DSGVO
83
Checkliste I:
Diese Fragen muss
HR selbst angehen
Vor dem Hintergrund der dargestellten Anforderungen des neu-
en Datenschutzrechts kann die nachfolgende Checkliste eine
Hilfestellung geben. HR kann so prüfen, ob in den Kernbereichen
die datenschutzrechtlichen Vorgaben erfüllt werden.
Prüfschritt 1: Die Betroffenenrechte
Sind die Beschäftigten sowie Bewerber nach Art. 13, 14 DSGVO
darüber informiert worden, zu welchen Zwecken ihre personen-
bezogenen Daten erhoben werden, wer Datenschutzbeauftragter
ist, an welche Empfänger die Daten gehen und welche Betroffe-
nenrechte die Arbeitnehmer nach der DSGVO haben?
Die Informationspflicht gilt zum Zeitpunkt der Datenerhe-
bung, bei Arbeitnehmern also bei der Einstellung. Für Bestands-
mitarbeiter gilt, dass diese so schnell wie möglich nach Inkraft-
treten der DSGVO informiert werden müssen. Unterbleibt die
Information, drohen Bußgelder.
➜
Praxistipp: Die Information kann schriftlich oder in einer
anderen Form, das heißt auch elektronisch erfolgen. Sie kann
zum Beispiel über Informationsblätter (diese sollten aus Be-
weisgründen von den Mitarbeitern gegengezeichnet werden)
oder auch über das Intranet (sofern alle Mitarbeiter über einen
Zugang verfügen und vorher darauf hingewiesen wurden) erfol-
gen. Bei Bewerbern bietet sich beispielsweise eine Umsetzung
der Information mit der Eingangsbestätigung der Bewerbung an.
Prüfschritt 2: Das Datengeheimnis
Sind die Arbeitnehmer nach den Vorschriften der DSGVO erneut
auf den Datenschutz (früher auf das Datengeheimnis nach § 5
BDSG) verpflichtet worden?
Insbesondere aus der besonderen Rechenschaftspflicht nach
der DSGVO ergibt sich: Eine Neubelehrung der Arbeitnehmer
auf den Datenschutz ist sinnvoll, da diese die Bemühungen des
Arbeitgebers zur Umsetzung der DSGVO manifestiert.
➜
Praxistipp: Auch wenn sich letztlich nur die Vorschriften
ändern und sich die Verpflichtung nach Art. 29 DSGVO, 5 Abs.
1 lit. b und f DSGVO nur mittelbar ergibt, sollte diese auf das
Datengeheimnis an die DSGVO angepasst werden.
Prüfschritt 3: Die Betriebsvereinbarungen
Sind die bestehenden Betriebsvereinbarungen auf DSGVO-Kon-
formität überprüft worden?
Eine Betriebsvereinbarung ist gemäß Art. 88 DSGVO in Ver-
bindung mit § 26 Abs. 4 BDSG weiterhin Erlaubnisgrundlage für
die Verarbeitung personenbezogener Daten. Zudem erfüllt sie im
Bereich der zwingenden Mitbestimmung (zum Beispiel bei § 87
Abs. 1 Nr. 6 BetrVG) zugleich die Mitbestimmungsrechte des Be-
triebsrats. Betriebsvereinbarungen müssen künftig insbesondere
den Transparenzanforderungen der DSGVO gerecht werden: Die
Beschäftigten, deren Daten verarbeitet werden, müssen wissen
• warum und zu welchem Zweck dies geschieht,
• wie lange genau und welche Informationen verarbeitet werden,
• welche Wege sie gehen,
• wie sie gespeichert und geschützt werden.
Dies alles muss in klarer und verständlicher Sprache in der Be-
triebsvereinbarung zum Ausdruck kommen.
➜
Praxistipp: Werden diese Vorgaben missachtet, besteht die
Gefahr, dass eine Betriebsvereinbarung als datenschutzrecht-
liche Erlaubnisgrundlage nicht ausreicht, da sie nicht den An-
forderungen der DSGVO entspricht. Dann ist die Verarbeitung
von personenbezogenen Daten ohne die erforderliche Erlaubnis-
grundlage erfolgt, sofern sie im Einzelfall nicht bereits durch ein
Gesetz (etwa § 26 Abs. 1 BDSG) gedeckt ist. Das ist zum Beispiel
bei einem IT-System der Fall, das personenbezogene Daten spei-
chert und nicht zwingend zur Durchführung des Arbeitsverhält-
nisses erforderlich ist, etwa bei einer IT-Beschwerdehotline oder
Ähnlichem. Der Arbeitgeber riskiert dann ein Bußgeld.
Prüfschritt 4: Die Einwilligungen
Wurden die Einwilligungserklärungen auf DSGVO/BDSG-Konfor-
mität überprüft? Die Einwilligung nach der DSGVO muss gemäß
Art. 7 DSGVO in Verbindung mit § 26 Abs. 2 BDSG,
• informiert erfolgen. Das heißt, der Arbeitgeber muss den
Arbeitnehmer zuvor in klarer und einfacher Sprache, getrennt
von anderen Sachverhalten – insbesondere dem Arbeitsvertrag
– über den Zweck der Datenerhebung und ihre jederzeitige
Widerruflichkeit – mindestens in Textform – aufklären.
• sich auf die konkret zu verarbeitenden Daten und den kon-
kreten Verwendungszweck beziehen. Sie darf nicht pauschal
erteilt und muss grundsätzlich durch eigenhändige schrift-
liche Namensunterschrift des Arbeitnehmers erklärt werden.
• freiwillig sein. Die im Beschäftigungsverhältnis bestehende
Abhängigkeit der beschäftigten Person sowie die Umstände,
unter denen die Einwilligung erteilt wurde, sind zu berück-
sichtigen. Wann jedoch zum Beispiel, wie es § 26 Abs. 2 BDSG
fordert, ein rechtlicher oder wirtschaftlicher Vorteil mit der
Datenverarbeitung erreicht wird (dies kann nach der Gesetzes-
begründung etwa bei Einführung eines betrieblichen Gesund-
heitsmanagements der Fall sein oder wenn der Arbeitgeber
die private Nutzung von betrieblichen IT-Systemen erlaubt)
oder rechtlich gleich gelagerte Interessen verfolgt werden (die
Gesetzesbegründung nennt hier die Aufnahme von Name und
Geburtsdatum in eine Geburtstagsliste), ist im Einzelfall un-
klar. Hier ist die diesbezügliche Rechtsprechung abzuwarten.
➜
Praxistipp: Im Ergebnis ist auf die Einwilligung als alleinige
Rechtfertigungsgrundlage nur dann abzustellen, wenn andere
Rechtfertigungsgründe (Rechtsvorschrift, Betriebsvereinbarung)
ersichtlich ausscheiden. Als zusätzliche Rechtfertigungsgrundla-
ge sollte die Einwilligung jedoch auch nur dann genutzt werden,
wenn Zweifel daran bestehen, dass andere Rechtfertigungs-
gründe tauglich sind.
Zudem muss die Freiwilligkeit der Einwilligung zweifelsfrei
feststehen. Andernfalls besteht – anders als beim Widerruf der
einmal erteilten freiwilligen Einwilligung – die Gefahr, dass die
Datenverarbeitung auch nicht mehr auf andere, gegebenenfalls
bestehende Rechtfertigungsgründe gestützt werden kann.
