Key Take aways
- Die datenschutzrechtliche Verantwortung des Unternehmens erstreckt sich auch auf den Datenschutz der Beschäftigten
- Für die laufende Prüfung sollten Datenschutzaspekte in den Change Prozess aufgenommen werden
- Für die Identifizierung der Rechtsgrundlage für Verarbeitungen von Beschäftigtendaten sollten Alternativen abgewogen und der Verarbeitung angemessen definiert werden
Die Verantwortung des Unternehmens
Wie für „externe“ personenbezogene Daten trägt das Unternehmen die Verantwortung für die datenschutzkonforme Verarbeitung der personenbezogenen Daten seiner Beschäftigten. Gerade vor dem Hintergrund des sich verschärfenden Fachkräftemangels kann eine sorgsame und datenschutzkonforme Behandlung von Beschäftigtendaten ein gutes Argument für die Entscheidung für das Unternehmen bedeuten. Das gilt sowohl bei der Rekrutierung als auch bei der Motivation von bereits Beschäftigten. Datenschutzverstöße, oder der nicht konformer Umgang mit Beschäftigtendaten, kann sogar bei medialer Auswirkung kontraproduktiv wirken.
Demzufolge sind bei allen Personalverwaltungsverarbeitungen, aber auch bei Prozessverarbeitungen, wie Vertriebs- oder Warenwirtschaftssystemen, die Grundsätze zu befolgen, die sich aus Artikel 5 der DSGVO ergeben. Und auch hier ist das Unternehmen in der Verantwortung, über die Einhaltung dieser Grundsätze Rechenschaft ablegen zu können.
Der Beschäftigte darf auf eine Verarbeitung vertrauen, die auf einer rechtmäßigen und zweckgebundenen Basis beruht.
Die (rechtliche) Grundlage für die Verarbeitung
Dient eine Verarbeitung der Administration der Beschäftigtendaten, zum Beispiel bei der Personalverwaltung, Lohn- und Gehaltsabwicklung, Urlaubsplanungen, usw., basiert in der Regel die Rechtsgrundlage auf dem Kontext der Beschäftigung. Die Beschäftigten und das Unternehmen haben für die Definition des Beschäftigungsverhältnisses einen Arbeitsvertrag geschlossen. Mit der Verarbeitung von personenbezogenen Daten der Beschäftigten können wesentliche Verwaltungsprozesse zur Erfüllung des Beschäftigungsvertrages stattfinden. Somit kann regelmäßig aus diesem Verhältnis für die Verarbeitung die Rechtsgrundlage der Vertragserfüllung nach Artikel 6 (1) lit. b DSGVO resultieren.
Bei anderen Systemen, die für die Aufgabenerfüllung des Beschäftigten erforderlich sind, und demnach ebenfalls in Sinne einer Erfüllung des Vertragsverhältnisses zu bewerten sind, kann ebenfalls die Vertragserfüllung nach Artikel 6 (1) lit. b DSGVO eine valide Rechtsgrundlage darstellen. Allerdings liegt hier der Fokus auf der Bewertung der Verarbeitung: Es ist zwingend die Frage zu klären, ob die Beschäftigtendaten in der Verarbeitung tatsächlich der Erfüllung des Beschäftigungsvertrages dienen, oder ob andere Zwecke mit der Verarbeitung verbunden sind. Werden andere Zwecke verfolgt, ist insbesondere das Augenmerk auf die Erforderlichkeit einer Einwilligung zu legen. Beispiele hierfür sind Mitarbeiterbilder auf der Homepage oder in Social Media Kanälen.
Besonderheiten aus der Öffnungsklausel
Die Europäische Datenschutzgrundverordnung sieht im Artikel 88 eine Umsetzung von lokalen Spezifizierungen vor, was der Deutsche Gesetzgeber in seinem Bundesdatenschutzgesetz (BDSG) mit § 26 BDSG vollzogen hat. Im Ergebnis ist die daraus resultierende Formulierung der Rechtsgrundlage mit Nennung des Artikel 88 DSGVO in Verbindung mit dem § 26 BDSG.
Allerdings ist hier zwingend ein Urteil des Europäischen Gerichtshofes (EuGH) aus März 2023 zu beachten:
Für die Definition der geeigneten Rechtsgrundlage ist die Anwendung des Art. 88 DSGVO in Verbindung mit Art. 26 BDSG allerdings nicht empfehlenswert, da mit dem Urteil des EuGH vom 30.03.2023 (Az C-34/21) die Anwendung des § 23 (1) des Hessischen Datenschutzgesetzes (HDSIG) als unzulässig erklärt wurde. Da der § 23 (1) HDSIG gleichlautend mit dem § 26 (1) BDSG ist, können die Auswirkungen des Urteils auf den § 26 (1) abgeleitet werden.
In diesem Urteil wurden im §2 3 (1) HDSIG, bzw. im § 26 (1) BDSG, die Anforderungen des Art. 88 (2) DSGVO als nicht erfüllt identifiziert.
Die unzureichende Spezifizierung des § 26 (1) BDSG gegenüber den Normen der DSGVO ist eine Wiederholung des Art. 6 (1) lit. b, was durch das Normwiederholungsverbot nicht zulässig ist. Demnach wird hierdurch auf die Norm der vorrangigen DSGVO abgestellt.
Die Anwendung einer Kollektivvereinbarung als Rechtsgrundlage gemäß § 26 BDSG (4) erscheint dennoch als anwendbar, da diese Norm nicht von der Unzulässigkeitserklärung des EuGH betroffen ist.
Ist jede Verarbeitung automatisch legitimiert?
Diese Frage kann eindeutig verneint werden. Verarbeitungen werden immer komplexer und verzahnter im Informationsverbund des Unternehmens. Hierbei ist, wie bereits erwähnt, eine belastbare Rechtsgrundlage zu definieren, die der spezifischen Verarbeitungsform und der spezifischen Verarbeitungszwecke entspricht. Es ist das Ziel, eine belastbare und sichere Rechenschaftsfähigkeit herzustellen.
Darüber empfiehlt es sich in jedem Fall, jede neue oder zu aktualisierende Verarbeitung hinsichtlich der Datenschutzanforderungen auf den Prüfstand zu stellen. Anforderungen und Orientierungshilfen werden insbesondere durch die Artikel 24 DSGVO „Verantwortung des […] Verantwortlichen“, Artikel 25 DSGVO „Privacy by default und privacy by design“ und Artikel 32 DSGVO „Sicherheit der Verarbeitung“ definiert.
In diesem Zusammenhang ergeben sich noch zwei wesentliche Aspekte für den betrieblichen Alltag:
- Einsatz von KI-Systemen
Durch den Einzug von KI-Funktionalitäten ergeben sich weitere neue und komplexere Strukturen. Hier gilt es sowohl bei der Auswahl, bei der Implementierung und beim Betrieb von KI-Systemen wesentliche Datenschutzaspekte zu berücksichtigen. Insbesondere bei der Wahl von offenen Systemen, bei denen eine Isolation des Systems innerhalb der Unternehmensinfrastruktur nicht vorgesehen ist, sind insbesondere Rechtmäßigkeiten, Zwecke, Erforderlichkeiten, und Trainingsszenarien zu bewerten. - Change Prozess im Unternehmen
Um nicht nur das Augenmerk auf neue Verarbeitungen zu legen sollten geeignete Prozesse zur Bewertung von geänderten oder erweiterten Systemen eingerichtet werden. Hierbei bietet es sich an, einen Change Prozess zu definieren oder den bestehenden Prozess um die datenschutzrechtlichen und datenschutztechnischen Aspekte zu erweitern.
Die Kollektivvereinbarung als Rechtsgrundlage
Das Abstellen einer Verarbeitung auf die Rechtsgrundlage einer Kollektivvereinbarung, bzw. Betriebsvereinbarung ist nach wie vor möglich. Dazu kann der Artikel 88 DSGVO in Verbindung mit § 26 (4) BDSG definiert werden.
Vorteile einer Kollektivvereinbarung ergeben sich aus der Spezifikation von unternehmensindividuellen Aspekten. Es ist hierdurch demnach möglich, weitere Konkretisierungen vornehmen zu können.
Die Interessenabwägung als Rechtsgrundlage
Aus dem Text der deutschen Fassung der einschlägigen Norm Artikel 6 (1) lit. f DSGVO wird das berechtigte Interesse definiert. Das kann wortwörtlich genommen irrführend und zu kurz gegriffen sein, wenn ausschließlich dieser Teil des Textes angewendet wird.
Zur vollständigen Anwendung dieser Norm als Rechtsgrundlage ist die Durchführung einer Interessensabwägung erforderlich. Diese sollte in einem 3 stufigen Prüfverfahren durchgeführt werden:
Stufe 1: klare und eindeutige Darstellung der berechtigten Interessen des Unternehmens
Stufe 2: die Darstellung der Erforderlichkeit der Datenverarbeitung zur Wahrung der definierten Interessen des Unternehmens
Stufe 3: klare Darstellung der Interessen der Beschäftigten und Abwägung dieser mit den Interessen des Unternehmens.
Zur Anwendung der Rechtsgrundlage der Interessensabwägung gemäß Art. 6 (1) lit. f DSGVO sei hingewiesen, dass Beschäftigten gemäß Art. 21 DSGVO ein Widerspruchsrecht eingeräumt ist, wenn ihre Daten auf Basis dieser Rechtsgrundlage verarbeitet werden. Dieser Widerspruch begründet der Betroffene dann aus seinen ihn betreffende besonderen Umstände. Im Falle eines Widerspruchs stellt das Unternehmen die Verarbeitung ein, es sei denn, es weist die schutzwürdigen Interessen für die Verarbeitung nach, die die Interessen der Beschäftigtenüberwiegen. Ein weiterer Grund für die Weiterverarbeitung ergibt sich daraus, dass die Verarbeitung der Geltendmachung, der Ausübung oder Verteidigung von Rechtsansprüchen dient.
Zum Autor
Lothar Symanofsky ist IT-Betriebswirt und seit einigen Jahren im Beratungsumfeld für Datenschutz tätig. In der Beratung ist es ihm wichtig, Datenschutzprozesse im Unternehmen zu integrieren, die effektiv sind und gleichzeitig ins Unternehmen passen.