Der Begriff „Personalstammdaten“ beschreibt alle in einem Unternehmen über das dort angestellte Personal erfassten Daten. Da jeder Datensatz für einen Mitarbeiter eindeutig ist, dienen sie der Identifikation jedes Mitarbeiters. Hauptmerkmal dieser Stammdaten ist deren geringe Änderungsfrequenz.
Welche Änderungen ergeben sich für die Personalabteilung aus der DSGVO?
Was sind die Änderungen bei der DSGVO (Datenschutz-Grundverordnung) im Hinblick auf die Erhebung und Verwendung von Personalstammdaten? Was müssen z. B. auch die Abteilung HR und der Betriebsrat wissen und beachten? Hier erläutern wir die relevanten Punkte, verdeutlichen, wo und in welcher Form die DSGVO Neues mit sich bringt und geben Anregungen bzgl. des Umgangs mit den neuen Anforderungen.
Stichwort Betriebsvereinbarungen
Die DSGVO gilt ab Mai 2018 in weiten Teilen des deutschen Arbeitsrechts und somit generell auch beim Abschluss neuer sowie der Anpassung bestehender Betriebsvereinbarungen. Was haben nun Parteien zu beachten, wenn sie neue Betriebsvereinbarungen schließen und gibt es Anpassungsbedarf für alle bisherigen Betriebsvereinbarungen?
Die Handhabung im BDSG
Das BDSG erlaubt in § 4 Absatz 1 die Nutzung von personenbezogenen Daten u. a. für den Fall, dass eine andere Rechtsvorschrift abseits des BDSG dies gestattet – z. B. eine Betriebsvereinbarung, die zum Inhalt des Arbeitsvertrags des einzelnen Mitarbeiters wird. Speziell § 75 Betriebsverfassungsgesetz gibt Auskunft über den möglichen datenschutzrechtlichen Rahmen einer Betriebsvereinbarung, indem auf die Grundsätze von Recht und Billigkeit verwiesen wird. Rein theoretisch (wenngleich kontrovers diskutiert und in der Praxis kaum angewendet) wäre es nach Ansicht des Bundesarbeitsgerichts möglich, mithilfe einer entsprechenden Betriebsvereinbarung den Datenschutzstandard unter das im BDSG festgelegte Niveau zu senken. Dies entfällt mit Einführung der DSGVO.
Neuerungen durch die DSGVO
Wie bekannt, sieht die DSGVO Öffnungsklauseln vor, mithilfe derer die Mitgliedstaaten nationale Datenschutzregelungen treffen können. Dies betrifft ebenfalls die Betriebsvereinbarungen: Artikel 88 Absatz 1 DSGVO gestattet den Mitgliedstaaten, mittels „Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften für den Beschäftigtendatenschutz“ festzulegen. Neu ist, dass die DSGVO einen klaren Rahmen definiert, in dem sich Betriebsvereinbarungen bewegen dürfen. Die DSGVO liefert hierzu an o. g. Stelle einen Kriterienkatalog. Artikel 88 Absatz 2 DSGVO setzt darüber hinaus einen Maßstab an, den der Gesetzgeber bei Überarbeitungen des Betriebsverfassungsgesetzes und Betriebsparteien beim Abschluss entsprechender Vereinbarungen befolgen sollen.
Was bedeutet das für Personalstammdaten?
Zunächst einmal: Das Europarecht hat Anwendungsvorrang. Und: Die DSGVO gilt unmittelbar, was bedeutet, dass ab dem Stichtag kein entgegenstehendes nationales Recht mehr angewendet werden darf. Die Verordnung ist somit fortan der Maßstab, auch und gerade für den Umgang mit Personalstammdaten. Dies bedeutet somit ebenso, dass das Betriebsverfassungsgesetz im Sinne der DSGVO ausgelegt werden muss, wenn es um Betriebsvereinbarungen mit datenschutzrechtlichen Bezügen geht.
Betriebsvereinbarung – die entscheidenden Punkte:
Beim Abfassen bzw. Anpassen von Betriebsvereinbarungen muss bzgl. der Personalstammdaten Folgendes berücksichtigt werden:
- Informationspflicht bei der Erhebung von Personalstammdaten
- dahingehende Auskunftsrechte der betroffenen Personen
- Recht auf Berichtigung, Löschung, Sperrung der Daten
- die dazugehörigen Mitteilungspflichten des Unternehmens
- Recht auf Datenübertragbarkeit (z. B. bei Arbeitgeberwechsel)
- das Widerspruchsrecht der Betroffenen
- sowie Rechte bei Profiling-Maßnahmen.
Die Beweislastumkehr: DSGVO bringt wichtige Änderung
Eine elementare Veränderung im Vergleich zum BDSG ist die Beweislastumkehr. Konkret bedeutet das, dass Unternehmen nunmehr nachweisen müssen, dass sie keinen Verstoß mit personenbezogenen Daten begangen haben. Dies ist ein entscheidender Unterschied zur bisherigen Handhabung, nach der der Betroffene den Verstoß nachweisen musste und für die Unternehmen die „Unschuldsvermutung“ galt.
Rechenschaftspflicht für Unternehmen
Es besteht darüber hinaus für die Unternehmen eine Rechenschaftspflicht, deren Umsetzung zu dokumentieren ist. Ein tragfähiges Sicherheitskonzept ist festzulegen; die jeweiligen Prozesse sind zu beschreiben und Prüfkonzepte für Kontrollroutinen zu dokumentieren. Es empfiehlt sich darüber hinaus, Tätigkeitsnachweise zu führen und automatisiert zu protokollieren.
Vorgehensweise im Fall einer Datenpanne
Unternehmen haben sich für einen möglichen Ernstfall zu rüsten: Meldeprozesse für eventuelle Datenpannen sind zu etablieren – inkl. der unverzüglichen Benachrichtigung der betroffenen Mitarbeiter, der verantwortlichen Stellen im Unternehmen sowie der Datenschutzbehörden. Vor dem Hintergrund des drakonischen Strafmaßes, das die Einführung der DSGVO mit sich bringt, ist dies entscheidend.
An all diesen Punkten zeigt sich, wie wichtig eine probate Vorbereitung im Hinblick auf die DSGVO ist: Die unternehmenseigenen Prozesse und Dokumente müssen transparent und so aufgestellt sein, dass ein Nachweis der eigenen Unschuld jederzeit kurzfristig erbracht werden kann.
Hierbei ist APplus eine wertvolle Hilfe, dann als ERP-System auf dem stets aktuellen Stand bietet es die optimale Basis für die permanente Erfüllung aller Anforderungen der DSGVO.
Rechtlicher Hinweis:
Die kostenlosen und frei zugänglichen Inhalte dieser Webseite wurden mit größtmöglicher Sorgfalt erstellt. Wir weisen jedoch ausdrücklich darauf hin, dass wir keine Gewähr oder sonstige Verantwortung für die Richtigkeit, Aktualität oder Vollständigkeit der auf dieser Webseite bereitgestellten journalistischen Ratgeber und Informationen übernehmen.
Die Inhalte auf dieser Webseite dienen weder als rechtliche Beratung für Ihr Unternehmen, auf die Sie sich bei der Einhaltung der gesetzlichen Regelungen zum Datenschutz – insbesondere der DSGVO – stützen können noch können sie eine individuelle Rechtsberatung ersetzen.
Durch den Aufruf dieser kostenlosen und frei zugänglichen Inhalte kommt darüber hinaus mangels eines entsprechenden Rechtsbindungswillens unsererseits keinerlei Vertragsverhältnis zwischen uns und Ihnen als Nutzer der Webseite zustande.
