Am 25. Mai 2018 treten zeitgleich die EU-Datenschutzgrundverordnung (DSGVO) und das neue deutsche Datenschutzgesetz in Kraft. Übergangsvorschriften gibt es nicht, die neuen gesetzlichen Vorgaben gelten ab dem ersten Tag ohne Einschränkungen.
Um den gesetzlichen Neuregelungen in der Praxis zum Erfolg zu verhelfen, hat die EU empfindliche Bußgelder für Verstöße auch gegen allgemeine Datenschutzgrundsätze beschlossen. Im schlechtesten Fall drohen Bußgelder von bis zu 20 Mio Euro oder (wenn dieser Betrag höher ist) bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres.
Besonderheiten gelten wie bisher für den Beschäftigten-Datenschutz. Dieser Beitrag erläutert, welche organisatorischen Schritte bei Unternehmen, die das Thema bislang zurückgestellt haben, nunmehr kurzfristig geboten sind, um den Handlungsbedarf zu ermitteln und größere finanzielle Risiken ab dem Frühjahr 2018 zu vermeiden.
I. Status Quo Analyse vor dem Hintergrund der neuen gesetzlichen Anforderungen
Am Beginn der Prüfung, ob und inwieweit Handlungsbedarf besteht, sind sinnvollerweise die neuen Anforderungen der DSGVO und des deutschen Datenschutzgesetzes zu erfassen.
Parallel dazu ist eine Analyse des aktuellen Status Quo der Verarbeitung von Beschäftigtendaten im Unternehmen vorzunehmen. Fragen, die beantwortet werden müssen, sind unter anderem:
- Welche personenbezogenen Daten von Beschäftigten werden verarbeitet?
- Was sind die Zwecke der Datenverarbeitungen?
- Wie werden Daten verarbeitet?
- Welche Datenanwendungen bestehen – welche Datenanwendungen sind im aktuellen Verarbeitungsverzeichnis gelistet, welche fehlen?
- Wird Profiling genutzt?
- Besteht Dokumentationspflicht, wie wird diese erfüllt?
Besonderheiten gelten für die Datenverarbeitung im Ausland, insbesondere außerhalb der EU und für den Fall der Nutzung von Datenverarbeitung bei Dienstleistung (Auftragsverarbeitung)
Im Anschluss an die Bearbeitung der Fragen ist zu ermitteln, auf welcher Rechtsgrundlage die Datenverarbeitung bislang erfolgt. Entsprechend der bisherigen Konzeption des europäischen und deutschen Datenschutzrechts ist der Umgang mit Daten mit einem sogenannten Verbot mit Erlaubnisvorbehalt belegt, das heißt jede Datenverarbeitung bedarf einer Rechtsgrundlage. Dies können, dies ist im Rahmen des Beschäftigungsverhältnisses durchaus nicht unwichtig, gesetzliche Erlaubnistatbestände sein (ohne einen gewissen Bestand von Daten lassen sich Arbeitsverhältnisse weder begründen, noch administrieren, noch beenden).
Weiter kommt (wie bisher) auch die Einwilligung der Betroffenen in Betracht. Insoweit gelten künftig allerdings erheblich verschärfte Anforderungen.
Schließlich kommt in Unternehmen mit Betriebsrat auch Betriebsvereinbarungen als Erlaubnistatbestand Bedeutung zu. Insoweit ist bei bestehenden Betriebsvereinbarungen, die sich mit der Erfassung und Bearbeitung von Beschäftigtendaten befassen allerdings zu prüfen, ob diese den neuen Vorgaben der Datenschutzgrundverordnung und des deutschen Datenschutzgesetzes entsprechen. Dies wird oftmals nicht der Fall sein.
Der erwartbare Nachbesserungsbedarf liegt daran, dass insbesondere die Datenschutzgrundverordnung umfangreiche Informationspflichten vorsieht, so müssen den Betroffenen (Arbeitnehmern) u.a. folgende Angaben gemacht werden:
- Kontaktdaten der betrieblich zuständigen Stellen
- Zwecke / Rechtsgrundlage der Verarbeitung
- Gegebenenfalls: berechtigtes Interesse der verarbeitenden Stellen
- Empfänger der Daten
- Gegebenenfalls Übermittlung in Drittländer
- Dauer der Speicherung
- Information über Betroffenenrechte
Die Informationsrechte umfassen auch insbesondere Auskunftsrechte, Berichtigungsrechte, Angaben zu Datenübertragbarkeit, zu Datenlöschung, zur Einschränkung der Verarbeitung, zum möglichen Widerspruch gegen Verarbeitung, zur möglichen Beschwerde bei Aufsichtsbehörden und zum jederzeitigen Widerruf einer Einwilligung.
Vorstehende Rechte müssen nicht nur faktisch gewährt werden, vielmehr müssen die betroffenen Arbeitnehmer hierauf aktiv hingewiesen werden.
Darüber hinaus ist zu prüfen, ob es ein betriebsfähiges Konzept zur unternehmensweiten Löschung von Daten über alle Funktionsbereiche und IT-Systeme hinweg gibt. Weiter ist die Frage zu stellen, ob personenbezogene Daten in einem strukturierten, üblichen und maschinenlesbaren Format gegebenenfalls weitergegeben werden können. Zu prüfen ist weiter, ob Schutzverletzungen über entsprechende unternehmensinterne Prozesse systematisch zuverlässig und nachvollziehbar dokumentiert sind. Schließlich ist zu analysieren, ob Prozesse eine gegebenenfalls erforderliche Meldung von Schutzverletzungen an Aufsichtsbehörden und die betroffenen Personen gewährleisten.
Auch die Sicherheit der Datenverarbeitung ist zu prüfen und gegebenenfalls zu dokumentieren.
So ist unter anderem zu prüfen, ob ein Informationssicherheitsmanagementsystem im Einsatz ist und die die Privacy by Design / Privacy by default Vorgaben der Datenschutzgrundverordnung implementiert sind.
Zu analysieren ist welche Vorkehrung gegen Datenschutzverletzungen bereits existieren und ob die in der Datenschutzgrundverordnung genannten technischen und organisatorischen Maßnahmen (z.B. Pseudonymisierung und Verschlüsselung) bereits soweit wie möglich berücksichtigt sind.
Schließlich ist zu prüfen, ob im Unternehmen bereits ein Prozess zur Datenschutz-Folgenabschätzung existiert.
Eine besondere Rolle kommt dabei naturgemäß dem Datenschutzbeauftragten zu, der künftig in weit größerem Maße als bisher Verantwortung wahrnimmt. Insoweit ist in der arbeitsrechtlichen Literatur noch umstritten, ob sich hieraus sogar eine Garantenstellung ablesen lässt, die die Haftungsrisiken für Datenschutzbeauftragte erheblich erhöhen würde.
II. Abgleich Ist / Soll
Unter Berücksichtigung der vorsehenden Analyseschritte, die nur einen Ausschnitt aus den insgesamt notwendigen Maßnahmen darstellen, ist vor dem Hintergrund der neuen gesetzlichen Regelungen eine kritische Bestandaufnahme vorzunehmen. Dabei sind diejenigen Bereiche klar zu identifizieren, in denen noch Handlungsbedarf besteht.
III. Umsetzungsplanung
Hieran schließt sich die zeitliche und Budget-Planung der erforderlichen Schritte an. Angesichts der Komplexität und Vielfältigkeit der Aufgaben ist eine Priorisierung sinnvoll.
Dies bedeutet, dass vor dem Hintergrund der Bußgeldtatbestände der Datenschutzgrundverordnung diejenigen Bereiche zu identifizieren sind, in denen noch besonderer Handlungsbedarf besteht, und hohe Bußgelder im Falle der Nichtbeachtung der gesetzlichen Vorgaben bestehen.
Zu dem regelmäßig erforderlichen Maßnahmenkatalog zählt die Erstellung bzw. Überarbeitung einer Datenschutzrichtlinie. Eine klare Prozessgestaltung bedeutet insoweit insbesondere auch eine Schulung des gesamten mit der Datenverarbeitung befassten Personals, eine umfangreiche Dokumentation einschließlich der Überarbeitung der Verträge und Betriebsvereinbarungen sowie eine kritische Bestandsaufnahme der IT-Sicherheitssysteme.
III. Zusammenfassung
Zusammenfassend ergibt sich aus den gesetzlichen Erneuerungen, die in knapp sechs Monaten in Kraft treten, in vielen Unternehmen erheblicher Handlungsbedarf. Dies bedeutet, dass mit der Analyse, sofern diese noch nicht abgearbeitet wurde, unverzüglich begonnen werden muss. Sobald das Ergebnis der Analyse vorliegt und der Handlungsbedarf feststeht ist ein Planungsprozess festzulegen, an dessen Beginn die Durchführung der wichtigsten Maßnahmen steht.
Federführend werden insoweit zunächst die IT-Abteilung bzw. externe IT Berater sein, die Umsetzung gegenüber den Arbeitnehmern und Arbeitnehmervertretern ist jedoch Aufgabe der Personalabteilung. Die Koordination zwischen den Beteiligten und die Organisation der Abläufe und Verhandlungen stellt im Hinblick auf den 25.05.2018 eine beachtliche Herausforderung dar, selbst wenn bereits mit dem Prozess begonnen wurde.