Die Auswirkungen der Datenschutzgrundverordnung auf das deutsche Beschäftigtendatenschutzrecht – Teil 12 – Zweckbindung der Datenverarbeitung, Praktische Durchsetzung des Beschäftigtendatenschutzrechts
3.5 Zweckbindung der Datenverarbeitung
Die Grundsätze für die Verarbeitung personenbezogener Daten sind in Art. 5 DSGVO normiert. Sie dienen als Einfallstor für die Drittwirkung der beeinträchtigten Grundrechte.[1] Besonders bedeutsam ist das Prinzip der Zweckbindung. Personenbezogene Daten dürfen gemäß Art. 5 I lit. b DSGVO nur für die Zwecke verarbeitet werden, für die sie erhoben wurden. Sie dürfen nicht in einer Weise weiterverarbeitet werden, die diesen Zwecken entgegensteht. Eine Speicherung personenbezogener Daten „auf Vorrat“ ist also unrechtmäßig.[2] Der Grundsatz des Art. 5 I lit. b DSGVO entspricht der Zweckbindung des § 28 I S. 2 BDSG.[3]
3.6 Praktische Durchsetzung des Beschäftigtendatenschutzrechts
3.6.1 Persönliche Kontrolle durch den Beschäftigten
„Natürliche Personen sollten die Kontrolle über ihre eigenen Daten besitzen.“[4] Die persönlichen Rechte der Betroffenen sind in Kapitel III der DSGVO umfassend normiert. Die Informationspflichten des Verantwortlichen (Art. 12-14 DSGVO) und die Rechte des Betroffenen (Art. 15-21 DSGVO) bestehen in den Grenzen der Betriebs- und Geschäftsgeheimnisse des Verantwortlichen.[5]
3.6.1.1 Informationspflichten, Art. 12-14 DSGVO
Unternehmen müssen Betroffene gemäß Art. 12 DSGVO „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und verständlichen Sprache“ über die Datenverarbeitung informieren.[6] Diese Informationspflichten des Verantwortlichen werden in Art. 13, 14 DSGVO präzisiert. Im Beschäftigungsverhältnis sind die Informationspflichten bei einer Direkterhebung[7] der Daten gemäß Art. 13 DSGVO besonders relevant. Dazu gehören zum Beispiel Angaben über Kontaktdaten des Verantwortlichen sowie Speicherdauer und Zwecke der Datenverarbeitung.[8] Gemäß § 4 III BDSG besteht bislang eine überschaubare Informationspflicht der verantwortlichen Stellen. Die massiv gesteigerten Informationspflichten, insbesondere des Art. 13 II DSGVO, sind die vielleicht wesentlichste Veränderung gegenüber dem BDSG.[9]
Für Unternehmen bietet es sich an, diesen Informationspflichten im Rahmen eines Anhangs zum Arbeitsvertrag nachzukommen. Alternativ kommt eine Gestaltung über Betriebsvereinbarungen in Betracht.[10]
3.6.1.2 Betroffenenrechte, Art. 15-22 DSGVO
Mit den Informationspflichten der Art. 12-14 DSGVO korrespondieren die Betroffenenrechte der Art. 15-22 DSGVO.[11] Dazu zählen ein Recht auf Berichtigung[12], ein Recht auf Einschränkung der Verarbeitung[13] sowie ein Recht auf Mitteilung[14]. Außerdem sind ein Recht auf Datenübertragbarkeit[15] und ein Widerspruchsrecht[16] normiert.[17] Im Beschäftigungskontext sind das Auskunftsrecht der betroffenen Person sowie das Recht auf Löschung besonders relevant.
Gemäß Art. 15 DSGVO hat der Betroffene ein umfassendes Auskunftsrecht gegenüber dem Verantwortlichen. So kann er gemäß Art. 15 III S. 1 DSGVO eine Kopie seiner verarbeiteten personenbezogenen Daten verlangen. Eine vergleichbare Regelung enthält das BDSG nicht. Arbeitnehmeranwälte werden dieses Recht künftig womöglich regelmäßig zu Beginn von Verfahren vor den Arbeitsgerichten geltend machen. So können sie einerseits umfassende Informationen erhalten und andererseits auf Beweisverwertungsverbote hoffen, wenn der Arbeitgeber nur unvollständig informiert hat.[18]
Art. 17 DSGVO normiert umfassende Löschpflichten und das sog. „Recht auf Vergessenwerden“. Personenbezogene Daten sind gemäß Art. 17 I lit. a DSGVO unverzüglich zu löschen, wenn sie für die Zwecke, für die sie erhoben oder in sonstiger Weise verarbeitet wurden, nicht mehr erforderlich sind. Bei dem Wortlaut „Recht auf Vergessenwerden“ könnte man meinen, es handele sich um ein scharfes Schwert[19]. Bei näherer Betrachtung entpuppt Art. 17 DSGVO sich jedoch als schwaches Instrument[20], das nicht über eine übliche Löschverpflichtung hinausgeht.[21] Der Grundsatz des Art. 17 I DSGVO entspricht § 35 II S. 2 Nr. 3 BDSG. In der juristischen Praxis spielen Löschpflichten im Zusammenhang mit Bewerberdaten und personenbezogenen Daten von ausgeschiedenen Beschäftigten eine Rolle.[22]
3.6.1.3 Rechtsbehelfe
Zur Durchsetzung seiner Rechte gemäß Art. 15-22 DSGVO kann der Betroffene die Rechtsbehelfe der Art. 77-79, 82 DSGVO einsetzen. Zunächst steht dem Betroffenen ein Recht auf Beschwerde bei einer Aufsichtsbehörde gemäß Art. 77 DSGVO zu. Außerdem kann er seine Rechte mithilfe eines gerichtlichen Rechtsbehelfs gemäß Art. 78, 79 DSGVO gegen eine Aufsichtsbehörde oder den Verantwortlichen geltend machen. Schließlich ergeben sich etwaige Schadensersatzansprüche des Betroffenen aus Art. 82 DSGVO.
3.6.1.4 Zwischenergebnis
Insgesamt sind die Informationspflichten und Betroffenenrechte in der DSGVO bedeutend differenzierter normiert als es noch im BDSG der Fall war. Während die Informationspflichten (Art. 12-14 DSGVO) den Beschäftigtendatenschutz inhaltlich stark verändern, erinnern die Betroffenenrechte (Art. 15-22 DSGVO) zumindest in Teilen an die Vorschriften des BDSG. Ebenso wie im Hinblick auf das BDSG ist im Rahmen der DSGVO fraglich, ob Betroffene von ihren Rechten Gebrauch machen und den Beschäftigtendatenschutz effektiv durchsetzen werden.
Die juristische Praxis prognostiziert mehr datenschutzrechtliche Verfahren durch Beschäftigte gegen ihren Arbeitgeber. Zwar hat sich die materielle Rechtslage nicht verändert, aber das Datenschutzbewusstsein der Beschäftigten wird wegen der umfassenderen Informationspflichten des Arbeitgebers steigen. Deshalb gehen die Befragten davon aus, dass die Betroffenen das Beschäftigtendatenschutzrecht effektiver durchsetzen werden.
Dieser Beitrag ist entnommen aus dem Buch „Die Auswirkungen der Datenschutzgrundverordnung auf das deutsche Beschäftigtendatenschutzrecht“ von Tilo Schindele, Rechtsanwalt, und Samuel Weitz, LL.B. und cand.iur., mit Fußnoten erschienen im Verlag Mittelstand und Recht, 2017, www.vmur.de, ISBN 978-3-939384-72-4.
Weiterlesen:
zum vorhergehenden Teil des Buches
zum folgenden Teil des Buches
Links zu allen Beiträgen der Serie Buch - Auswirkungen DSGVO auf BDSG
Kontakt: tilo.schindele@brennecke-rechtsanwaelte.deStand: Januar 2017
Wir beraten Sie gerne persönlich, telefonisch oder per Mail. Sie können uns Ihr Anliegen samt den relevanten Unterlagen gerne unverbindlich als PDF zumailen, zufaxen oder per Post zusenden. Wir schauen diese durch und setzen uns dann mit Ihnen in Verbindung, um Ihnen ein unverbindliches Angebot für ein Mandat zu unterbreiten. Ein Mandat kommt erst mit schriftlicher Mandatserteilung zustande.
Wir bitten um Ihr Verständnis: Wir können keine kostenlose Rechtsberatung erbringen.
Ãœber die Autoren:
Tilo Schindele, Rechtsanwalt
Rechtsanwalt Schindele ist seit vielen Jahren im IT-Recht für einen weltbekannten IT-Konzern tätig.
Er berät seit vielen Jahren Unternehmen auf dem Gebiet des Datenschutzrecht.
Er prüft und erstellt Datenschutzhinweise, Datenverarbeitungsvereinbarungen und Einwilligungserklärungen zwischen Unternehmen und Kunden. Er schult Datenschutzbeauftragte und Geschäftsleitungen in allen Fragen des Datenschutzrechtes. Er berät und prüft Datenschutzrechtsfragen in Bezug auf Auslagerungen und Austausch von Daten im internationalen Verkehr (safe harbour u.a.).
Rechtsanwalt Schindele ist Dozent für Arbeitsrecht an der Dualen Hochschule Stuttgart und Dozent für Datenschutzrecht und Arbeitsrecht an der DMA Deutsche Mittelstandsakademie.
Er bietet Schulungen, Vorträge und Seminare unter anderem zu den Themen:
- Telematik – Rechtliche Probleme des Datenschutzes
- Datenverarbeitungsverträge
- Datenschutz in Arbeitsverhältnissen: Arbeitnehmerüberwachung, Arbeitnehmerdatenspeicherung etc.
Kontaktieren Sie Rechtsanwalt Tilo Schindele unter:
Mail: schindele@brennecke-rechtsanwaelte.de
Telefon: 0711-896601-24