Die Auswirkungen der Datenschutzgrundverordnung auf das deutsche Beschäftigtendatenschutzrecht – Teil 12 – Zweckbindung der Datenverarbeitung, Praktische Durchsetzung des Beschäftigtendatenschutzrechts
3.5 Zweckbindung der Datenverarbeitung
Die Grundsätze für die Verarbeitung personenbezogener Daten sind in Art. 5 DSGVO normiert. Sie dienen als Einfallstor für die Drittwirkung der beeinträchtigten Grundrechte.[1] Besonders bedeutsam ist das Prinzip der Zweckbindung. Personenbezogene Daten dürfen gemäß Art. 5 I lit. b DSGVO nur für die Zwecke verarbeitet werden, für die sie erhoben wurden. Sie dürfen nicht in einer Weise weiterverarbeitet werden, die diesen Zwecken entgegensteht. Eine Speicherung personenbezogener Daten „auf Vorrat“ ist also unrechtmäßig.[2] Der Grundsatz des Art. 5 I lit. b DSGVO entspricht der Zweckbindung des § 28 I S. 2 BDSG.[3]
3.6 Praktische Durchsetzung des Beschäftigtendatenschutzrechts
3.6.1 Persönliche Kontrolle durch den Beschäftigten
„Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen.“[4] Die persönlichen Rechte der Betroffenen sind in Kapitel III der DSGVO umfassend normiert. Die Informationspflichten des Verantwortlichen (Art. 12-14 DSGVO) und die Rechte des Betroffenen (Art. 15-21 DSGVO) bestehen in den Grenzen der Betriebs- und Geschäftsgeheimnisse des Verantwortlichen.[5]
3.6.1.1 Informationspflichten, Art. 12-14 DSGVO
Unternehmen müssen Betroffene gemäß Art. 12 DSGVO „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und verständlichen Sprache“ über die Datenverarbeitung informieren.[6] Diese Informationspflichten des Verantwortlichen werden in Art. 13, 14 DSGVO präzisiert. Im Beschäftigungsverhältnis sind die Informationspflichten bei einer Direkterhebung[7] der Daten gemäß Art. 13 DSGVO besonders relevant. Dazu gehören zum Beispiel Angaben über Kontaktdaten des Verantwortlichen sowie Speicherdauer und Zwecke der Datenverarbeitung.[8] Gemäß § 4 III BDSG besteht bislang eine überschaubare Informationspflicht der verantwortlichen Stellen. Die massiv gesteigerten Informationspflichten, insbesondere des Art. 13 II DSGVO, sind die vielleicht wesentlichste Veränderung gegenüber dem BDSG.[9]
Für Unternehmen bietet es sich an, diesen Informationspflichten im Rahmen eines Anhangs zum Arbeitsvertrag nachzukommen. Alternativ kommt eine Gestaltung über Betriebsvereinbarungen in Betracht.[10]
3.6.1.2 Betroffenenrechte, Art. 15-22 DSGVO
Mit den Informationspflichten der Art. 12-14 DSGVO korrespondieren die Betroffenenrechte der Art. 15-22 DSGVO.[11] Dazu zählen ein Recht auf Berichtigung[12], ein Recht auf Einschränkung der Verarbeitung[13] sowie ein Recht auf Mitteilung[14]. Außerdem sind ein Recht auf Datenübertragbarkeit[15] und ein Widerspruchsrecht[16] normiert.[17] Im Beschäftigungskontext sind das Auskunftsrecht der betroffenen Person sowie das Recht auf Löschung besonders relevant.
Gemäß Art. 15 DSGVO hat der Betroffene ein umfassendes Auskunftsrecht gegenüber dem Verantwortlichen. So kann er gemäß Art. 15 III S. 1 DSGVO eine Kopie seiner verarbeiteten personenbezogenen Daten verlangen. Eine vergleichbare Regelung enthält das BDSG nicht. Arbeitnehmeranwälte werden dieses Recht künftig womöglich regelmäßig zu Beginn von Verfahren vor den Arbeitsgerichten geltend machen. So können sie einerseits umfassende Informationen erhalten und andererseits auf Beweisverwertungsverbote hoffen, wenn der Arbeitgeber nur unvollständig informiert hat.[18]
Art. 17 DSGVO normiert umfassende Löschpflichten und das sog. „Recht auf Vergessenwerden“. Personenbezogene Daten sind gemäß Art. 17 I lit. a DSGVO unverzüglich zu löschen, wenn sie für die Zwecke, für die sie erhoben oder in sonstiger Weise verarbeitet wurden, nicht mehr erforderlich sind. Bei dem Wortlaut „Recht auf Vergessenwerden“ könnte man meinen, es handele sich um ein scharfes Schwert[19]. Bei näherer Betrachtung entpuppt Art. 17 DSGVO sich jedoch als schwaches Instrument[20], das nicht über eine übliche Löschverpflichtung hinausgeht.[21] Der Grundsatz des Art. 17 I DSGVO entspricht § 35 II S. 2 Nr. 3 BDSG. In der juristischen Praxis spielen Löschpflichten im Zusammenhang mit Bewerberdaten und personenbezogenen Daten von ausgeschiedenen Beschäftigten eine Rolle.[22]
3.6.1.3 Rechtsbehelfe
Zur Durchsetzung seiner Rechte gemäß Art. 15-22 DSGVO kann der Betroffene die Rechtsbehelfe der Art. 77-79, 82 DSGVO einsetzen. Zunächst steht dem Betroffenen ein Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO zu. Außerdem kann er seine Rechte mithilfe eines gerichtlichen Rechtsbehelfs gemäß Art. 78, 79 DSGVO gegen eine Aufsichtsbehörde oder den Verantwortlichen geltend machen. Schließlich ergeben sich etwaige Schadensersatzansprüche des Betroffenen aus Art. 82 DSGVO.
3.6.1.4 Zwischenergebnis
Insgesamt sind die Informationspflichten und Betroffenenrechte in der DSGVO bedeutend differenzierter normiert als es noch im BDSG der Fall war. Während die Informationspflichten (Art. 12-14 DSGVO) den Beschäftigtendatenschutz inhaltlich stark verändern, erinnern die Betroffenenrechte (Art. 15-22 DSGVO) zumindest in Teilen an die Vorschriften des BDSG. Ebenso wie im Hinblick auf das BDSG ist im Rahmen der DSGVO fraglich, ob Betroffene von ihren Rechten Gebrauch machen und den Beschäftigtendatenschutz effektiv durchsetzen werden.
Die juristische Praxis prognostiziert mehr datenschutzrechtliche Verfahren durch Beschäftigte gegen ihren Arbeitgeber. Zwar hat sich die materielle Rechtslage nicht verändert, aber das Datenschutzbewusstsein der Beschäftigten wird wegen der umfassenderen Informationspflichten des Arbeitgebers steigen. Deshalb gehen die Befragten davon aus, dass die Betroffenen das Beschäftigtendatenschutzrecht effektiver durchsetzen werden.
Dieser Beitrag ist entnommen aus dem Buch „Die Auswirkungen der Datenschutzgrundverordnung auf das deutsche Beschäftigtendatenschutzrecht“ von Tilo Schindele, Rechtsanwalt, und Samuel Weitz, LL.B. und cand.iur., mit Fußnoten erschienen im Verlag Mittelstand und Recht, 2017, www.vmur.de, ISBN 978-3-939384-72-4.
Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches
Links zu allen Beiträgen der Serie Buch - Auswirkungen DSGVO auf BDSG
Kontakt: tilo.schindele@brennecke-rechtsanwaelte.deStand: Januar 2017
Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.
Herausgeber / Autor(-en):
Tilo Schindele, Rechtsanwalt, Stuttgart
Rechtsanwalt Schindele begleitet IT-Projekte von der Vertragsgestaltung und Lastenheftdefinition über die Umsetzung bis hin zur Abnahme oder Gewährleistungs- und Rückabwicklungsfragen.
Tilo Schindele ist Dozent für IT-Recht und Datenschutz bei der DMA Deutsche Mittelstandsakademie.
Er bietet Seminare und Vorträge unter anderem zu folgenden Themen an:
- Praxistipps zum rechtssicheren Einsatz von E-Mails im Unternehmen
- Rechtssicherheit im Internet: - Praktische Rechtstipps für Unternehmer von AGB über Disclaimer und E-Mails bis zu web2.0
- Allgemeine Geschäftsbedingungen zu Vertragsschluss, Laufzeit und Umzug in Telekommunikationsverträgen
Kontaktieren Sie Rechtsanwalt Tilo Schindele unter:
Mail: tilo.schindele@brennecke-rechtsanwaelte.de
Telefon: 0721-20396-28