten geforderte umfassende Regelung folgt.