Arbeitgeber verarbeiten personenbezogene Daten ihrer Mitarbeiter. Das lässt sich nicht vermeiden. Allerdings sind die Hände der Arbeitgeber durch die DSGVO und andere Datenschutzgesetze gebunden, wenn es um die Verarbeitung dieser Daten geht.
Die Datenschutz-Grundverordnung (DSGVO) legt klare Richtlinien fest bezüglich der Sammlung und Verarbeitung von Daten, die nicht unbedingt erforderlich sind, wie etwa für Marketingzwecke. In solchen Fällen ist die explizite Zustimmung des Nutzers erforderlich, um dessen Daten nutzen zu dürfen.
Bei der Verarbeitung personenbezogener Daten, die im besten Interesse des Nutzers liegen, gelten jedoch andere Vorschriften. Hier können Unternehmen auf andere rechtliche Grundlagen zurückgreifen.
Die Handhabung von Mitarbeiterdaten befindet sich in einer Grauzone. Arbeitgeber dürfen diese Daten verarbeiten, um spezifische rechtliche Verpflichtungen zu erfüllen, müssen dabei aber strenge Auflagen beachten.
Zur Erinnerung: Die DSGVO ist eine Verordnung, die in jedem Mitgliedsstaat direkt anwendbar ist. Sie ist bei der Verarbeitung von Mitarbeiterdaten nicht so spezifisch wie in anderen Bereichen. Sie legt den Rahmen fest, innerhalb dessen jeder EU-Mitgliedsstaat diese Fragen regeln kann.
Die DSGVO besagt, dass:
Das bedeutet, dass der Arbeitgeber Mitarbeiterdaten verarbeiten kann für:
Dies schließt auch die Verarbeitung sensibler personenbezogener Daten ein, wie zum Beispiel Gesundheitsdaten, Rasse, ethnische Herkunft, sexuelle Orientierung und andere.
Neben der Einhaltung der Arbeitsgesetze muss der Arbeitgeber auch die DSGVO einhalten. Im Bereich der Personalabteilung bedeutet das Folgendes:
Daten für angemessene Zwecke verarbeiten. Der Arbeitnehmer hat seine Daten für Beschäftigungszwecke zur Verfügung gestellt. Das gibt dem Arbeitgeber das Recht, die Daten nur für Beschäftigungszwecke und nichts anderes zu verarbeiten.
Einwilligung des Arbeitnehmers für die Verarbeitung über Beschäftigungszwecke hinaus einholen. Wenn der Arbeitgeber die Daten des Arbeitnehmers für andere Zwecke verarbeiten möchte, benötigt er deren ausdrückliche Zustimmung für bestimmte Zwecke. Dabei muss der Arbeitgeber sicherstellen, dass der Arbeitnehmer gut darüber informiert ist und ihm die Möglichkeit bietet, seine Einwilligung zurückzuziehen, wenn er dies wünscht.
Sicherstellen, dass Datenübertragungen rechtmäßig sind. Datenübertragungen innerhalb der EU und angemessenen Ländern sind frei. Übertragungen in Drittländer sind nicht frei, und solche in die Vereinigten Staaten sind besonders heikel.
Lesen Sie mehr darüber, wie Sie personenbezogene Daten in Übereinstimmung mit der DSGVO in die USA übertragen können.
Sicherheitsmaßnahmen umsetzen. Die Gemeinde Bergen in Norwegen wurde mit einer Geldstrafe von 170.000 Euro belegt, weil sie keine angemessenen Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten von Schülern und Lehrern ergriffen hat.
Eine schlechte Anmeldung mag im Tagesgeschäft eine kleine Angelegenheit erscheinen, aber jede unzureichende Sicherheitsmaßnahme gefährdet das Budget und das Markenimage des Arbeitgebers.
Vielleicht einen Datenschutzbeauftragten (DSB) ernennen. Einige Unternehmen müssen einen DSB ernennen. Die DSGVO verlangt von folgenden Stellen, einen DSB zu ernennen:
Nicht alle Unternehmen gehören zu diesen Kategorien. Daher müssen nicht alle einen DSB ernennen. Für alle anderen ist es eine gute Praxis, eine Person im Unternehmen für den Datenschutz zu benennen.
Der Arbeitnehmer kann seine Betroffenenrechte ausüben. Jede Person, auf die die DSGVO Anwendung findet, hat eine Reihe von Datenschutzrechten, die sie ausüben können, um Schaden zu verhindern und ihre Privatsphäre zu schützen.
Recht auf Zugang. Der Arbeitnehmer kann jederzeit Zugang zu den personenbezogenen Daten verlangen, die der Arbeitgeber verarbeitet. Gleichzeitig kann der Arbeitnehmer sich über die Verarbeitungszwecke informieren und erfahren, ob die Daten nur für Beschäftigungszwecke verarbeitet werden oder nicht.
Außerdem kann der Arbeitnehmer sich über die Tools Dritter informieren, die der Arbeitgeber für die Datenverarbeitung verwendet. Das hilft ihnen dabei festzustellen, ob die Verarbeitung rechtmäßig ist, welche Verarbeitungszwecke bestehen, ob Daten ins Ausland übertragen werden und so weiter.
Widerspruchsrecht. Wenn der Arbeitnehmer feststellt, dass einige Daten aus falschen Gründen verarbeitet werden, kann er dagegen Einspruch erheben. Der Arbeitgeber muss die Verarbeitung für diese speziellen Zwecke einstellen.
Wenn die Daten jedoch ausschließlich für Beschäftigungszwecke verarbeitet werden, besteht kein Raum für Einspruch.
Recht auf Berichtigung. Der Arbeitnehmer hat das Recht, seine ungenauen Daten korrigieren zu lassen. Der Arbeitgeber muss die gewünschten Korrekturen vornehmen.
Recht auf Vergessenwerden. Der Arbeitnehmer hat unter bestimmten Umständen das Recht, vergessen zu werden. Er oder sie kann die Löschung seiner Daten aus den Unterlagen des Arbeitgebers verlangen, wenn beide folgenden Bedingungen erfüllt sind:
In allen anderen Fällen kann der Arbeitgeber die Löschung der personenbezogenen Daten des Arbeitnehmers ablehnen.
Entschädigung im Falle von Schäden durch einen Datenschutzverstoß erhalten. Manchmal sind Unternehmen Opfer von Datenschutzverstößen. Diese Verstöße können den Arbeitnehmern Schaden zufügen. Wenn Schäden entstehen, hat der Arbeitnehmer das Recht, eine Entschädigung für die erlittenen Schäden zu erhalten.
Wenn der Arbeitgeber und der Arbeitnehmer in der EU sind, ist alles einfach – die DSGVO gilt für alle.
Heutzutage sind Arbeitgeber und Arbeitnehmer jedoch oft in verschiedenen Ländern. Das beeinflusst auch die Anwendbarkeit der DSGVO und kann sowohl für den Arbeitgeber als auch für den Arbeitnehmer kompliziert sein.
Hier ist eine einfache Faustregel:
Ermitteln Sie, ob die DSGVO zutrifft, und lesen Sie gegebenenfalls erneut, was der Arbeitgeber tun muss und was der Arbeitnehmer tun kann, um ihre personenbezogenen Daten ordnungsgemäß zu schützen.
Wann immer personenbezogene Daten involviert sind, gelten Datenschutzgesetze. Das schließt Arbeitsverhältnisse nicht aus.
Die DSGVO ist bei der Verarbeitung von Daten für Beschäftigungszwecke nicht sehr streng. Sie lässt Spielraum für Arbeitsgesetze und Tarifverträge, um die Kategorien von Daten festzulegen, die verarbeitet werden können.
Der Arbeitgeber muss alle anderen DSGVO-Anforderungen für alle anderen Aspekte erfüllen.
Der internationale Arbeitgeber, der Menschen in vielen verschiedenen Ländern beschäftigt, muss sehr vorsichtig sein. Arbeitsgesetze unterscheiden sich in den EU-Ländern, und jedes Land hat seine eigenen Tarifverträge.
Das stellt sie vor eine große Herausforderung. Sie können den sicheren Weg gehen, indem sie einfach die minimale Menge an benötigten Daten verarbeiten. Das ist eines der grundlegenden Datenschutzprinzipien, das alles andere einfacher