Welche Neuerungen anstehen und was jetzt zu tun ist
Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung in Kraft. Dies führt zu einer grundlegenden Neuregelung des europäischen Datenschutzrechts und hat auch weitreichende Konsequenzen für deutsche Arbeitgeber!
Was ist neu?
Die Datenschutzgrundverordnung (kurz DSGVO) bringt wichtige Neuerungen zum Umgang mit personenbezogenen Daten auch im Beschäftigungsverhältnis. So sind ab Mai 2018 u.a. Systeme und Anwendungen datenschutzfreundlich voreinzustellen bzw. zu konzipieren oder bestimmte Formen der Datenverarbeitung vorab einer besonderen Prüfung zu unterziehen (Datenschutzfolgenabschätzung) bzw. bestimmte Prozesse und Verfahren zum Datenschutz vorzuhalten. Arbeitnehmer haben künftig u.a. erweiterte Ansprüche auf Auskunft, Löschung und Übertragung ihrer Daten. Nunmehr gibt es einige Hilfestellungen und mehr Klarheit in wesentlichen, bislang unklaren Punkten, die wir zusammen mit den übrigen relevanten „To-Do’s“ in zwei Teilen unseres Blogs vorstellen:
Wann dürfen personenbezogene Daten zukünftig verarbeitet werden?
Weiterhin dürfen Arbeitnehmerdaten nur bei Vorliegen einer Erlaubnis (i. S. d. Art. 6 DSGVO), verarbeitet werden (nach Gesetz, Betriebsvereinbarung, Einwilligung). Mit dem neuen BDSG sind die Rechtsgrundlagen zur Verarbeitung von Beschäftigtendaten schon spezifiziert (vgl. § 26 BDSG n.F.). Aus Arbeitgebersicht bleiben die Betriebsvereinbarungen und die Einwilligung des Arbeitnehmers als Erlaubnis relevant.
To Do’s:
Überprüfung der vorhandenen Verarbeitungsvorgänge auf Rechtsgrundlagen,
ggf. Überarbeitung und Neufassung von Betriebsvereinbarungen und Einwilligungen.
Dokumentation der Datenverarbeitung?
Arbeitgeber müssen ab Mai 2018 ein Verzeichnis über ihre Verarbeitungstätigkeiten führen (Art. 30 DSGVO). Die Anforderung an dieses Verzeichnis ähneln zwar dem bisherigen BDSG-Verfahrensverzeichnis, jedoch sind noch weitere Angaben erforderlich.
To Do’s:
Überprüfung des bestehenden Verfahrensverzeichnisses auf fehlende Informationen,
Ergänzen der fehlenden Informationen.
Verpflichtung zur Datenschutzfolgenabschätzung?
Arbeitgeber müssen bei bestimmten Formen der Datenverarbeitung eine sog. Datenschutzfolgenabschätzung durchführen (Art. 35 DSGVO). Unklar war bisher, wann dies nötig sein wird. Hierzu gibt es erste Konkretisierungen durch einen Katalog besonders datenschutzrelevanter Verarbeitungsvorgänge (siehe Working Paper WP 248 der Datenschutzgruppe nach Art. 29): Hierzu zählen u.a. Profiling (Erstellen von Profilen/Prognosen), systematische Überwachung, automatisierte Entscheidungsfindung, Verarbeitung besonders sensitiver Daten (z.B. Krankheitsdaten, Straftaten), automatisierter Datenabgleich oder neue Techniken mit Risikopotential etc.
Die Datenschutzfolgenabschätzung ist schriftlich zu dokumentieren und besteht im Wesentlichen aus folgenden Schritten:
Bestimmung des Risikos für die Rechte der Arbeitnehmer,
Planung und Prüfung von Abhilfemaßnahmen und Sicherheitsvorkehrungen,
Sofern trotz Schutzmaßnahmen hohes Sicherheitsrisiko verbleibt, ist die zuständige Datenschutzbehörde zu konsultieren.
To Do’s:
Prüfung, ob Datenschutzfolgenabschätzung nötig ist
ggf. Durchführung einer Datenschutzfolgenabschätzung
„Data Breach – Reporting“
Jeder Verlust sowie jede unerlaubte Preisgabe und Änderung von Arbeitnehmerdaten (Data Breach) mit Risikopotential ist innerhalb von 72 Stunden nach Bekanntwerden der zuständigen Behörde und unverzüglich dem Betroffenen zu melden. Es müssen Prozesse zur internen, vertraulichen Meldung von Datenschutzverstößen bestehen. Damit steigen die Anforderungen an das Datenschutz-Compliance-Management erheblich. Unternehmen müssen ihre interne und externe Datenverarbeitung und –speicherung zukünftig regelmäßigen Überprüfungen unterziehen, um einen Data Breach rechtzeitig feststellen zu können. Bußgeldbewehrt ist auch das Nichtergreifen geeigneter Sicherheitsmaßnahmen.
To Do’s:
Überprüfung der Compliance Maßnahmen bzgl. möglicher Datenpannen,
Einführung eines formalisierten Prozesses zur Meldung von Datenpannen.
Im zweiten Teil erläutern wir die wichtigen To Do’s zu den weitreichenden Rechten der Arbeitnehmer sowie die geschärften Anforderungen an unternehmensinterne Datenschutzprozesse.