72
RECHT
_BESCHÄFTIGTENDATENSCHUTZ
personalmagazin 04/17
anderen Quellen stammen, sieht Artikel
14 DS-GVO einen vergleichbaren Kata-
log von Informationspflichten vor, wobei
hier spezielle Fristenregelungen zu be-
achten sind. Zudem kann die Informa-
tionspflicht, wenn die Datenerhebung
nicht beim Betroffenen erfolgt, infolge
eines unverhältnismäßigen Aufwands
nach der DS-GVO entfallen. Für den Fall
der Datenerhebung beim Betroffenen ist
eine entsprechende Regelung nur in §
32 Abs. 1 Ziff. 1 BDSG n.F. vorgesehen.
Strengere Anforderungen an den
Zweck der Datenverarbeitung
Verschärft wird auch die Zweckbindung
der Datenverarbeitung. Sie ist nicht nur
Teil der Informationspflichten des Ar-
beitgebers, sondern grundsätzlich auch
Voraussetzung der rechtmäßigen Daten-
verarbeitung und muss sich entweder
aus einer Rechtsvorschrift oder der Ein-
willigung ergeben. Nur ausnahmsweise
und unter strengen Voraussetzungen
soll nach Artikel 6 Abs. 4 DS-GVO ein
„anderer Zweck“ mit dem ursprüngli-
chen Zweck vereinbar sein. Sinnvoller
und rechtssicherer ist es daher, wenn
sämtliche denkbaren Zwecke bei der Er-
hebung der Daten festgelegt und die Be-
schäftigten darüber informiert werden.
Beschäftigte können künftig in weit
größeremUmfang als bisher vomArbeit-
geber Auskunft über die gespeicherten
Daten verlangen (Artikel 15 DS-GVO).
Hier findet sich ebenfalls ein weit ge-
fasster Katalog von Auskunftsgegenstän-
den. Zu denen gehören die Zwecke und
etwaige Datenübermittlungen in Dritt-
länder. In Bezug auf das Auskunftsrecht
ist jedoch von besonderer Bedeutung,
dass nach Artikel 15 Abs. 3 DS-GVO der
Verantwortliche den Beschäftigten eine
Kopie der personenbezogenen Daten, die
Gegenstand der Verarbeitung sind, zur
Verfügung stellen muss. Insofern wird
durch die DS-GVO das Einsichtsrecht
in die Personalakte nach § 83 BetrVG
erweitert. Unklar ist, was genau unter
einer „Kopie“ zu verstehen ist. Dies
könnten tatsächlich Kopien aller Doku-
mente sein, die personenbezogene Da-
ten des Betroffenen enthalten. Das wäre
allerdings nicht praktikabel und würde
den Arbeitgeber vor kaum lösbare Pro-
bleme stellen, denn in einem längeren
Berufsleben hinterlassen Beschäftigte
unzählige Spuren insbesondere in den
EDV-Systemen. Ein uneingeschränkter
Anspruch auf Kopien wäre hier nicht
erfüllbar. Jedoch fehlt es an einer Ein-
schränkung des Anspruchs auf Kopien,
sodass abzuwarten bleibt, wie Daten-
schutzbehörden und Rechtsprechung
mit dieser Frage umgehen werden.
Bei der Löschung der Daten ist zu
beachten, dass der Arbeitgeber, wenn
er personenbezogene Daten öffentlich
gemacht hat (etwa im Internet), Dritte,
die diese Daten verarbeiten, darüber in-
formieren muss, dass die Löschung ver-
langt wurde (Artikel 17 Abs. 2 DS-GVO).
Weiterhin kein Konzernprivileg,
Bußgeld bis zu 20 Millionen Euro
Auch nach dem 25.5.2018 wird es kein
datenschutzrechtliches Konzernprivileg
geben, weiterhin wird gelten, dass jede
Übermittlung personenbezogener Daten
einer Rechtsgrundlage bedarf. Konkret:
Sie muss nach § 26 BDSG n.F. für die
Durchführung des Arbeitsverhältnisses
erforderlich sein. Immerhin heißt es in
den Gründen zur Datenschutz-Grund-
verordnung, dass Konzernunternehmen
ein berechtigtes Interesse daran haben
können, personenbezogene Daten in-
nerhalb der Unternehmensgruppe für
interne Verwaltungszwecke zu über-
mitteln, sodass an der Weitergabe per-
sonenbezogener Beschäftigtendaten im
Konzern grundsätzlich ein berechtigtes
Interesse bestehen kann.
Das Bußgeld bei einer rechtswidrigen
Verarbeitung von Beschäftigtendaten
wird durch die neue Datenschutz-Grund-
verordnung extrem erhöht: Es kann bis
zu 20 Millionen Euro oder vier Prozent
des gesamten, weltweit erzielten Jah-
resumsatzes des vorangegangen Ge-
schäftsjahrs betragen. Dies gilt auch bei
Verletzung von Rechten der Betroffenen,
einschließlich des Rechts auf Auskunft,
Information und Kopien.
Fazit: Arbeitnehmerdatenschutz
gewinnt an Bedeutung
Arbeitgeber werden künftig neben dem
neuen Bundesdatenschutzgesetz auch
die DS-GVO beachten müssen. Die heu-
te geltenden Regelungen in § 32 BDSG
werden im Wesentlichen vom neuen
BDSG übernommen und ergänzt durch
Regelungen zur Einwilligung von Be-
schäftigten und zu Gestaltungsmög-
lichkeiten in Betriebsvereinbarungen,
Dienstvereinbarungen oder Tarifverträ-
gen. Echte Neuerungen ergeben sich aus
der DS-GVO, insbesondere den strengen
Regelungen zur Zweckbindung und In-
formationspflichten gegenüber Arbeit-
nehmern. Im Zusammenhang mit den
erhöhten Bußgeldobergrenzen wird es
künftig daher umso wichtiger, Daten-
schutzvorschriften zu beachten und im
Betrieb umzusetzen.
JAN-MARCUS ROSSA
ist
Rechtsanwalt und Partner bei
Esche Schümann Commichau
in Hamburg.
DR. FRANK BONGERS
ist
Rechtsanwalt und Fachanwalt
für Arbeitsrecht bei Esche
Schümann Commichau.
Beschäftigte können
künftig in weit größe-
rem Umfang vom Ar-
beitgeber Auskunft über
die gespeicherten Daten
und den Zweck der Spei-
cherung verlangen.
