Datenschutz als wachsende Priorität
Der Beschäftigtendatenschutz hat in den vergangenen Jahrzehnten und insbesondere seit dem Inkrafttreten der DS-GVO 2018 zunehmend an Bedeutung gewonnen und so auch weitreichenderen Einzug in die Gesetzgebung und die Rechtsprechung gefunden.
Das Arbeitsverhältnis als datenschutzrechtliches Spannungsfeld – Rechte der Beschäftigten aus Art. 15 DS-GVO
Die Eingliederung der Beschäftigten in die unternehmerische Organisation erfordert den ständigen Umgang der Arbeitgeber mit teils sensiblen Daten und unter Umständen die Weitergabe der Daten an Dritte. Um Beschäftigte vor Missbrauch zu schützen und um Transparenz zu schaffen, sieht Art. 15 DS-GVO einen Anspruch auf umfassende Auskunftserteilung über die vom Arbeitgeber verarbeiteten personenbezogenen Daten vor.
So können diese von dem für die Datenverarbeitung Verantwortlichen (i.d.R. dem Vertragsarbeitgeber) Auskunft darüber verlangen:
ob über sie personenbezogene Daten erhoben werden
welchen Kategorien diese Daten zuzuordnen sind
zu welchen Zwecken die Datenerhebung erfolgt
woher die Daten stammen und wer diese empfängt
wie lange die Daten gespeichert werden
welche Rechte den betroffenen Arbeitnehmern zustehen
Gewusst wie: Wie erfülle ich als Arbeitgeber einen geltend gemachten Auskunftsanspruch?
Aufgrund der herausstehenden Bedeutung des Datenschutzes haben Arbeitgeber jederzeit mit der Geltendmachung von Auskunftsansprüchen zu rechnen. Umso wichtiger ist es deshalb, bereits im Vorfeld Maßnahmen zu ergreifen, die eine reibungslose und anspruchsgerechte Auskunft ermöglichen. So sollte frühestmöglich ein Hauptverantwortlicher im Unternehmen bestimmt werden, welcher die Erfüllung des Anspruchs auf rechtzeitige und weitestgehend vollständige Auskunftserteilung koordiniert. Es sollte ein zentraler – bestmöglich digitaler – Posteingang für diese Zwecke eingerichtet werden, auf den an den geeigneten Stellen im digitalen und betrieblichen Raum hingewiesen werden sollte. Sofern ein Betriebsrat besteht, sollte dieser im Datenschutz geschult werden. Zudem sollte bei dem Betriebsrat daraufhin verpflichtet werden, für die von ihm bei der Erfüllung der Betriebsratsaufgaben verarbeiteten personenbezogenen Daten – und unter Einbindung des bestellten Datenschutzbeauftragten - ein Datenschutzkonzept zu entwickeln und ein Verarbeitungsverzeichnis zu erstellen, sodass zügig auf einen Auskunftsanspruch des Beschäftigten reagiert werden kann.
Ist ein Auskunftsbegehren erstmal eingegangen – das Eingangsdatum ist unbedingt zu zu notieren -, ist ein zeitnahes Tätigwerden gefragt, denn der Anspruch ist grundsätzlich unverzüglich, jedoch spätestens binnen eines Monats umfassend und weitestgehend vollständig zu erfüllen. Zwar besteht in einigen von der DS-GVO vorgesehenen Fällen die Möglichkeit der „Verlängerung“. Allerdings sind diese Ausnahmefälle „besondere Komplexität und großer Umfang“ insbesondere im Rahmen eines Arbeitsverhältnisses nicht erfüllt. In den ersten Tagen nach Eingang des Antrages sollte deshalb der für die Erfüllung der Auskunft bestimmte Hauptverantwortliche schnell tätig werden und die IT, die Personalabteilung, den Vorgesetzten der auskunftbegehrenden Person und ggf. den Betriebsrat einbinden. Bei Unternehmensgruppen-Konstellationen, bei denen die Beschäftigtendaten konzernweit verarbeitet werden, sind die Datenflüsse nachzuvollziehen. Automatisierte Datenlöschvorgänge sind schnellstmöglich zu unterbrechen. Weitergehend sollte abgeglichen werden, ob der Betroffene mit der Person übereinstimmt, die die Auskunft begehrt hat. Handelt ein Anwalt oder ein Dritter für den Beschäftigten, sollte der Arbeitgeber die ordnungsgemäße Bevollmächtigung für die Geltendmachung von datenschutzrechtlichen Auskunftsansprüchen und Empfang der Auskunft überprüfen. Es empfiehlt sich, dem die Auskunft begehrenden Beschäftigten den Empfang (mit Datum) zu bestätigen.
Sind diese ersten Schritte getan, beginnt die eigentliche Ermittlung der Informationen und Auskünfte. Hierbei ist der Betriebsrat frühestmöglich zu involvieren und zur Auskunft der durch ihn im Rahmen seiner Betriebsratstätigkeit verarbeiteten Daten des Beschäftigten aufzufordern. Es sind die Datenquellen zu ermitteln und die sich aus ihnen ergebenden Daten des Betroffenen zu sammeln und zu sichten.
Es sollte insbesondere detailliert geprüft werden, ob durch die Weitergabe der die Daten und Auskünfte enthaltenden Dokumente eine unverhältnismäßige Beeinträchtigung der wirtschaftlichen Freiheit des Verantwortlichen oder Geheimhaltungsinteressen des Verantwortlichen oder eines Dritten bedroht würden. Ist dies der Fall, sind ggf. vor Aushändigung an den Arbeitnehmer Schwärzungen in den Dokumenten vorzunehmen. Ggf. ist an eine NDA-Lösung zu denken.
Die Frage nach dem Umfang der datenschutzrechtlichen Auskunftserteilung in (teilweise langandauernden) Arbeitsverhältnissen kann nicht pauschal oder gar abschließend beantwortet werden. Es empfiehlt sich daher ein stufenweiser Vorgang mit der Maßgabe, dass in einem ersten Aufschlag die Auskunft über die verarbeiteten personenbezogenen Daten spiegelbildlich zum Detaillierungsgrad des Auskunftsbegehrens erteilt wird. Im Falle der – von Beschäftigten häufig zur Substantiierung ihres Tatsachenvortrags im Kündigungsschutzverfahren oder einem anderen Klageverfahren geltend gemachten – Forderung, Kopien bspw. von der gesamten E-Mail-Korrespondenz vorzulegen, wird der Arbeitgeber, solange noch keine Entscheidung des Europäischen Gerichtshofs hierzu ergangen ist, gut damit fahren, zunächst nur exemplarische und geschwärzte Kopien der E-Mails vorzulegen und zeitgleich um eine Konkretisierung des Auskunftsbegehrens (Zeitraum, Teilnehmende an der E-Mail-Korrespondenz etc.) bitten.
Fazit: Präventives und organisiertes Vorgehen erleichtert die Handhabe
Es zeigt sich: Wer bereits im Vorfeld Maßnahmen ergreift und insbesondere den Betriebsrat frühzeitig einbindet, erspart sich später Einiges an Kosten und Zeit. Es empfiehlt sich, einen Standardprozess bei der Erfüllung von Auskunftsbegehren der Beschäftigten zu etablieren und Verarbeitungsverzeichnisse detailliert und aktuell zu führen. Ggf. sollten die zuständigen Personen besonders geschult werden.
Letztendlich geht es nicht bloß um eine datenschutzrechtliche Compliance, sondern auch um eine Minimierung des Vergleichsdrucks, der durch solche Begehren von Beschäftigten gerade in laufenden Klageverfahren versucht wird und insgesamt eine Senkung der (Personal-, Rechtsanwalts-)Kosten.
Sie haben weitere Fragen zu diesem Thema?
Passend dazu:
Betriebsratsvergütung und Compliance – aktuelle und künftige Rechtslage
Juli 2024
- Andre Gieseler
Auskunfts- und Kopieverlangen nach Art. 15 DSGVO
März 2022
- Andre Gieseler
Die Datenschutzgrundverordnung kommt
Februar 2018
- Dr. Rajko Herrmann