Die Europäische Union wollte beim Schutz personenbezogener Daten nachbessern, denn die Vorläuferrichtlinie für den Datenschutz erreichte nie das Niveau, das die EU-Behörde für angemessen hielt. Jetzt umfasst die DSGVO 99 Artikel und stützt damit die Rechte von Personen beim Datenschutz deutlich mehr als bislang. Zugleich drohen bei Verstößen gegen die Vorschriften harte Strafen. Damit sind gerade Arbeitgeber konfrontiert, und deshalb ist eine Auseinandersetzung darüber, wie mit personenbezogenen Daten umzugehen ist, für Unternehmen auch ein Selbstschutz.
Kein expliziter Datenschutz für Beschäftigte
Dabei sieht die DSGVO keinen expliziten Datenschutz für Angestellte und andere Beschäftigte in Unternehmen vor. Sie enthält allein eine Öffnungsklausel in Artikel 88 Absatz 1. Der deutsche Gesetzgeber begnügt sich bei diesem Thema mit einer Regelung in § 26, die eng an die Vergleichsvorschrift im alten Bundesdatenschutzgesetz angelehnt ist. Trotzdem ist für Arbeitgeber aus den Betroffenenrechten der DSGVO einiges für den Umgang mit personenbezogenen Daten abzuleiten.
Das trifft vor allem auf die Transparenz zu. So schreibt die Verordnung ab Artikel 12 entsprechende Informationspflichten vor, die deutlich weiter gefasst sind als die bisherige Regelung laut dem Bundesdatenschutzgesetz. So wird zwischen der Erhebung von Daten bei den betroffenen Personen und der Erhebung von Daten, die nicht bei den Personen stattfindet, unterschieden. Die Informationsrechte werden in den Artikeln 13 und 14 detailliert erläutert. Beispielsweise sind einzelne Fälle zu beachten, bei denen Transparenz in der Datenerhebung strikt vorgeschrieben ist.
Auch regelt die DSGVO strikt die zeitlichen Vorgaben, um der Informationspflicht korrekt nachzukommen. So sind Personen bereits zu dem Zeitpunkt über die Datenerhebung bei den Betroffenen zu informieren, wenn ihre Fälle den Vorgaben laut Artikel 13 entsprechen. Liegt die Erhebung nicht bei den Betroffenen, räumt die Verordnung in Artikel 14 eine Vorschrift zur Information „innerhalb einer angemessenen Frist“ ein. Die Obergrenze wird hier bei einem Monat gesetzt.
Gestärkte Rechte von Privatpersonen
Weiter steht den Personen bei einer Datenerhebung das Recht zu, zu erfahren, ob die personenbezogenen Daten über sie weiterverarbeitet werden (Artikel 15). Wenn das zutrifft, können die Personen ihr Auskunftsrecht einfordern. Darunter fallen Auskünfte über den Zweck der Verarbeitung, die Kategorien der verarbeiteten Daten, die Empfänger, gegenüber denen die Daten offengelegt werden, die zeitliche Dauer der Datenspeicherung, das Recht auf Korrektur oder Löschung der Daten und das Recht auf Beschwerde bei einer Aufsichtsbehörde.
Die DSGVO schreibt weiterhin eine Pflicht zur Rechenschaft in Artikel 5 vor. Demnach muss die verantwortliche Person bei der Datenerhebung belegen können, die vorgeschriebenen Grundsätze einzuhalten. An einer anderen Stelle in der Verordnung ist die Dokumentation von technischen und organisatorischen Maßnahmen vorgeschrieben (Artikel 24). Die verantwortliche Person muss also beweisen können, alle Vorgaben für die Datenerhebung und den Umgang mit Daten eingehalten zu haben.
Wie die Dokumentation im Einzelfall auszusehen hat, ist ebenfalls in der DSGVO in verschiedenen Artikeln vorschrieben. So steht in einschlägigen Fällen immer die für die Datenerhebung verantwortliche Person in der Pflicht, nicht etwa der Datenschutzbeauftragte. So muss die verantwortliche Person ein Verfahrensverzeichnis führen. Dieses muss bestimmte Angaben enthalten, etwa Name und Kontaktdaten der verantwortlichen Person, den Zweck der Datenverarbeitung oder eine Kategorisierung der betroffenen Personen, der personenbezogenen Daten und der Datenempfänger.
Hände weg von Daten aus privaten Netzwerken
Personalabteilungen sind von den beschriebenen neuen Vorschriften zum Datenschutz in vielen Arbeitsprozessen direkt betroffen. Das betrifft beispielsweise Bewerbungen. Dort ist erhöhte Diskretion und Sorgfalt im Umgang mit sensiblen personenbezogenen Daten geboten, sowohl innerhalb des Unternehmens, im Kontakt mit Bewerbern, aber auch in der Zusammenarbeit mit Personaldienstleistern.
Also ist den Unternehmen dringend zu raten, sich beim Umgang mit personenbezogenen Daten von Bewerbern absichern. Umgekehrt sollten auch die Bewerber ihre Rechte beim Datenschutz kennen. Das gilt nicht allein für die Daten, die sie im Zusammenhang mit einer Bewerbung preisgeben, sondern auch für Daten, die sie in sozialen Medien veröffentlichen. Betroffene Personen können ab sofort einfordern, dass ihre gespeicherten Daten ihnen gegenüber transparent gemacht werden. Bei Bedarf können sie auch die Korrektur falscher Daten fordern. All das erschwert Big-Data-Analysen und Profiling für Unternehmen.
Besonders vorsichtig sollten Unternehmen sein, wenn sie auf Daten ihrer Bewerber in sozialen Netzwerken zugreifen und sie nutzen wollen. Während der Umgang mit beruflichen Daten von beiden Seiten entsprechend den Vorschriften erfolgen muss, aber doch entspannter ist, ist der Zugriff auf private Daten deutlich kritischer, gerade in privaten Netzwerken. Schärfere Strafen von bis zu 4 Prozent des Unternehmensumsatzes soll Arbeitgeber davon abhalten, bei der Recherche nach personenbezogenen Daten in die Privatsphäre von Bewerbern und Mitarbeiter einzudringen.