Bis spätestens 25.5.2018 sollte in den Unternehmen der Umgang mit Daten grundlegend überdacht werden. Das neue, in allen EU-Mitgliedsstaaten geltende Gesetz zur Anpassung des Datenschutzes (DSGVO) gibt Arbeitnehmern, aber auch Datenschutzbeauftragten eine ganze Reihe von Rechtsgrundlagen, um den Schutz personenbezogener Daten durchzusetzen. Nationale Regelungen dürfen zwar ergänzend eingeführt werden, das EU-Recht gilt jedoch vorrangig. Deutschland hat in diesem Zusammenhang das Bundesdatenschutzgesetz (BSDG) gründlich überarbeitet, wobei § 26 BDSG n.F. mit Regelungen zum Beschäftigtenschutz im Fokus standen.
Betroffen sind dabei alle ganz oder teilweise automatisierten Verarbeitungsvorgänge personenbezogener Daten. Dies sind Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Ein deutlich erweiterter Schutz gilt nun, wenn diese höchst individuellen Parameter benutzt werden, „um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.“ (Art. 4 Nr. 4 DSGVO).
Deutlich erweiterte Personengruppe
Erweitert wurde auch der Begriff des Beschäftigten. Dazu zählen mit der Einführung der DSGVO neben Arbeitnehmern, Leiharbeitnehmern und Auszubildenden auch Heimarbeiter, Beamte, Richter, Soldaten, Zivildienstleistende, Freiwillige, Rehabilitanden, arbeitnehmerähnliche Personen, in Behindertenwerkstätten beschäftigte Menschen sowie Bewerber und ehemalige Beschäftigte. Der Schutz der Daten gilt also bereits vor dem Beginn des Beschäftigungsverhältnisses bis weit über dessen Ende hinaus. Neben Arbeitgebern sind aber auch Betriebsräte und Gewerkschaften gefragt, ihre Betriebsvereinbarungen und Tarifverträge, aber auch die Abläufe bei Beratungen an das neue Datenschutzrecht anzupassen.
Um betriebliche Interessen an weitgehend automatisierter Datenverarbeitung in Einklang zu bekommen mit den Persönlichkeitsrechten von potenziellen, aktiven und ehemaligen Mitarbeitern, gilt es einen Weg zu finden, mit dem alle Beteiligten leben können. Grundsätzlich können Arbeitnehmer freiwillig eine Einwilligung erteilen, dass ihre Daten genutzt werden, um letztlich einen rechtlichen oder wirtschaftlichen Vorteil für sich selbst zu schaffen — die rasche, fehlerfreie Berechnung und Auszahlung ihres Arbeitsentgelts zum Beispiel. Dafür ist jedoch eine ausführliche Aufklärung über die Abläufe und die Dauer der Datenspeicherung sowie die schriftliche Erklärung durch den Beschäftigten notwendig. Der Grundsatz der Transparenz und der Anonymisierung gilt so lange, bis die Daten gelöscht werden können. Bis dahin müssen technische Sicherheitssysteme gewährleisten, dass alle Informationen vor unberechtigtem Zugriff oder unbeabsichtigtem Verlust geschützt werden.
Hohes Haftungsrisiko für Unternehmen
Den Arbeitgeber treffen umfassende Informations- und Rechenschaftspflichten ebenso wie die Beweislast für die Einhaltung aller Vorschriften. Verstöße werden mit hohen Geldbußen geahndet (Art. 83 DSGVO); Betroffene, die ihr Persönlichkeitsrecht verletzt sehen, können auf Schadensersatz klagen.