Beschäftigtendatenschutz

twitter facebook google linkedin xing youtube podcast

Personenbezogene Daten

Ab dem 25.05.2018 gilt für die EU die Datenschutzgrundverordnung (DSGVO) bzw. für Deutschland ebenso das neue Bundesdatenschutzgesetz (BDSG n. F.). Diese Normen schützen personenbezogene Daten (vgl. Art. 1 DSGVO, § 1 BDSG n. F.).

Personenbezogene Daten können beispielsweise sein:

  • Namen
  • Geburtsdatum
  • Adresse
  • Telefonnummer
  • Personalnummer
  • Gesundheitsdaten etc.

Gerade im Beschäftigungsverhältnis werden regelmäßig besondere Kategorien von personenbezogenen Daten verarbeiten i.S.v. Art. 9 DSGVO.

Hierunter fallen Daten welche Auskunft über:

  • rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche
  • Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen
  • sowie die Verarbeitung von genetischen Daten,
  • biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten oder Daten zum Sexualleben
  • oder der sexuellen Orientierung


Beim Datenschutz im Betrieb sind mehrere Bausteine zu beachten:

  • regelmäßige Schulungen
  • IT-Security
  • Datenschutzmanagement
  • Risikofolgenabschätzung
  • regelmäßige Überwachung bzw. Datenschutzbeauftragte
  • Eine wichtige Rolle in spielt in diesem Zusammenhang das Treffen von technisch-organisatorischen Maßnahmen (sog. TOM)

 

Auftragsdatenverarbeitung

Soweit personenbezogene Daten durch Dritte im Auftrag verarbeitet werden, ist eine Auftragsverarbeitung vertraglich zu vereinbaren. Die DSGVO spricht in Art. 28 DSGVO vom Auftragsverarbeiter und Verantwortlichen (Auftraggeber).

 

Betroffenenrechte im Überblick

  • Informationsrechte (Art. 12 DSGVO)
  • Informationspflicht bei Direkterhebung (Art. 13 DSGVO)
  • Informationspflicht bei indirekter Erhebung (Art. 14 DSGVO)
  • Auskunftsanspruch (Art. 15 DSGVO, §§ 27, 29, 34 BDSG n. F.)
  • Recht auf Berichtigung (Art. 16 DSGVO, §§ 27, 28 BDSG n. F.)
  • Recht auf Löschung (Art. 17 DSGVO, §§ 4, 36 BDSG n. F.)
  • Recht auf Vergessenwerden (Art. 17 DSGVO)
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO, §§ 27, 28, 35 BDSG n. F.)

 

Sanktionen

Die Sanktionen werden ab dem 25. Mai 2018 stark verschärft. Das BDSG a.F. regelt bereits jetzt in § 43 BDSG Bussgeldvorschriften. Es gibt Bussgelder je nach Verstoß bis zu 50.000 EUR oder 300.000 EUR (§ 43 Abs. 3 BDSG a.F.)  und § 44 BDSG a.F. regelt Strafvorschriften mit Freiheitsstrafen bis zu 2 Jahren.
Ab 25. Mai 2018 drohen bei Datenschutzverstößen Bussgelder bis 4% des weitweiten Jahresumsatze eines Unternehmens (bzw. Datenverarbeiter) oder bis zu 20 Mio. Euro, vgl. Art. 83 DSGVO. Wobei auch hier der Verhältnismäßigkeitsgrundsatz zu beachten ist. 
Die vorsätzliche oder fahrlässige Versäumnis einen betrieblichen Datenschutzbeauftragten zu bestellen, diesen nicht in der vorgeschrieben Weise oder nicht rechtzeitig zu bestellen, stellt gemäß § 43 Abs. 1 Nr. 2 BDSG a.F. bereits heute eine Ordnungswidrigkeit dar, die mit einem Bußgeld in Höhe von bis zu 50.000 € belegt werden kann.Die DSGVO sieht ein Bussgeld  von bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist (vgl. Art. 83 Abs. 4a DSGVO).
Daneben können Entschädigungs- und Schadensersatzansprüche von betroffenen Personen greifen, welche in § 83 BDSG n.F. geregelt sind.