Grundsätze des Datenschutzes und der Arbeitgeberpflichten

Der zweite Teil des Beitrages zum Beschäftigtendatenschutz befasst sich speziell mit den allgemeinen Grundsätzen des Datenschutzes und den daraus erwachsenden Pflichten des Arbeitgebers.

Allgemeinen Grundsätze des Datenschutzes (§ 47 BDSG n. F. / § 7 KDG Abs. 1 n. F.)

• Rechtmäßigkeit
  • Die personenbezogenen Daten müssen auf zulässige Art und Weise erworben und verarbeitet werden. Dies ist der Fall, wenn ihre Erhebung und Verarbeitung auf eine Rechtsgrundlage gestützt werden kann.
• Verarbeitung nach Treu und Glauben
  • Der Grundsatz von Treu und Glauben erfordert eine umfassende Interessenabwägung aller In Betracht kommender Interessen.
• Transparenzgebot
  • Die Verarbeitung der personenbezogenen Daten muss in einer für die betroffene Person nachvollziehbaren Weise erfolgen.
• Zweckbindung
  • Die personenbezogenen Daten dürfen nur zu einem festgelegten, eindeutigen und rechtmäßigen Zweck verarbeitet werden.
• Datenminimierung
• Richtigkeit
  • Die personenbezogenen Daten müssen sachlich richtig und aktuell sein.
• Speicherbegrenzung
  • Die personenbezogenen Daten sind so zu speichern, dass sie die Identifizierung der betroffenen Person nur so lange ermöglichen, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
• Integrität und Vertraulichkeit
  • Die personenbezogenen Daten sind in einer Weise zu verarbeiten, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet und den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigter Schädigung durch geeignete, technische und organisatorische Maßnahmen sicherstellt.

Pflichten des Arbeitgebers

Der Arbeitgeber, als der für die Datenverarbeitung Verantwortliche, ist gem. Art. 5 Abs. 2 EU-DSGVO / § 7 Abs. 2 KDG n. F. für die Einhaltung der zuvor genannten Grundsätze verantwortlich und muss deren Einhaltung nachweisen können (Rechenschaftspflicht). Aus dieser grundsätzlichen Rechenschaftspflicht erwachsen für den Arbeitgeber spezielle Pflichten. Nachfolgend skizzieren wir die wichtigsten dieser Pflichten.

Datenschutzbeauftragte

Zum Teil sind Arbeitgeber zur Benennung/Bestellung eines Datenschutzbeauftragten, der sie bei der Einhaltung der Datenschutzbestimmungen zu unterstützen, zu beraten und zu beaufsichtigen hat, verpflichtet (§ 38 BDSG n.F. / § 36 KDG n.F.). Der Datenschutzbeauftragte arbeitet im Rahmen seiner Aufgaben eng mit den Aufsichtsbehörden zusammen.

Ein Datenschutzbeauftragter ist zu benennen/zu bestellen, wenn die Kerntätigkeit des Arbeitgebers in der Datenverarbeitung liegt oder wenn in der Regel mindestens 10 Beschäftigte des Arbeitgebers ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind.

Diözesen, Kirchengemeinden, Kirchenstiftungen und die Kirchengemeindeverbände haben immer einen Datenschutzbeauftragten zu benennen (§ 36 Abs.1 i. V. m. § 3 Abs. 1 a) KDG n. F.).

Der Datenschutzbeauftragte ist in der Erfüllung seiner Aufgaben weisungsfrei (Art. 38 Abs. 3 Satz 1 EU-DSGVO / § 37 Abs. 1 Satz 2 KDG n.F.). Er darf wegen der Erfüllung seiner Aufgaben weder abberufen noch benachteiligt werden (Art. 38 Abs. 3 Satz 2 EU-DSGVO / § 37 Abs. 1 Satz 3 KDG n. F.). Er genießt einen Sonderkündigungsschutz (§ 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG n. F./ § 37 Abs. 4 KDG n. F.). Der Datenschutzbeauftragte einer nicht kirchlichen Einrichtung genießt jedoch nur dann Sonderkündigungsschutz, wenn seine Bestellung verpflichtend war.

Der Datenschutzbeauftrage kann sowohl ein Arbeitnehmer, als auch ein unabhängiger Dienstleister sein.

Verzeichnis von Verarbeitungstätigkeiten

Arbeitgeber mit 250 oder mehr Beschäftigten haben als Verantwortliche ein Verzeichnis von Verarbeitungstätigkeiten zu führen (§ 70 BDSG n. F. / § 31 KDG n. F.), das sie ihrem Datenschutzbeauftragten zur Verfügung zu stellen haben.

Das Verzeichnis hat folgende Angaben zu enthalten:

• Namen und Kontaktdaten des Verantwortlichen, ggf. des Datenschutzbeauftragten
• Zweck der Verarbeitung
• Beschreibung der Kategorie betroffener Personen und der Kategorien personenbezogener Daten
• Ggf. Verwendung von Profiling
• Kategorie von Empfängern der personenbezogenen Daten
• Fristen für die Löschung der personenbezogenen Daten
• Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherung der personenbezogenen Daten
• Angabe der Rechtsgrundlage für die Datenverarbeitung (Diese Angabe ist für die dem kirchlichen Datenschutz unterliegenden Arbeitgeber nicht verpflichtend. Sie ist jedoch im Hinblick auf die Auskunfts- und Informationspflichten des Arbeitgebers zu empfehlen.)

Unternehmen mit weniger als 250 Beschäftigten sind zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten grundsätzlich nicht verpflichtet. Findet bei ihnen jedoch die Verarbeitung von personenbezogenen Daten nicht nur gelegentlich statt, so trifft auch sie die Pflicht zum Führen des Verzeichnisses. Werden personenbezogene Daten im Rahmen der Führung von Personalakten, der Lohnbuchhaltung oder der Führung von Patienten- oder Bewohnerkarteien verarbeitet, so erfolgt die Datenverarbeitung regelmäßig und nicht nur gelegentlich.

Datenschutz-Folgenabschätzung

Gem. § 67 BDSG n. F. / § 35 KDG n. F. hat der Arbeitgeber eine Datenschutz-Folgeabschätzung durchzuführen. Mit Hilfe einer Folgenabschätzung soll beurteilen werden, ob eine Maßnahme datenschutzrechtlich zulässig ist. Bei der Durchführung der Folgenabschätzung ist der Datenschutzbeauftragte zu beteiligen.

Die Folgenabschätzung soll insbesondere bei Verwendung neuer Technologien durchgeführt werden, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung diese voraussichtlich eine erhebliche Gefahr für die Rechtsgüter betroffener Personen zur Folge hat.

Informations- und Auskunftspflichten

Der Arbeitgeber hat den Beschäftigten (Definition s. § 26 Abs. 8 BDSG n. F. / § 53 i. V. m. § 4 Nr. 24 KDG n. F.) über die Erhebung und Verarbeitung dessen personenbezogener Daten zu informieren. Diese Informationspflicht trifft ihn, sowohl wenn er die personenbezogenen Daten unmittelbar bei dem betroffenen Beschäftigten erhebt (Art. 13 EU-DSGVO/ § 15 KDG n. F.), als auch wenn er die personenbezogenen Daten mittelbar über andere Quelle (bspw. über eine Internetrecherche) erhebt (Art. 14 EU-DSGVO. / § 16 KDG n. F.).

Bei der unmittelbaren Datenerhebung hat der Arbeitgeber den Beschäftigten im Zeitpunkt der Datenerhebung zu informieren. Bei der mittelbaren Datenerhebung ist der Beschäftigte innerhalb einer angemessenen Frist, spätestens jedoch innerhalb eines Monats über die Datenerhebung und Verarbeitung zu informieren.

Die Information kann unterbleiben, wenn sie einen unverhältnismäßigen Aufwand erfordert oder wenn der Beschäftigte über die Information bereits verfügt.

Dem Beschäftigten sind folgende Informationen zu erteilen:

• Namen und Kontaktdaten des Verantwortlichen, ggf. des Datenschutzbeauftragten
• Zweck der Datenverarbeitung
• Berechtigte Interesse des Arbeitgebers an der Verarbeitung der personenbezogenen Daten
• Empfänger oder Kategorie von Empfängern der personenbezogenen Daten
• Rechtsgrundlage für die Datenverarbeitung

Neu:

• Dauer der Speicherung der personenbezogenen Daten bzw. Fristen für deren Löschung
• Belehrung über das Auskunftsrecht
• Ggf. Belehrung über das Recht eine zuvor erteilte Einwilligung zu widerrufen
• Belehrung über das Beschwerderecht bei der Datenschutzaufsicht
• Ggf. Aufklärung über die Anwendung des Profiling
• Prozessbezogene Angaben

Die Beschäftigten haben gegen ihren Arbeitgeber einen Anspruch auf kostenlose Kopien aller ihrer von ihm verarbeiteter Daten.

Die Beschäftigten haben gegenüber ihrem Arbeitgeber die zu seinen Informationspflichten korrespondierenden Auskunftsansprüche.

Die Informationen sind in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache an die von der Datenverarbeitung betroffene Person zu übermitteln (Art. 12 Abs. 1 Satz 1 1. HS EU-DSGVO / § 14 Abs. 1 Satz 1 1. HS KDG n. F.). Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch (Art. 12 Abs. 1 Satz 2 EU-DSGVO / § 14 Abs. 1 Satz 2 KDG n. F.). Auf Verlangen der betroffenen Person kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde (Art. 12 Abs. 1 Satz 3 EU-DSGVO / § 14 Abs. 1 Satz 3 KDG n. F.).

Aktualisierung der Daten

Der Arbeitgeber hat gem. § 35 Abs. 1 Satze 3 BDSG n.F. i. V. m. Art. 17 EUDSGVO / § 18 und § 19 KDG n. F. unrichtige Daten zu berichtigen/zu löschen.

Die Daten der Beschäftigten sollten regelmäßig, vor allem aber nach der Beendigung des Beschäftigungsverhältnisses, überprüft werden. Wir empfehlen dabei Folgendes zu prüfen:

• Ist der Zweck, für den die personenbezogenen Daten seinerzeit erhoben worden sind, noch aktuell?
• Kann die Datenverarbeitung noch immer auf eine Rechtsgrundlage gestützt werden?
• Ist die ursprünglich erteilte Einwilligung noch wirksam, erfasst sie die weitergehende Datenverarbeitung? Hat der Beschäftigte seine Einwilligung zwischenzeitlich widerrufen?
• Impressum und Homepage des Arbeitgebers auf Fotos und andere personenbezogene Daten zu ausgeschiedenen Beschäftigten prüfen.

Sicherung der Daten

Der Arbeitgeber hat durch technische und organisatorische Maßnahmen sicher zu stellen, dass die allgemeinen Grundsätze und die besonderen Grundsätze des Beschäftigtendatenschutzes in seinem Unternehmen eingehalten werden.

Folgendes soll u. a. sichergestellt werden:

• die Pseudonymisierung, die Anonymisierung sowie die Verschlüsselung personenbezogener Daten,
• die Fähigkeit, die Verfügbarkeit, Integrität, Vertraulichkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer,
• die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
• die Verschlüsselung sensibler personenbezogener Daten (Krankheiten der Beschäftigten, BEM etc.) bzw. ihre gesicherte Aufbewahrung z. B. in einem verschlossenen Umschlag

Gerne unterstützen wir Sie bei der Umsetzung ihrer Arbeitgeberpflichten im Hinblick auf den Beschäftigtendatenschutz.