Informationspflichten nach der DS-GVO – Was müssen Arbeitgeber mitteilen?
I. Verbindlichkeit der DSGVO ab 25. Mai 2018
Viele Unternehmen sind derzeit damit beschäftigt, mit Blick auf die Datenschutz-Grundverordnung (DSGVO) ihre internen Abläufe und Prozesse zu analysieren und neu auszurichten. Ab dem 25. Mai 2018 müssen in Deutschland und allen anderen EU-Staaten die Bestimmungen der DSGVO beachtet werden. Die zweijährige Umsetzungsfrist ist dann abgelaufen. Zum gleichen Zeitpunkt tritt das novellierte Bundesdatenschutzgesetz (BDSG n.F.) in Kraft.
Die mit der DSGVO verschärften Anforderungen an Datenschutz und Datensicherheit gelten nicht nur für Kundendaten, sondern insbesondere auch für personenbezogene Daten von Arbeitnehmern. Alle Arbeitgeber – vom kleinen Mittelständler bis zu Mitgliedsunternehmen international agierender Konzerne – müssen sich daher mit dem aus der DSGVO folgenden Anpassungsbedarf auseinander-setzen. Häufig stehen dabei zunächst die Neu- bzw. Nachverhandlung bestehen-der Betriebsvereinbarungen, die Überarbeitung von Mustern für Einwilligungserklärungen oder die Implementierung betrieblicher Strukturen zur Erfüllung der verschärften Meldepflichten bei Datenpannen im Fokus. Nicht zu vernachlässigen sind aber auch die in der DSGVO vorgesehenen Informationspflichten.
II. Informationspflichten nach der DSGVO
Ein zentraler Aspekt der DSGVO ist das Erfordernis der Transparenz der Datenverarbeitung. Die Verarbeitung personenbezogener Daten muss in einer für die betroffene Person nachvollziehbaren Weise erfolgen (Art. 5 Abs. 1 lit. a) DSGVO). Der Betroffene soll erkennen können, welche ihn betreffenden Daten von wem zu welchem Zweck verarbeitet werden. Hierdurch soll zugleich die Grundlage für die Wahrnehmung der Betroffenenrechte, insbesondere auf Auskunft, Berichtigung und Löschung personenbezogener Daten, geschaffen werden. Die Vorschriften der Art. 12-14 DSGVO sehen deshalb umfangreiche Informationspflichten des Verantwortlichen vor. Dabei wird zwischen der Erhebung personenbezogener Daten mit Kenntnis oder unter Mitwirkung der betroffenen Person selbst (sog. Direkterhebung, Art. 13 DSGVO) und der Erhebung personenbezogener Daten über die betroffene Person bei Dritten (sog. Dritterhebung, Art. 14 DSGVO) unterschieden.
Die Informationspflichten bei Direkt- und Dritterhebung umfassen einen weitgehend deckungsgleichen Katalog von Einzelangaben. Wer personenbezogene Daten verarbeitet, muss dem davon Betroffenen (neben weiteren Angaben) insbesondere Folgendes mitteilen:
- Name und Kontaktdaten des Verantwortlichen und ggf. seines Vertreters
- Name und Kontaktdaten eines etwa benannten Datenschutzbeauftragten
- Kategorien der verarbeiteten personenbezogenen Daten
- Zwecke der Verarbeitung und Rechtsgrundlage für die Verarbeitung
- ggf. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten
- Dauer der geplanten Speicherung bzw. Löschfristen
- Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung und auf Datenübertragbarkeit
- Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.
Die mitzuteilenden Informationen müssen in „präziser, transparenter, verständlicher und leicht zugänglicher Form" sowie in einer „klaren und einfachen Sprache" übermittelt werden; die Informationspflicht kann schriftlich oder auf elektronischem Weg erfüllt werden (Art. 12 Abs. 1 DSGVO). Im Falle der Direkterhebung müssen die Informationen zum Zeitpunkt der Erhebung der Daten erteilt werden, während dies im Falle der Dritterhebung grundsätzlich innerhalb einer angemessenen Frist, längstens jedoch innerhalb eines Monats, zu erfolgen hat (Art. 13 Abs. 1, Art. 14 Abs. 3 DSGVO).
III. Erforderliche Angaben im Arbeitsverhältnis
Die zur Erfüllung der Informationspflichten im Arbeitsverhältnis erforderlichen Angaben hängen zwangsläufig von Art und Umfang der Unternehmenstätigkeit und den konkreten Datenverarbeitungsprozessen ab. Zu deren Bestimmung kann man auf das zumeist ohnehin erforderliche Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) zurückgreifen.
Aus praktischer Sicht bietet es sich für Arbeitgeber an, die gegenüber ihren Arbeitnehmern zu erteilenden Informationen in einem separaten „datenschutzrechtlichen Beipackzettel" zum Arbeitsvertrag zusammenzufassen und/oder auf einer Intranet-Seite bereitzustellen.
In der Regel haben Arbeitgeber gegenüber ihren Arbeitnehmern mindestens folgende Angaben zu machen:
- Name, Anschrift und Kontaktdaten des Arbeitgebers, bei juristischen Personen einschließlich der Namen und Kontaktdaten der gesetzlichen Vertreter (Geschäftsführer bei GmbH, Vorstand bei AG)
- Name und Kontaktdaten des internen oder externen Datenschutzbeauftragten
- Verarbeitete Datenkategorien der Arbeitnehmer:
- Personalstammdaten (z. B. Vorname, Nachname, Geburtsdatum, Familien-stand, Staatsangehörigkeit, Personalnummer, Eintrittsdatum)
- Kontaktdaten (z. B. Anschrift, (Mobil-)Telefonnummer, E-Mail-Adresse)
- Qualifikationsdaten (z. B. Berufsausbildung, Hochschulabschluss, Fortbildungen)
- Entgeltdaten (z. B. Anwesenheits- und Urlaubszeiten, Vergütungsbestandteile)
- Bankdaten (z. B. IBAN, BIC)
- Sozialversicherungsdaten (z. B. SV-Nummer, Krankenkasse)
- Steuerdaten (z. B. Steuer-Identifikations-Nummer, Steuerklasse)
- Gesundheitsdaten (z. B. Schwerbehinderung, Grad der Behinderung)
- ggf. Reisedaten (Anlass, Ziel, Beginn und Ende von Dienstreisen)
- ggf. bei der Nutzung betrieblicher IT-Systeme anfallende Protokolldaten (z. B. Benutzernummer, Zeitpunkt des Datenzugriffs)
- Zwecke und Rechtsgrundlagen der Datenverarbeitung:
- Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses, Art. 6 Abs. 1 lit. b) DSGVO i.V.m. § 26 Abs. 1 BDSG n.F.
- Erfüllung gesetzlicher Verpflichtungen als Arbeitgeber, Art. 6 Abs. 1 lit. c) DSGVO i.V.m. Vorschriften insbesondere aus Sozialgesetzbuch IV (SGB IV), Einkommensteuergesetz (EStG), Lohnsteuerdurchführungsverordnung (LStDV), Arbeitszeitgesetz (ArbZG)
- Kollektivvereinbarungen (Betriebsvereinbarungen, Gesamtbetriebsvereinbarungen, Konzernbetriebsvereinbarungen), Art. 88 Abs. 1 u. 2 DSGVO, § 26 Abs. 4 BDSG n.F.
- Empfänger der personenbezogenen Daten:
- Mitarbeiter der Personalabteilung
- Vorgesetzte (soweit Datenzugriff zur Aufgabenerfüllung erforderlich)
- Sozialversicherungsträger
- Steuerbehörden
- Speicherdauer
- Löschung der Daten, sobald die Speicherung zur Erreichung des Zwecks der Datenverarbeitung nicht mehr erforderlich ist und keine gesetzliche Aufbewahrungspflicht eingreift
- Aufbewahrungsfristen bis zu 10 Jahren (z. B. für steuerlich relevante Buchungsbelege, § 147 Abgabenordnung)
- Betroffenenrechte auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO) und Einschränkung der Verarbeitung (Art. 18 DSGVO) der personenbezogenen Daten und Recht auf Herausgabe der bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format (Art. 20 DSGVO)
- Recht, sich mit einer Beschwerde an die zuständige Datenschutzaufsichtsbehörde zu wenden, wobei deren Kontaktdaten nach wohl herrschender Meinung nicht angegeben werden müssen.
Daneben sind zur Erfüllung der Informationspflichten je nach Lage der Dinge im Einzelfall unter Umständen noch weitere Angaben zu machen, etwa im Zusammenhang mit einer Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland zu übermitteln (einschließlich des im Drittland herrschenden Datenschutzniveaus) oder einer automatisierten Entscheidungsfindung allein auf Basis der personenbezogenen Daten ohne menschliches Eingreifen (Profiling).
Bei der Zusammenstellung und Erteilung der Informationen ist besondere Sorgfalt geboten. Verletzungen der Informationspflichten können mit einer Geldbuße von bis zu EUR 20 Mio. oder von bis zu 4 % des gesamten weltweiten (Konzern-)Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden (Art. 83 Abs. 5 DSGVO).