Herzlich willkommen!
Im Workplace Blog schreiben wir über Themen aus der Workplace Law und HR Welt: Wir besprechen wichtige Gerichtsentscheidungen, nehmen uns Glaubenssätze vor, geben praktische Tipps und vieles mehr…
Unser Workplace Blog lebt von Ihren Kommentaren und Feedback. In diesem Sinne freuen wir uns auf den Austausch mit Ihnen!
Ihr PWWL-Redaktionsteam
Arbeitgeber speichern personenbezogene Daten ihrer Arbeitnehmer (Name, Anschrift, Kontonummer etc.). Viele Arbeitsverträge enthalten Klauseln, mit denen Arbeitnehmer in die Erhebung, Speicherung und Nutzung von personenbezogenen Daten einwilligen. Bereits im Anwendungsbereich des BDSG ist deren Wirksamkeit häufig zweifelhaft. Unter Geltung der DSGVO wird das nicht anders sein. Arbeitgeber stellen sich daher die Frage, was sie im Vorfeld des Inkrafttretens der DSGVO am 25. Mai 2018 machen müssen
Das BDSG enthält ebenso wie die ab 25. Mai 2018 anwendbare DSGVO ein Verbot mit Erlaubnisvorbehalt. Das bedeutet, dass der Umgang mit personenbezogenen Daten verboten ist, es sei denn, ein Gesetz, eine Betriebsvereinbarung oder ein Tarifvertrag erlaubt diesen ausdrücklich. Ferner ist der Umgang auch dann zulässig, wenn der Arbeitnehmer in diesen eingewilligt hat.
An dieser Systematik wird sich auch bei der DSGVO nichts ändern. Eine unter Geltung des BDSG erteilte Einwilligung bleibt auch nach Inkrafttreten der DSGVO weiterhin gültig, sofern sie den Bedingungen der DSGVO entspricht (EG 171 zur DSGVO).
Häufig kann sich der Arbeitgeber zur Rechtfertigung des Umgangs mit personenbezogenen Daten seiner Beschäftigten auf einen gesetzlichen Erlaubnistatbestand berufen. So muss er die Kontonummer zwangsläufig erheben und speichern, um das Gehalt überweisen zu können. Der Erlaubnistatbestand hierfür ist § 32 Abs. 1 S. 1 BDSG. Es gibt aber im Laufe eines Arbeitsverhältnisses immer wieder Fälle, bei denen kein gesetzlicher Erlaubnistatbestand vorliegt und der Arbeitgeber auf eine Einwilligung seiner Beschäftigten für den Umgang mit deren Daten angewiesen ist.
Häufig sind Einwilligungen irgendwo im Arbeitsvertrag enthalten. Sie sind oftmals sehr pauschal gehalten. Derartige Einwilligungen entsprechen in aller Regel weder den Anforderungen des BDSG noch der DSGVO. Betroffene Arbeitgeber sollten sich daher jetzt die Frage stellen, ob Handlungsbedarf besteht. Datenschutzverstöße werden unter Geltung der DSGVO wesentlich schärfer geahndet. Der Bußgeldrahmen steigt von maximal EUR 300.000,00 im BDSG auf EUR 20.000.000,00 in der DSGVO.
Es empfiehlt sich daher, die Verarbeitung personenbezogener Daten von Beschäftigten insgesamt auf den Prüfstand zu stellen. Erfolgt diese im Einklang mit dem geltenden Recht und der DSGVO? Benötigt der Arbeitgeber eine Einwilligung für einzelne Arten der Verarbeitung? Falls ja, liegt diese vor und hält sie einer Prüfung nach den Regelungen der DSGVO stand?
