Datenschutz im Beschäftigungsverhältnis
I. Rechtsgrundlagen
II. Wer ist Beschäftigter?
III. Einwilligung
IV. Kollektivvereinbarungen
- Auskunftsrecht, Art. 15
- Recht auf Berichtigung der Daten, Art. 16
- Recht auf Löschung von Daten, Art. 17
- Recht auf Einschränkung der Verarbeitung, Art. 18
- Recht auf Datenübertragbarkeit, Art. 20.
V. Datentransfer im Konzern
VI. Datenschutz-Folgenabschätzung
VII. Prüfschema für Betriebsvereinbarungen
1. Anforderungen nach DSGVO
- die Identität des Verantwortlichen
- die Zwecke der Verarbeitung
- die Informationen, die eine faire und transparente Verarbeitung gewährleisten
- das Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche personenbezogene Daten verarbeitet werden
- die Aufklärung über Risiken, Rechte, Garantien hinsichtlich der Datenverarbeitung
- die Aufklärung darüber, wie Rechte geltend gemacht werden können.
- die Identifizierung des Arbeitnehmers darf nur so lange möglich sein, wie es für den Zweck der Verarbeitung erforderlich ist,
- die Speicherfristen sind auf das unbedingt erforderliche Mindestmaß beschränken.
2. Prüfschema für bestehende Betriebsvereinbarungen
a) Werden auf Grundlage der Betriebsvereinbarung personenbezogene Daten verarbeitet?
b) Enthält die Betriebsvereinbarung Angaben zu den Grundprinzipien nach Art. 5 DSGVO?
aa) Rechtmäßigkeit (= Erlaubnistatbestände vorhanden?)
Verarbeitung rechtmäßig, nach Treu und Glauben und in nachvollziehbarer Weise? vgl. Art. 6 I a-f DSGVO, EG 39 und Art. 12 ff. DSGVO
bb) Zweckbindungsgrundsatz
Zweck deutlich vereinbart (konkret & detailliert)?
Falls Verarbeitung zu anderem Zweck erfolgt: Vereinbarkeit mit altem Zweck?
cc) Datenminimierung
Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke erforderliche Maß beschränkt?
Sind Strategien und Maßnahmen getroffen (Pseudonymisierung, techn. Vorrichtungen)?
dd) Datenrichtigkeit
Wurden Maßnahmen getroffen, um zu gewährleisten, dass personenbezogene Daten, die hinsichtlich des Zwecks ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden?
Dienstvereinbarung sollte Regelungen zu Korrekturprozessen enthalten.
ee) Speicherbegrenzung
Sind klare Regelungen zu Speicherdauer von personenbezogenen Daten in Dienstvereinbarung getroffen?
ff) Integrität und Vertraulichkeit
Sind technisch-organisatorischen Maßnahmen vorhanden, um den Schutz vor unbefugter, unrechtmäßiger Verarbeitung sowie vor Schädigung, Zerstörung oder Verlust zu gewährleisten? Ist die Verarbeitung besonderer Datenkategorien (z. B. Religionszugehörigkeit, Gesundheitsdaten, biometrische Daten) ausreichend gesichert?
3. Werden besondere Kategorien personenbezogener Daten verarbeitet?
4. Sind Maßnahmen getroffen worden, um die Informationspflichten zu erfüllen?
5. Sind Maßnahmen getroffen worden, um die Betroffenenrechte zu berücksichtigen?
Sind die Angaben zu den Betroffenenrechten nach Art. 15 sowie Mitteilungen nach Art. 16 ff. DSGVO enthalten?
Die umfangreichen Angaben sollten als Anhang zum Arbeitsvertrag oder in der Betriebsvereinbarung abgebildet werden.
Praxistipp:
Eine Alternative zur Änderung aller Betriebsvereinbarungen könnte der Abschluss einer „Dach“-Betriebsvereinbarung sein, in der ausschließlich datenschutzrechtliche Aspekte geregelt werden und die Bezug nimmt auf die speziellen Vereinbarungen z. B. zur Arbeitszeit usw. Zumindest könnte aber eine schriftliche allgemeine Information der Beschäftigten darüber erfolgen, welche Daten für welche Zwecke in dem Unternehmen verarbeitet.