Neben den neuen weitreichenderen Informationspflichten ergeben sich für den Arbeitgeber künftig auch umfassende Nachweispflichten. Als große Erneuerung ist in Art. 5 DSGVO die Rechenschaftspflicht geregelt. Der Arbeitgeber muss jetzt nicht nur die Sicherheit der Verarbeitung von personenbezogenen Daten gewährleisten, sondern ist darüber hinaus verpflichtet, Nachweise darüber zu erbringen. Er ist bezüglich der Einhaltung der Grundsätze der DSGVO Gerichten und Aufsichtsbehörden gegenüber beweisverpflichtet.
Daher ist es zwingend notwendig, dass Mitarbeiter über die Einhaltung der Datenschutzvorschriften geschult werden sowie das Unternehmen zuverlässige Datenschutz-Managementsysteme inklusive Risikoanalysen, Prozessen und Kontrollen einführen.

Verzeichnis über Verarbeitungstätigkeiten

Nach Art. 30 DSGVO sind künftig alle Verantwortlichen verpflichtet, ein Verzeichnis über Verarbeitungstätigkeiten zu führen. Eine Freistellung der Verpflichtung für Unternehmen und Einrichtungen kann bei weniger als 250 Mitarbeitern beantragt werden aber auch nur dann, wenn die Verarbeitung von personenbezogenen Daten gelegentlich erfolgt und keine besonderen Datenkategorien wie Gesundheits- oder Religionsdaten verarbeitet werden.
Jedes Unternehmen, das also für seine Beschäftigten Lohnsteuererklärungen zur Abführung von Kirchensteuer oder Gesundheitsdaten zur Feststellung von Krankheitstagen hält, ist nicht befreit.

Zusätzlicher Datenschutzbeauftragter

Das Thema des Datenschutzbeauftragten wird in Art. 37 DSGVO,. § 38 BDSG-neu geregelt. Danach benötigen Unternehmen, die mehr als 10 Mitarbeiter mit der Verarbeitung von Daten beschäftigen, einen Datenschutzbeauftragten, der intern oder extern ernannt wird. Unabhängig von der Mitarbeiterzahl benötigen Unternehmen grundsätzlich einen Datenschutzbeauftragten, deren Kerntätigkeit die Verarbeitung von personenbezogenen Daten ist. Hier sind bspw. Werbeagenturen und Optiker zu nennen.
Dem Datenschutzbeauftragten kommen nach Art. 39 DSGVO neue Überwachungsplichten zu. Nach der alten Rechtslage sollte der Datenschutzbeauftrage nur auf die Einhaltung der Datenschutzvorschriften hinwirken, während er jetzt die Einhaltung und Durchführung überwachen muss.

Der Datenschutzbeauftragte sollte vom Verantwortlichen auch weiterhin schriftlich ernannt werden. Qualifikationen und Erfahrungen mit dem Umgang gesetzlicher Datenschutzvorschriften sollten für die Benennung eine ausschlaggebende Rolle spielen, wobei Datenschutzbeauftragten auch nach der Ernennung die Möglichkeit gegeben werden muss, an Schulungen und Weiterbildungen teilzunehmen.
Der Datenschutzbeauftragte ist verantwortlich für die Einhaltung und Überwachung der Datenschutzvorschriften. Darüber hinaus ist er Berater für den Verantwortlichen hinsichtlich der Datenschutz-Folgenabschätzung. Er arbeitet mit den Aufsichtsbehörden zusammen und ist auch Ansprechpartner für diese (Art. 37 DSGVO, § 38 BDSG-neu).
Ganz wichtig ist, dass der Datenschutzbeauftrage gemäß § 38 Abs. 2 BDSG-neu in Verbindung mit § 6 Abs. 4 BDSG-neu (§ 4f Abs. 3 BDSG-alt) nur gekündigt werden kann, wenn ein Grund für eine fristlose Kündigung gegeben ist (§ 626 BGB). Das bedeutet Sie sollten sich vorab gut überlegen, wen Sie zum Datenschutzbeauftragen ernennen, da Sie sich nach seiner Ernennung nur noch unter erschwerten Bedingungen von ihm trennen können.

Weitere Informationen zum Thema Arbeitsrecht für Arbeitgeber erhalten Sie auch unter https://scharf-und-wolter.de/arbeitsrecht-hamburg-arbeitg/