Informationspflichten für Arbeitgeber nach der DSGVO

Nun ist es fast soweit: Ab dem 25.05.2018 müssen Arbeitgeber die Regelungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes 2018 (BDSG 2018) beachten. Die Art. 12 – 14 DSGVO enthalten die enorm wichtigen Informationspflichten, die auch im Verhältnis zwischen Arbeitgeber und Arbeitnehmer gelten. Wir geben Ihnen einen kurzen Überblick zum Inhalt der Pflichten:

Direkt- und Dritterhebung = Informationspflichten!

Die DSGVO unterscheidet zwischen der Direkterhebung (Art. 13 DSGVO) und der Dritterhebung (Art. 14 DSGVO) der personenbezogenen Daten. Direkterhebung ist die Erhebung in Kenntnis oder unter Mitwirkung der betroffenen Person (des Arbeitnehmers) selbst. Dritterhebung ist die Erhebung der personenbezogenen des Arbeitnehmers bei Dritten.

Unabhängig davon, ob eine Direkt- oder Dritterhebung vorliegt, muss zwingend eine Information des Arbeitnehmers erfolgen.

Inhalt der Informationspflichten

Die Informationspflichten bei Direkt- und Dritterhebung sind im Wesentlichen identisch. Folgende Informationen müssen Arbeitgeber ihren Arbeitnehmern u. a. mitteilen (Aufzählung nicht abschließend):

  • Name und Kontaktdaten des Arbeitgebers, insbesondere auch Name und Kontaktdaten der gesetzlichen Vertreter
  • Name und Kontaktdaten eines Datenschutzbeauftragten
  • Kategorien der verarbeiteten personenbezogenen Daten, u. a.:

    Name, Vorname, Familienstand, Personalnummer, Eintrittsdatum etc. (Stammdaten)
    Kontaktdaten
    Qualifikationsdaten
    Bankdaten
    Sozialversicherungsdaten
    Steuerdaten
    Gesundheitsdaten

  • Zwecke und Rechtsgrundlage der Datenverarbeitung (insbesondere Begründung, Durchführung, Beendigung des Arbeitsverhältnisses, § 26 Abs.1 BDSG 2018; andere gesetzliche Grundlagen, z. B. ArbZG; Einwilligungen; Betriebsvereinbarungen)
  • Empfänger der personenbezogenen Daten (Vorgesetzte? Mitarbeiter? Personalabteilung? Steuerbehörden? Sozialversicherungsträger?)
  • Speicherdauer
  • Hinweis auf Betroffenenrechte, auch Hinweis auf Beschwerderecht bei Aufsichtsbehörde

Praktische Umsetzung

Aktuell werden die Regelungen der DSGVO und des BDSG 2018 in den Medien sehr „hochgepusht“. Die Informationspflichten lassen sich jedoch mit einigen wenigen Maßnahmen für Arbeitgeber erfüllen. Für alle Bestandsarbeitnehmer reicht eine Information spätestens zum 25.05.2018 aus. Für alle Neuarbeitnehmer (die ab dem 25.05.2018 eingestellt werden) reicht wiederum eine Information zu Beginn des Arbeitsverhältnisses aus, z. B. die Aushändigung der Information bei Vertragsunterschrift.

Im Zusammenhang mit Neuarbeitnehmern müssen Arbeitgeber zu Beginn des Bewerbungsverfahrens ebenfalls ihre Informationspflichten erfüllen. Dies kann z. B. im Online-Bewerbungsverfahren durch eine Verlinkung und/oder durch eine automatische Email im Anschluss erfolgen.

Gerne beraten wir Sie zum Beschäftigtendatenschutz, stellen Ihnen Formulare zur Erfüllung der Informationspflichten zur Verfügung und empfehlen Ihnen auch die Umsetzung bestimmter technisch-organisatorischer Maßnahmen für den „täglichen Umgang“ mit Beschäftigtendaten.

Wir berichteten bereits zu den Grundsätzen des neuen Beschäftigtendatenschutzes.