1. Wie lauten die Grundregeln des neuen EU-Datenschutzrechts?
Darf der Chef E-Mails lesen? Darf er Gesundheitsdaten erfassen und was ist mit Videoüberwachung? Immer geht es um persönliche Daten der Mitarbeiter. Auf diese darf der Arbeitgeber nicht ohne weiteres zugreifen. Er muss die Regeln des Beschäftigtendatenschutzes beachten.
Datenschutz bedeutet Grundrechtsschutz. Jeder Bürger hat ein Recht auf Privatsphäre, Datenschutz und informationelle Selbstbestimmung. Jeder Arbeitnehmer muss selbst bestimmen können, wer welche Informationen über ihn erhält. Dieses wichtige Grundrecht wird durch das Datenschutzrecht ausgestaltet. Für Beschäftigte gilt das spezielle Beschäftigtendatenschutzrecht.
Was ist die wichtigste Grundregel?
Zwar gibt es bislang kein gesondertes Beschäftigtendatenschutzgesetz, das die persönlichen Daten der Beschäftigten im Arbeitsverhältnis schützt. Die wichtigsten Regeln sind aber in der seit 25.5.2018 gültigen EU -Datenschutzgrundverordnung (EU-DSGVO) und dem zeitgleich in Kraft getretenen Bundesdatenschutzgesetz (BDSG-neu) verankert.
Wichtigster Grundsatz dabei ist das „Verbot mit Erlaubnisvorbehalt“. Das bedeutet: Dem Arbeitgeber ist es verboten, Daten der Beschäftigten zu erheben, es sei denn, er hat eine besondere Erlaubnis.
Welche sind die wichtigsten Erlaubnisnormen?
Diese Erlaubnis oder auch Rechtsgrundlage kann sich in verschiedenen Normen finden. Eine wichtige Rechtsgrundlage findet sich in dem zentralen § 26 BDSG-neu. Er besagt, dass der Arbeitgeber jedenfalls all die Daten vom Arbeitnehmer erheben und auch verarbeiten darf, die für die Durchführung des Arbeitsverhältnisses „erforderlich“ sind (also beispielsweise: Name, Kontro-Nummer, Qualifikationen) (siehe Frage Nr. 2).
Desweitern darf der Arbeitgeber Daten der Beschäftigten verarbeiten, wenn
- eine datenschutzrechtliche Einwilligung des Beschäftigten vorliegt (siehe Frage Nr. 4)
- Oder eine Betriebsvereinbarung dies erlaubt (siehe Frage Nr. 5)
Was ist noch zu beachten?
Der für die Datenverarbeitung Verantwortliche – also meist der Arbeitgeber – muss zudem eine Reihe in Art. 5 EU-DSGVO festgelegter allgemeiner Datenschutzprinzipien beachten. Dies betrifft die Grundsätze der Rechtmäßigkeit, der Verarbeitung nach Treu und Glauben, der Transparenz, der Zweckbindung, der Datenminimierung und der Vertraulichkeit sowie die in Art. 5 Abs. 1 verankerte Rechenschaftspflicht. Diese Verpflichtung richtet sich sowohl an Arbeitgeber als auch an Betriebsräte, sofern sie Daten von Beschäftigten verarbeiten.
