Das Thema Datenschutz hat als Compliance-Risiko bekanntlich in den letzten Jahren Fahrt aufgenommen. Das betrifft vor allem den Umgang mit Bewerber- und Mitarbeiterdaten. Wo ist in diesem Zusammenhang Vorsicht geboten? Was droht Unternehmen und Geschäftsführern? Wie sollten Geschäftsführer mit dem Thema umgehen? Dieser Beitrag gibt einen Überblick.
Risikobereiche bei Bewerber- und Mitarbeiterdaten
Mittlerweile haben sich einige „klassische Risikobereiche“ beim Umgang mit Bewerber- und Mitarbeiterdaten herauskristallisiert. Diese ergeben sich nicht nur aus der Datenschutz-Grundverordnung (DS-GVO) und den danach (theoretisch) drohenden Folgen, sondern insbesondere aus den Erfahrungen in der Praxis: Die nachfolgende Auflistung berücksichtigt, welche Fehler Unternehmen besonders häufig machen und worauf die Datenschutzbehörden gerne „anspringen“.
Keine (ausreichende) Rechtsgrundlage für vermeintliche Standardprozesse
Jede Verarbeitung von Mitarbeiterdaten muss auf einer rechtlichen Erlaubnis beruhen (Erlaubnistatbestand). Die Einwilligung des Arbeitnehmers, die früher häufig standardmäßig in den Arbeitsvertrag aufgenommen wurde, hilft hier meist nicht weiter. Sie gilt im Regelfall nicht als freiwillig erteilt, weil sich der Arbeitnehmer typischerweise in einer Drucksituation befindet: Ohne Erteilung der Einwilligung befürchtet er Nachteile im Arbeitsverhältnis oder dass es gar nicht erst zum Abschluss des Arbeitsvertrags kommt. Die fehlende Freiwilligkeit führt dazu, dass viele Datenverarbeitungsprozesse nicht auf die Einwilligung gestützt werden können und damit nicht rechtmäßig sind. Das kommt zum Beispiel bei der Nutzung von Standard-Software im Bereich des HR-Managements vor. Unternehmen müssen daher auf andere Erlaubnistatbestände wie zum Beispiel Betriebsvereinbarungen zurückgreifen. Diese müssen aber sauber ausgearbeitet sein, um datenschutzrechtlichen Standards zu genügen.
Keine hinreichende Sicherung von Mitarbeiterdaten
Erfasste Mitarbeiterdaten müssen hinreichend gesichert sein. Das ist beispielsweise nicht der Fall, wenn der Arbeitgeber Personalakten in einer Cloud ablegt und der Cloud-Anbieter nicht die technischen Schutzstandards der DS-GVO einhalten kann. Dies muss vom Arbeitgeber regelmäßig überprüft werden.
Mitarbeiterinformationen nicht transparent gestaltet
Nach Art. 13, 14 DS-GVO sind Mitarbeiter über die Verarbeitung ihrer personenbezogenen Daten zu informieren, zum Beispiel über die Zwecke der Datenverarbeitung. Diese Information muss unter anderem dem Gebot der Transparenz gerecht und daher für Mitarbeiter verständlich und nachvollziehbar gestaltet werden.
Kein Löschkonzept
Mitarbeiterdaten dürfen nach der DS-GVO nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Zu löschende Mitarbeiterdaten können beispielsweise Arbeitszeitaufzeichnungen oder Leistungsbeurteilungen sein. Daten abgelehnter Bewerber dürfen regelmäßig nur wenige Monate aufbewahrt werden.
Falscher Umgang mit Mitarbeiteranfragen
Aus Art. 15 DS-GVO folgt ein generelles Recht der Mitarbeiter, Auskunft über die Verarbeitung der sie betreffenden personenbezogenen Daten zu erhalten. Dies umfasst etwa Informationen zu den Zwecken der Verarbeitung und zur Speicherdauer. Unternehmen müssen regelmäßig innerhalb eines Monats auf entsprechende Anfragen von Mitarbeitern reagieren.
Big-Data-Analysen zu weitgehend
Sogenannte Big-Data-Analysen spielen in Unternehmen eine immer größere Rolle. Dabei sollen aus vorhandenen Daten Schlüsse für die Zukunft gezogen werden. In erster Linie soll über solche Analysen der Betriebsablauf verbessert, insbesondere die Mitarbeiterzufriedenheit und die Produktivität gesteigert oder auch die Personalplanung optimiert werden. HIerbei werden Daten wie zum Beispiel virtuelle und reale Arbeitsplatzdaten, Kontakte, Inhalte und Aktivitäten in sozialen Netzwerken (wie beispielsweise auf XING, LinkedIn, Facebook, Twitter usw.) oder auch Daten zu Verkaufsvorgängen, wie etwa bekannte Informationen von Kunden, ausgewertet. Unternehmen müssen hierbei genau hinschauen, ob entsprechende Rechtsgrundlagen für diese Analysen vorhanden sind.
Falsche Untersuchungsmethoden bei Fehlverhalten von Mitarbeitern
Die Untersuchung möglichen Fehlverhaltens von Mitarbeitern kann heikel sein. Wenn ein entsprechender Verdacht gegen einen Mitarbeiter aufkommt, müssen zunächst Aufklärungsmaßnahmen erfolgen. Häufig ist es notwendig, Datenscreenings von E-Mail-Postfächern und Unterlagen durchzuführen. Wer hierbei zu weit geht und zum Beispiel private Daten von Mitarbeitern mit „abfischt“, kann diese Daten später möglicherweise nicht verwerten. Zudem drohen Schadensersatzansprüche des Mitarbeiters (dazu sogleich).
Falscher Umgang mit Datenpannen
Nach Bekanntwerden von Datenpannen muss die Aufsichtsbehörde unverzüglich, möglichst aber innerhalb von 72 Stunden, von der Datenschutzverletzung in Kenntnis gesetzt werden. Wenn ein hohes Risiko für die Verletzung der persönlichen Rechte und Freiheiten der Mitarbeiter besteht, müssen diese ebenfalls unverzüglich informiert werden.
Drohende Bußgelder und Schadensersatzzahlungen gering halten
Wenn es zu einem Verstoß gegen datenschutzrechtliche Vorgaben kommt, drohen Bußgelder seitens der Datenschutzbehörde sowie Schadensersatzansprüche der (ehemaligen) Mitarbeiter. Mit Blick auf Bußgelder machen die Datenschutzbehörden langsam auch in Deutschland ernst: So hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit vor kurzem ein Bußgeld wegen Datenschutzverstößen bei der Verarbeitung von Mitarbeiterdaten in Höhe von 35,3 Millionen € gegen ein Unternehmen verhängt. Der Arbeitgeber hatte Details aus dem Privatleben von Beschäftigten in Datenbanken festgehalten und von Führungskräften auswerten lassen. Hinsichtlich Schadensersatzansprüchen hat das Arbeitsgericht Düsseldorf zuletzt einem Mitarbeiter 5.000 € zugesprochen, weil der Arbeitgeber verspätet und nicht vollständig auf einen Auskunftsantrag nach Art. 15 DSGVO geantwortet hatte. Wie sollte man sich also verhalten?
Kooperatives Verhalten gegenüber der Datenschutzbehörde
Oftmals wird ein kooperatives Verhalten gegenüber der Datenschutzbehörde empfehlenswert sein. Denn die Datenschutzbehörde hat nach der DS-GVO kooperatives Verhalten bei der Bemessung der Höhe des Bußgeldes mildernd zu berücksichtigen. Zudem besteht durch einen offensiven Umgang mit dem Datenschutzverstoß, als Teil des kooperativen Ansatzes, die Möglichkeit, die negative Außenwahrnehmung gering zu halten. Allerdings kann allzu kooperatives Verhalten auch Risiken mit sich bringen. Eine zu umfangreiche Auskunft gegenüber der Datenschutzbehörde kann natürlich ungewollte Folgefragen provozieren. Hier ist eine Abwägung im Einzelfall zu treffen.
Abstellen des Datenschutzverstoßes
Daneben ist es wichtig, dass das Unternehmen den Datenschutzverstoß umgehend abstellt. Im besten Fall können Unternehmen schon in ihrer ersten Stellungnahme gegenüber der Datenschutzbehörde darauf hinweisen, dass sie Sofortmaßnahmen getroffen haben, die weitere Verstöße dieser Art verhindern. Das kann zum Beispiel in Fällen unzureichender Sicherung von Mitarbeiterdaten durch Maßnahmen zur Verbesserung der IT-Sicherheit gelingen. Da die Dauer des Datenschutzverstoßes und positives Nachtatverhalten bei der Bemessung der Höhe des Bußgeldes und etwaiger Schadensersatzzahlungen eine Rolle spielen, können Unternehmen hier an Stellschrauben drehen, welche die Höhe der Zahlungen zu ihren Gunsten beeinflussen können.
Haftungsrisiken des Geschäftsführers von vornherein vermeiden
Der Sorgfaltsmaßstab von Geschäftsführern erfasst auch die Ergreifung geeigneter Maßnahmen zur Gewährleistung von Datenschutz und Datensicherheit. Falls Geschäftsführer dieser Verpflichtung nicht ausreichend nachkommen, kommt sowohl eine Haftung gegenüber der Gesellschaft (§ 43 Abs. 2 GmbHG) als auch – unter bestimmten Voraussetzungen – die Verhängung eines Bußgeldes direkt gegen den Geschäftsführer selbst in Betracht (hierzu ausführlich Kroll, E-Book GmbH-Geschäftsführer 2020, S. 126 f.).
Geschäftsführer sollten daher in besonderem Maße darauf achten, durch organisatorische Maßnahmen die oben skizzierten Risiken im Bereich des Mitarbeiterdatenschutzes zu verringern. Das Compliance- Management-System sollte in dieser Hinsicht vor allem folgende Elemente enthalten:
- Festlegen von Verantwortlichkeiten, insbesondere Bestellung des (internen oder externen) Datenschutzbeauftragten;
- Ordnungsgemäße Dokumentation der Datenverarbeitungstätigkeiten über ein Verarbeitungsverzeichnis einschließlich Überprüfung der Rechtsgrundlagen;
- Festlegung von Datenschutzgrundsätzen für die Mitarbeiter in einer Datenschutzrichtlinie;
- Schulung der HR-Abteilung und Verpflichtung zur Vertraulichkeit (Datengeheimnis);
- Überwachung der Einhaltung der Datenschutzvorgaben beim Einsatz von Softund Hardware durch Mitarbeiter (E-Mail, Mobile Devices, HR-Management-Systeme) – Regelungen hierzu finden sich häufig in einer Betriebsvereinbarung, die zugleich Rechtsgrundlage für die Datenverarbeitung sein kann;
- Festlegung von Berichts- und Meldewegen bei möglichen oder tatsächlichen Datenschutzverstößen;
- Ordnungsgemäße Erstellung eines Löschkonzepts, welches ins HR-Management-System eingepflegt werden kann.