Die neuen Informationspflichten und Auswirkungen von Datenschutzverletzungen

Künftig müssen Unternehmen nach Art. 12 DSGVO Arbeitnehmer deutlich umfassender als bislang und in einer nachvollziehbaren Weise darüber informieren, ob und wie sie deren Daten verarbeiten. Dabei gilt, dass der Arbeitgeber die betroffene Person von der Verarbeitung ihrer personenbezogenen Daten „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer einfachen und klaren Sprache“ unterrichten muss. Hier müssen dem Arbeitnehmer u.a. der Zweck der Verarbeitung, die Empfänger der Daten und die Dauer der Speicherung zum Zeitpunkt der Datenerhebung mitgeteilt werden (Art. 13 DSGVO).

Neben diesen Informationspflichten der Arbeitgeber haben die Arbeitnehmer zusätzlich, wie auch die Bewerber im Bewerbungsverfahren (wurde im letzten Artikel ausgeführt), ein weitergehendes Auskunftsrecht als bisher über die Verarbeitung ihrer Daten nach Art. 15 DSGVO.
Wurde der Datenschutz beim Umgang mit personenbezogenen Daten von Mitarbeitern verletzt, so muss diese Verletzung nach dem neuen Art. 33 DSGVO (bisher war dies in § 42a BDSG geregelt) der Aufsichtsbehörde binnen 72 Stunden nach Bekanntwerden der Verletzung gemeldet werden, es sei denn, das Risiko für persönliche Rechte und Freiheiten des Arbeitnehmers ist unwahrscheinlich. Zudem muss der Arbeitnehmer selbst benachrichtigt werden, wenn ein hohes Risiko für seine Rechte und Freiheiten besteht.

Die neue Datenschutz-Folgenabschätzung

Wozu dient eine DSFA?

Immer dann, wenn eine Datenverarbeitung voraussichtlich ein hohes oder ein sehr hohes Risiko für die persönlichen Rechte und Freiheiten des Arbeitnehmers zur Folge hat, hat der Arbeitgeber künftig vor deren Einführung eine Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 Abs. 1 DSGVO vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten von Arbeitnehmern hätte.

Die DSFA ist ein wichtiges Mittel, um Risiken in Bezug auf den Datenschutz effektiv bewerten und reduzieren zu können, sie ist also so gesehen eine Risikoanalyse. Grundsätzlich ist sie nichts anderes als die bereits bekannte Vorabkontrolle gem. § 4d Abs. 5 BDSG.

Je risikoreicher und schadensgeneigter die Verarbeitung von Daten für Arbeitnehmer sein kann, umso höhere Anforderungen stellt die DSGVO an die Anwendung. Lässt sich ein hohes Risiko nicht durch angemessene technische und/oder organisatorische Maßnahmen reduzieren, ist vorab eine Genehmigung der Aufsichtsbehörde nach Art. 36 DSGVO einzuholen.

Wie werden Mitarbeiterdaten nach der Risikoanalyse bewertet?

1. Geringes/Mittleres Risiko: bei Anschriften, Kontaktdaten, Daten über Geschäfts- und Vertragsbeziehungen. Hier wäre das Risiko für den Arbeitnehmer als tolerabel einzustufen.
2. Hohes Risiko: bei sensiblen Daten wie insbesondere Beurteilungen der beruflichen Laufbahn und Angaben über Behinderung. Hier hätte ein möglicher Datenmissbrauch erhebliche Auswirkungen für den Arbeitnehmer.
3. Sehr hohes Risiko: bei hochsensiblen Daten wie Adressen von Zeugen in bestimmten Strafverfahren. Hier wäre die Verarbeitung für den Betroffenen als nicht tolerabel einzustufen.
Folgen von Verstößen für Arbeitgeber und Unternehmen
Bislang waren Verstöße gegen die Vorgaben zur Datensicherheit beziehungsweise zu den technischen und organisatorischen Maßnahmen nach § 9 BDSG nicht bußgeldbewehrt.
Mit der Einführung des Art. 32 DSGVO werden die künftigen Vorgaben zur Datensicherheit neu geregelt. Die Verordnung erweitert durch Art. 82 DSGVO deutlich Schadensersatzansprüche wegen tatsächlicher oder behaupteter Datenschutzverstöße.

Demnach können nicht nur materielle, sondern auch immaterielle Schäden geltend gemacht werden, was eine deutliche Änderung zum bisher bestehenden deutschen Recht (§ 7 BDSG) darstellt. Verstöße gegen Organisationsregeln werden mit bis zu 2 Prozent des weltweiten Vorjahresumsatzes oder bis zu 10 Millionen Euro, je nachdem welche Summe höher ist, geahndet.
Bei Verstößen gegen die Rechte von betroffenen Person fallen zukünftig Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Vorjahresumsatzes an, je nachdem welche Summe höher ist.

Weitere Informationen zum Thema Arbeitsrecht für Arbeitgeber erhalten Sie auch unter https://scharf-und-wolter.de/arbeitsrecht-hamburg-arbeitg/