Datenschutzgrundverordnung (DSGVO)

Neue Pflichten für Arbeitgeber
Mit den Neuregelungen durch die Datenschutzgrundverordnung (DSGVO) und dem reformierten Bundesdatenschutzgesetz (BDSG (2018)) ändert sich das Datenschutzrecht zum 25.05.2018 grundlegend.

Ziel des europäischen Gesetzgebers ist es hierbei u.a., einen unionsweiten wirksamen Schutz personenbezogener Daten zu schaffen. Gerade die Betroffenenrechte werden erheblich gestärkt. Da die DSGVO drakonische Sanktionsmöglichkeiten vorsieht, sollten Unternehmen ihre Pflichten unbedingt einhalten.

Der Beschäftigtendatenschutz selbst hat zwar keinen Eingang in Form einer eigenständigen Regelung in die DSGVO gefunden. Dennoch sind erhebliche Änderungen im Umgang mit personenbezogenen Daten von Beschäftigten zu beachten, da die DSGVO neue Rechte der Arbeitnehmer als Betroffene beinhaltet.

Beispielhaft sind hier die in Art. 12 ff. DSGVO geregelten umfassenden Informationspflichten zu nennen. Diese gehen weit über die aus dem BDSG bekannten Verpflichtungen hinaus. Zudem gewährt Art. 15 DSGVO ein Auskunftsrecht der Arbeitnehmer. Sie können zum einen eine Bestätigung darüber verlangen, ob sie betreffende personenbezogene Daten verarbeiten werden. Ist dies der Fall, haben sie einen umfassenden Auskunftsanspruch über den Zweck der Verarbeitung, die Kategorien der verarbeiteten Daten, die Empfänger oder Kategorien von Empfängern, gegenüber denen die Daten offengelegt werden, die Dauer der Speicherung der Daten oder die Kriterien für die Festlegung dieser Dauer, das Bestehen eines Rechts auf Berichtigung oder Löschung der Daten oder auf Einschränkung der oder Widerspruch gegen die Verarbeitung und das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.

Ferner sieht Art. 5 Abs. 1 DSGVO diverse Pflichten für den Umgang mit personenbezogenen Daten vor, wobei Art. 5 Abs. 2 DSGVO eine sogenannte Rechenschaftspflicht normiert. Danach ist der Verantwortliche verpflichtet, die Einhaltung der Verpflichtungen nachweisen zu können. Art. 24 Abs. 1 DSGVO sieht zudem vor, dass der Verantwortliche die getroffenen technischen und organisatorischen Maßnahmen zu dokumentieren hat. Art. 30 DSGVO verpflichtet den Arbeitgeber zudem, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Der Arbeitgeber muss also nicht nur sämtliche Vorgaben der DSGVO einhalten, er muss auch gegenüber der Aufsichtsbehörde die Einhaltung auch durch Vorlage entsprechender Unterlagen nachweisen können.

Für Arbeitgeber, die noch keine entsprechenden Maßnahmen eingeleitet und umgesetzt haben, besteht daher erheblicher Handlungsbedarf. Gerne stehen wir Ihnen für die Beratung zur Verfügung.