Ar­beit­neh­mer ha­ben seit dem 25.05.2018 ergänzende Ansprüche ge­gen den Ar­beit­ge­ber in Be­zug auf ihre persönlichen Da­ten, die der Ar­beit­ge­ber ver­ar­bei­tet.

Die Grundsätze, Rech­te und Pflich­ten der DSGVO gel­ten auch für die Da­ten­ver­ar­bei­tung im Beschäfti­gungs­verhält­nis. Al­ler­dings gibt die Ver­ord­nung den Mit­glieds­staa­ten in Art.88 DSGVO die Möglich­keit, spe­zi­fi­sche­re Re­ge­lun­gen für die Ver­ar­bei­tung von Ar­beit­neh­mer­da­ten zu tref­fen. Vom deutschen Gesetzgeber wur­de dies in § 26 Bun­des­da­ten­schutz­ge­setz (BDSG) um­ge­setzt.

Ge­ne­rell stellt das Da­ten­schutz­recht ein Ver­bot der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten mit Er­laub­nis­vor­be­halt dar. Das heißt im Klartext, je­de Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten ist erst ein­mal ver­bo­ten, es sei denn, es existiert ein spe­zi­el­ler Er­laub­nis- oder Recht­fer­ti­gungs­grund. Wel­che Er­laub­nis­gründe die Da­ten­ver­ar­bei­tung recht­fer­ti­gen können, ist in Art.6 DSGVO aufgeführt.

Einen sehr all­ge­mei­nen Recht­fer­ti­gungs­grund für Ar­beit­ge­ber, Mit­ar­bei­ter­da­ten zu ver­ar­bei­ten, kann aus Art.6 Abs.1 Buch­sta­be b) DSGVO abgeleitet werden. Hiernach ist die Ver­ar­bei­tung persönlicher  Datenrechtmäßig, wenn sie zur Erfüllung ei­nes Ver­tra­ges oder zur Durchführung vor­ver­trag­li­cher Maßnah­men er­for­der­lich ist, die auf An­fra­ge der be­trof­fe­nen Per­son er­fol­gen.

Das gilt auch für Beschäfti­gungs­verhält­nis­se, da we­der der Ab­schluss ei­nes Ar­beits­ver­tra­ges noch die Durchführung des Ar­beits­verhält­nis­ses oh­ne die Ver­ar­bei­tung der Per­so­nal­da­ten möglich wäre.

In § 26 Bundesdatenschutzgesetz ist die­se Vor­schrift in Be­zug auf Ar­beits­verhält­nis­se genauer geregelt. In Abs.1 Satz 1 heißt es:

„Per­so­nen­be­zo­ge­ne Da­ten von Beschäftig­ten dürfen für Zwe­cke des Beschäfti­gungs­verhält­nis­ses ver­ar­bei­tet wer­den, wenn dies für die Ent­schei­dung über die Be­gründung ei­nes Beschäfti­gungs­verhält­nis­ses oder nach Be­gründung des Beschäfti­gungs­verhält­nis­ses für des­sen Durchführung oder Be­en­di­gung oder zur Ausübung oder Erfüllung der sich aus ei­nem Ge­setz oder ei­nem Ta­rif­ver­trag, ei­ner Be­triebs- oder Dienst­ver­ein­ba­rung (Kol­lek­tiv­ver­ein­ba­rung) er­ge­ben­den Rech­te und Pflich­ten der In­ter­es­sen­ver­tre­tung der Beschäftig­ten er­for­der­lich ist.“

Der Ar­beit­ge­ber ist weiterhin aus so­zi­al­ver­si­che­rungs- und steu­er­recht­li­chen Gründen zur mo­nat­li­chen Ver­ar­bei­tung der Da­ten und ggf. auch Weitergabe ver­pflich­tet, dies entspricht dem in Art.6 Abs.1 Buch­sta­be c) DS-GVO normierten Rechtsfertigungsgrund.  Für besonders sen­si­ble Da­ten wie z.B. ei­ne Re­li­gi­ons- oder Ge­werk­schafts­zu­gehörig­keit oder Krank­heits­da­ten gelten die Regeln des Art.9 Abs.2 Buch­sta­be b) DS-GVO bzw. § 26 Abs.3 Satz 1 BDSG.

In der DSGVO, genauer im Kapitel III sind kon­kre­te Rech­te der "be­trof­fe­nen" Per­so­nen genannt. Dar­un­ter fal­len u.a. die Datenlöschung , das "Recht auf Ver­ges­sen­wer­den" , ein Rechtsanspruch auf Be­rich­ti­gung der ge­spei­cher­ten Da­ten, ein Recht auf Da­tenüber­trag­bar­keit so­wie ein allgemeines Wi­der­spruchs­recht.

Insbesondere kann der Ar­beit­neh­mer vom Ar­beit­ge­ber gem. Art.15 DSGVO Aus­kunft über die Ver­ar­bei­tung sei­ner per­so­nen­be­zo­ge­nen Da­ten ver­lan­gen. Macht Ar­beit­neh­mer von die­sem Recht Ge­brauch, muss der Ar­beit­ge­ber of­fen­le­gen,

  • zu wel­chen Zwe­cken er die Da­ten des Ar­beit­neh­mers ver­ar­bei­tet,
  • wel­che Art von Da­ten ver­ar­bei­tet wer­den,
  • wer Ein­sicht in die Da­ten erhält,
  • wie lan­ge die Da­ten vor­aus­sicht­lich ge­spei­chert wer­den,
  • wel­che Rech­te der Ar­beit­neh­mer in Be­zug auf die Da­ten hat,
  • wie der Ar­beit­ge­ber an die Da­ten ge­langt ist, falls sich nicht di­rekt von Ar­beit­neh­mer mit­ge­teilt wur­den, und
  • ob ei­ne au­to­ma­ti­sier­te Ent­schei­dungs­fin­dung (ein­sch­ließlich Pro­filing) statt­fin­det.

Ei­ni­ge Ein­schränkun­gen des Aus­kunfts­rechts sieht aber § 34 BDSG vor. So entfällt der An­spruch z.B., wenn die Da­ten aus­sch­ließlich ge­spei­chert wer­den, weil sie auf­grund ge­setz­li­cher Vor­schrif­ten nicht gelöscht wer­den dürfen. Auch ein un­verhält­nismäßiger Auf­wand für die Aus­kunfts­er­tei­lung kann dem Auskunftsanspruch ent­ge­gen­ge­hal­ten wer­den.

Un­abhängig vom Be­ste­hens ei­nes Aus­kunfts­an­spruchs be­inhal­tet Art.13 DSGVO ei­ne um­fang­rei­che Lis­te von Pflicht­in­for­ma­tio­nen, die die der Ar­beit­neh­mer schon zum Zeit­punkt der Da­ten­er­he­bung er­hal­ten muss. Die dort auf­gezähl­ten Punk­te über­schnei­den sich teil­wei­se mit je­nen des Aus­kunfts­an­spruchs.

Weiterhin muss ein Da­ten­schutz­be­auf­trag­ter gem. Art. 37 DSGVO in Ver­bin­dung mit § 38 Abs.1 Satz 1 BDSG be­nannt wer­den, wenn im Un­ter­neh­men re­gelmäßig min­des­tens zehn Per­so­nen mit der Da­ten­ver­ar­bei­tung beschäftigt sind.

Auch muss nach Art.30 DSGVO je­de verantwortliche Stelle, der per­so­nen­be­zo­ge­ne Da­ten ver­ar­bei­tet, ein sog. Ver­zeich­nis von Ver­ar­bei­tungstätig­kei­ten an­le­gen. Dieses Ver­zeich­nis soll sämt­li­che Ver­ar­bei­tungs­ver­fah­ren mit den je­weils zu­gehöri­gen Pflicht­an­ga­ben aus Art.30 Abs.1 DSGVO ent­hal­ten. Die­se sehzr umfangreiche Pflicht trifft auch alle Ar­beit­ge­ber auf­grund der re­gelmäßigen Ver­ar­bei­tung von Lohn- und Ge­halts­da­ten.

Zwar sieht Art.30 Abs.5 DSG­VO ei­ne Aus­nah­me von der Pflicht zur Ver­zeich­nis­er­stel­lung zu­guns­ten von Un­ter­neh­men mit we­ni­ger als 250 Mit­ar­bei­tern vor, doch ist die­se "Aus­nah­me" wert­los bzw. so for­mu­liert, dass sie prak­tisch nie zur An­wen­dung kom­men kann. Denn die Aus­nah­me zu­guns­ten von Un­ter­neh­men mit we­ni­ger als 250 Mit­ar­bei­tern gilt nicht für Un­ter­neh­men, die nicht nur „ge­le­gent­lich“ per­so­nen­be­zo­ge­ne Da­ten ver­ar­bei­ten. Ei­ne der­ar­ti­ge ständi­ge Da­ten­ver­ar­bei­tung , schon auf­grund der recht­li­chen Pflicht zur re­gelmäßigen mo­nat­li­chen Ge­halts­ab­rech­nung, be­trei­ben aber al­le Ar­beit­ge­ber.

Sie sehen schon, die Umsetzung aller Vorgaben aus der DSGVO betrifft nicht nur große Unternehmen sonder auch den kleinsten Handwerksbetrieb. Aufgrund der doch recht erheblichen Strafandrohungen kann nur jedem Unternehmer empfohlen werden, dies zur Chefsache zu machen zumal sich die DSGVO nicht nur auf den Arbeitnehmerbereich beschränkt sondern auch den Unternehmensauftritt ingesammt betrifft.

Ob aufgrund des teilweise wettbewerbsrelevanten Charakters der DSGVO mit Abmahnungen seitens potentieller Mitbewerber gerechnet werden muss, kann noch nicht wirklich beantwortet werden. In einem solchen Fall empfehlen wir auf jeden Fall, anwaltliche Hilfe einzuholen und nichts vorschnell zu unterschreiben.

Wir stehen gern bei Fragen zur rechtskonformen Umsetzung zur Verfügung, weisen aber auch darauf hin, dass manche Auslegungsfragen erst gerichtlich geklärt sein müssen.