Arbeitnehmerdatenschutz: Worauf achten die Aufsichtsbehörden besonders?
Datenschutz hört nicht bei Patientendaten auf. Der Arbeitnehmerdatenschutz wird häufig stiefmütterlich behandelt. In aufsichtsbehördlichen Kontrollverfahren zeigt sich häufig, warum das ein großer Fehler ist: Die Behörden prüfen in der Regel ganz genau, ob Arbeitnehmerdaten rechtmäßig verarbeitet werden. Gerne wird der Fokus auf Zeiterfassungssysteme, Strukturen innerhalb der Personalabteilung, Rechte- und Rollenkonzepte im IT-System (also wer was von seinen Kollegen erfahren kann), Smartphones oder z.B. interne Kommunikation (WhatsApp?!) gelegt. Daneben werden Unterrichtungen, Betroffenenrechte-Prozesse und Datensicherheitsmaßnahmen untersucht.
Wie kann die Rechtmäßigkeitsprüfung durch Datenflussdiagramme erleichtert werden?
Arbeitgeber haben nicht nur die Rechtmäßigkeit der Datenverarbeitung sicherzustellen. Sie sind auch verpflichtet, entsprechende Nachweise zu dokumentieren und sind vollumfänglich rechenschaftspflichtig (Art. 5 Abs. 2 DSGVO).
Häufig wird ein sog. Datenflussdiagramm eingefordert, das die Datenübermittlungen innerhalb der Stelle visualisiert. Ein solches Diagramm, ähnlich einer Mindmap, kann aber auch im Rahmen eines internen Assessments erhoben werden, um die Überprüfung der Rechtmäßigkeit und die Untersuchung der Datenschutzbeauftragten zu erleichtern.
Vom Empfang der Bewerbungsunterlagen, über die Vergabe eines Vorstellungstermins, Speicherung von Arbeitnehmerdaten, Übermittlung an Sozialversicherungsträger, Steuerbehörden usw. bis hin zur Übermittlung von Namen und Portraitfotos an die Marketing- oder IT-Abteilung für ein Foto auf der Website. Jeder Schritt muss abbildbar, rechtmäßig gestaltet und nachweisbar dokumentiert sein.
Was sollte bei Arbeitnehmern im Verarbeitungsverzeichnis stehen?
Parallel dazu muss die Arbeitnehmerdatenverarbeitung hinreichend verständlich in Verarbeitungsverzeichnissen (Art. 30 DSGVO) abgebildet und regelmäßig aktualisiert werden. Das gesetzlich geforderte Verarbeitungsverzeichnis setzt sich nach Maßgabe von Art. 30 DSGVO aus einzelnen Verarbeitungstätigkeiten zusammen. Die DSGVO definiert nicht, was mit Verarbeitungstätigkeit gemeint ist.
Muster für entsprechende Verarbeitungsverzeichnisse für Ärzte und den Gesundheitssektor sind hier abrufbar. In der Praxis zeigt sich jedoch leider meist (zu spät), dass die wahre Herausforderung nicht in der Wahl der Mustervorlage, sondern in der Erstellung der Inhalte besteht. Daher übernehmen wir im Regelfall die Erstellung und Pflege der Verarbeitungsverzeichnisse für unsere Kunden. Sollten Sie an dieser Stelle eine Frage haben, sprechen Sie uns gerne an.
Warum ist die Datenschutzerklärung für Arbeitnehmer wichtig?
Zu guter Letzt müssen sämtliche Mitarbeiter darüber informiert werden, wie ihre Daten verarbeitet werden. Diese Informationen sind dabei nach Maßgabe der Art. 13, 14 DSGVO zu gestalten, allerdings – und das ist die Krux – verständlich gehalten werden. Um der Rechenschaftspflicht zu genügen, sollten diese Unterrichtungen bei allen Arbeitnehmern, die seit dem 25.05.2018 eingestellt wurden, als Anlage zum Arbeitsvertrag einbezogen werden. Bei Altverträgen bietet sich eine nachweisbar dokumentierte Rund-Email mit Lesebestätigungen an, die entsprechend dokumentiert werden muss.
Fehler bei Informationspflichten und Betroffenenrechten, z.B. beim Recht auf Auskunft gegenüber dem Arbeitgeber, werden mit Abstand die höchsten Bußgelder gegen Stellen verhängt. Es lohnt sich daher, hier sorgfältig zu arbeiten.
Beratung