Home
Intern
Global
Kontakt
28. Mai 2018
Die DSGVO führt zahlreiche Änderungen ein, deren Hauptziel die Gewährleistung eines hohen Schutzniveaus der Daten natürlicher Personen ist. Dies ist vor allem in den neuen, natürlichen Personen zustehenden Rechten (Recht auf Vergessenwerden, Recht auf Einschränkung der Verarbeitung), sowie in neuen, den Verantwortlichen und den Auftragsverarbeitern obliegenden Pflichten ersichtlich. Bei der Verarbeitung der Daten sind sie verpflichtet, gegenüber denjenigen Personen, deren Daten sie erheben, transparent zu handeln, indem sie ihrer Informationspflicht nachkommen (diese ist bei der Datenerhebung in der Datenschutzerklärung oder in der Informationsklausel festzuhalten) und diese für die betroffenen Personen in präziser, verständlicher und leicht zugänglicher Form zu übermitteln. Außerdem haben der Verantwortliche und der Auftragsverarbeiter im eigenen Umfang interne Prozeduren, die ein hohes Datenschutzniveau gewährleisten, anzuwenden.
Die DSGVO ist kein Rechtsakt mit fertigen Lösungen zur Gewährleistung der Übereinstimmung der Datenverarbeitung mit den geltenden Vorschriften. Vielmehr obliegt dem Verantwortlichen oder dem Auftragsverarbeiter die Beurteilung, was unter den zur sicheren Verarbeitung personenbezogener Daten zu gewährleistenden „geeigneten technischen und organisatorischen Maßnahmen“, und was unter der für die Analyse der Datenverarbeitungsprozesse erforderlichen „Datenschutz-Folgenabschätzung“ zu verstehen ist, sowie ob ihre Tätigkeit die Verarbeitung „in großem Umfang“ umfasst – d.h. ob sie zur Führung eines Verzeichnisses über die Verarbeitungstätigkeiten verpflichtet sind. Die oben genannten Pflichten dienen nur als Beispiel dafür, dass die DSGVO hinsichtlich der vor Unternehmern gestellten Aufgaben nicht eindeutig ist. Es kann sich erweisen, dass ohne die Unterstützung von Fachexperten für Audits aus dem rechtlichen und dem IT-Bereich die Vorschriften falsch interpretiert werden, was im Endeffekt zu einem Verstoß führen und das Risiko hoher Geldbußen nach sich ziehen wird.
Die DSGVO hat bedeutenden Einfluss auf die Arbeit von HR-Abteilungen und Personalvermittlern, die bei ihrer täglichen Arbeit personenbezogene – darunter auch sensible – Daten verarbeiten (sensible Daten genießen aufgrund der DSGVO noch größeren Schutz). Das grundlegende Problem bei der Auswahl von Bewerbern ist die Festlegung der Rolle, die die jeweiligen Beteiligten erfüllen. Die Lage ändert sich abhängig davon, ob sich der Arbeitgeber entscheidet, selbst nach einem Arbeitnehmer zu suchen (in dem Fall ist er ein selbständiger Verantwortlicher), oder ob er sich für die Dienstleistungen einer Personalvermittlungsagentur entscheidet. Im letzteren Fall kann es zu einer Situation kommen, in der die Agentur entweder Verantwortlicher oder Auftragsverarbeiter ist. Kommt es ausschließlich zu einer Überlassung der personenbezogenen Daten, so hat der Arbeitgeber dafür zu sorgen, dass ein entsprechender, die Pflichten beider Unternehmen klar bestimmender Auftragsverarbeitungsvertrag in Schriftform geschlossen wird. Darüber hinaus ist zu beachten, dass beim Erhalt der personenbezogenen Daten des Bewerbers diesem gegenüber die Informationspflicht zu erfüllen ist. Dies trifft insbesondere dann zu, wenn wir die Daten unmittelbar vom Bewerber selbst sowie von anderen Unternehmen erhalten haben. In der Informationsklausel ist vor allem anzugeben, welche Daten der Verantwortliche verarbeitet, zu welchen Zwecken sie erhoben werden, was die Grundlage der Verarbeitung ist und welche Rechte der Person zustehen, deren Daten vom Verantwortlichen erhoben wurden.
Darüber hinaus ist aufgrund der DSGVO die Führung sog. Schwarzer Listen von Bewerbern verboten. Der polnische Generaldatenschutzbeauftragte hat sich mehrmals negativ zum Thema der Führung von Listen unerwünschter Bewerber geäußert. Dabei verwies er darauf, dass derartige Listen keine rechtliche Grundlage in den derzeit noch geltenden Vorschriften finden. Auch gemäß der DSGVO ändert sich an dieser Situation nichts – die rechtliche Grundlage fällt weiterhin aus. Vielmehr stellt ein derartiges Vorgehen einen ernsthaften Verstoß gegen die Vorschriften dar, für den eine hohe Geldbuße und die zivilrechtliche Haftung gegenüber der auf der Liste erfassten Person drohen.
In dem Moment, in dem sich der Arbeitgeber entscheidet, einen Arbeitnehmer einzustellen, wird er hinsichtlich dessen personenbezogenen Daten zum Verantwortlichen, was abermals mit der Erfüllung der Informationspflicht einhergeht. Diesmal wird sich die Informationspflicht hinsichtlich der rechtlichen Verarbeitungsgrundlage und des Umfangs der erhobenen Daten unterscheiden, da die Regelung dieser Fragen größtenteils dem polnischen Arbeitsgesetzbuch zu entnehmen ist. Dieses Gesetzbuch nennt die Daten, die der Arbeitnehmer zu erheben berechtigt ist, wobei es gleichzeitig selbst die rechtliche Grundlage für die Datenverarbeitung darstellt. In den neuen Änderungsvorschlägen zum Arbeitsgesetzbuch werden im Zusammenhang mit dem Inkrafttreten der DSGVO auch personenbezogene Daten des Arbeitnehmers genannt, die durch den Arbeitgeber grundsätzlich nicht verarbeitet werden dürfen – sog. sensible Daten. Ausnahmen liegen in zwei Fällen vor: wenn der Arbeitgeber diese Informationen aufgrund seiner rechtlichen Pflicht erhebt, oder wenn ihm der Arbeitnehmer seine biometrischen Daten aufgrund einer ausdrücklichen Zustimmung anvertraut und diese Daten ausschließlich für Zwecke der Zugangskontrolle zur Arbeitsstätte verwendet werden. Es ist zu beachten, dass die Verweigerung dieser Zustimmung durch den Arbeitnehmer für diesen keine negativen Konsequenzen seitens des Arbeitgebers nach sich ziehen darf. Neue Änderungsvorschläge des Arbeitsgesetzbuches regeln auch die Fragen der Mitarbeiterüberwachung. Die Novellierung des Arbeitsgesetzbuches sieht hier zwei Kategorien vor: einfache Überwachung und E-Mail-Überwachung. Die erste verfolgt das Ziel, die Sicherheit der Arbeitnehmer und den Schutz des Vermögens des Arbeitgebers zu gewährleisten. Die zweite sollte ausschließlich der Kontrolle des ordnungsmäßigen Gebrauchs von Arbeitsmitteln des Arbeitgebers sowie der vollständigen Ausnutzung der Arbeitszeit des Arbeitnehmers dienen. Der Arbeitgeber wird verpflichtet sein, die Arbeitnehmer über beide Arten der Überwachung im Voraus zu informieren; der Umfang und das Ziel der Überwachung muss im Tarifvertrag oder der Arbeitsordnung festgelegt werden.
Wichtig ist dabei, dass die DSGVO nicht nur auf die Pflichten des Arbeitgebers gegenüber dem Arbeitnehmer Einfluss hat. Der Arbeitnehmer sollte sich der Datenverarbeitungsprozesse in seiner Firma bewusst sein, und er sollte sich um die Gewährleistung der Sicherheit der ihm anvertrauten Daten bemühen. Aus diesem Grund ist es empfehlenswert, für eine entsprechende Schulung der Arbeitnehmer und die Vorbereitung von Anweisungen und bewährten Praktiken im Bereich der Verarbeitung personenbezogener Daten am Arbeitsort zu sorgen. Jeder Arbeitnehmer, der personenbezogene Daten verarbeitet, muss über eine Befugnis verfügen, die den Umfang und die Ziele der Verarbeitung im Namen des Verantwortlichen, in diesem Fall des Arbeitgebers, bestimmt.
Nach Beendigung des Arbeitsverhältnisses obliegen dem Arbeitgeber weiterhin bestimmte Pflichten gegenüber dem Arbeitnehmer in Bezug auf die Verarbeitung personenbezogener Daten. Es ist ein Irrtum, zu behaupten, der Arbeitnehmer sei berechtigt, sein Recht auf Vergessenwerden unverzüglich geltend zu machen, und der Arbeitgeber sei verpflichtet, sämtliche Datensätze, die auf den ehemaligen Arbeitnehmer bezogene Daten beinhalten, zu löschen. Das Recht auf Vergessenwerden ist kein uneingeschränktes Recht – es sind Ausnahmen zu beachten. Die erste Ausnahme betrifft die Erfüllung der dem Verantwortlichen obliegenden rechtlichen Pflicht zur Datenverarbeitung. Es handelt sich hierbei um entsprechende Vorschriften, die die Archivierung von Dokumenten, z.B. Personalakten, oder die Übermittlung von Daten an zuständige Steuerbehörden betreffen. Die zweite Ausnahme umfasst die Geltendmachung, Ausübung oder Verteidigung von rechtlichen Ansprüchen. Der Arbeitgeber ist berechtigt, personenbezogene Daten des ehemaligen Arbeitnehmers während der für rechtliche Ansprüche (z.B. Kündigung des Arbeitsvertrages, Diskriminierung oder Mobbing) geltenden Verjährungsfristen zu speichern.
Die DSGVO ist kein eindeutiger Rechtsakt, der einfache Lösungen bietet. Die HR-Abteilungen müssen Lösungen einführen, die den geänderten Vorschriften gerecht werden. Vor allem ist es empfehlenswert, zu analysieren, wie viele Datensätze verarbeitet werden und welchen Teil davon sensible Daten von Bewerbern und Arbeitnehmern darstellen. Anschließend sollten die mit den Verarbeitungsprozessen verbundenen Rollen festgelegt werden – des Arbeitgebers als Verantwortlichen, der potentiellen Auftragsverarbeiter sowie der Arbeitnehmer, die gleichzeitig als „von der Verarbeitung betroffene“ und „zur Datenverarbeitung im Namen des Verantwortlichen berechtigte“ Personen auftreten. Audit, Schulungen und die Entwicklung interner Prozeduren sind gemäß der DSGVO entscheidende Lösungen, die als Nachweisgrundlage der Erfüllung der Rechenschaftspflicht dienen können.
Sind Sie an diesem Thema interessiert, so stehen Ihnen die Experten von Rödl & Partner aus den Büros in Breslau, Danzig, Gleiwitz, Krakau, Posen und Warschau gerne zur Verfügung.
Jarosław Kamiński
Attorney at law (Polen)
Associate Partner
Anfrage senden
Profil
