Verantwortliche Arbeitgeber muss Transparenzprinzip einhalten
Mitarbeiter gelten als Betroffene im Datenschutz, da deren personenbezogene Daten verarbeitet werden. Um diese Verarbeitung DS-GVO-gemäß zu gestalten, müssen daher auch hierbei die gesetzlichen Vorgaben eingehalten werden.
Dazu gehört das Transparenzprinzip der Datenschutzgrundverordnung.
Mitarbeiter sind Betroffene im Sinne des Datenschutzes
Sobald personenbezogene Daten von einer natürlichen Person verarbeitet werden, gilt dieser im Sinne des Datenschutzes als Betroffener. Da in einem Beschäftigungsverhältnis personenbezogene Daten verarbeitet werden, sind auch Mitarbeiter Betroffene.
BLOG-TIPP: Datenschutz in der Praxis – Was sind personenbezogene Daten nach DS-GVO?
Informationspflichten im Beschäftigungsverhältnis
Der Verantwortliche muss bei der Verarbeitung von personenbezogenen Daten den Grundsatz der Transparenz der DS-GVO umsetzen. Dazu gehört, dass er verpflichtet ist, Informationen über die Verarbeitung an den Betroffenen weiterzugeben.
Dabei unterscheidet man zwischen der Direkterhebung und der Dritterhebung. Eine Direkterhebung liegt dann vor, wenn die Daten direkt bei dem Betroffenen erhoben werden. Werden die Daten aus einer anderen Quelle erhoben, dann spricht man von einer Dritterhebung.
Was müssen Informationspflichten beinhalten?
Die DS-GVO gibt unterschiedliche verpflichtende Basisinformationen vor, die in den Informationspflichten beinhaltet sein müssen. Die Angaben bei der Direkterhebung und der Dritterhebung unterscheiden sich dabei nur in wenigen Punkten. Dazu gehören unter anderem:
- Name und Kontaktdaten des Verantwortlichen (und ggf. seines Vertreters)
- Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
- Zweck und Rechtsgrundlage zur Datenverarbeitung
- Kategorien der verarbeiteten Daten
- Empfänger der Daten und deren Kategorien
- Speicherdauer der personenbezogenen Daten
Darüber hinaus muss der Betroffene darüber informiert werden, dass das Recht auf Auskunft, auf Berichtigung oder Löschung oder Einschränkung der Verarbeitung oder auf Widerspruch darin und auf Datenübertragbarkeit besteht.
BLOG-TIPP: BETROFFENENRECHTE IM DATENSCHUTZ FÜR NRW
Wann muss die Informationsmitteilung erfolgen?
Bei der Direkterhebung muss die Informationsmitteilung darüber, dass personenbezogene Daten verarbeitet werden, bei der Datenerhebung erfolgen. Bei der Dritterhebung muss diese spätestens innerhalb eines Monats erfolgen.
Wichtig ist, dass bereits Bewerber zu den Betroffenen im Datenschutz zählen, da auch hier personenbezogene Daten verarbeitet werden.
Wie muss die Informationsmitteilung im Datenschutz erfolgen?
Der Verantwortliche unterliegt der Rechenschaftspflicht im Datenschutz, daher ist es wichtig, dass dies auch bei der Informationsmitteilung berücksichtigt wird. Daher ist eine äußere Form der Informationspflichten nicht direkt vorgegeben, sie muss allerdings alle notwendigen Angaben enthalten, um die Transparenz zu gewährleisten. Darüber hinaus muss, wie schon gesagt dokumentierbar sein, dass die Informationspflichten eingehalten wurden.
Je nachdem in welchem Prozess die personenbezogenen Daten verarbeitet werden, kann die Informationsmitteilung zum Beispiel über eine Unterseite auf der firmeninternen Homepage erfolgen. Dies ist beispielsweise bei der Datenverarbeitung im Bewerbungsprozess möglich. Der Betroffene muss auf diese Art der Informationspflicht im Prozess hingewiesen werden.
BLOG-TIPP: PRAXISTIPP DATENSCHUTZ – INFORMATIONSPFLICHTEN RICHTIG UMSETZEN
Zweckänderung verlangt nach neuer Informationsmitteilung
Die Verarbeitung von personenbezogenen Daten ist in der Regel zweckgebunden. Ändert sich im Laufe der Verarbeitung der Zweck und ist dies auch zulässig, muss der Betroffene durch eine neue Informationsmitteilung darauf hingewiesen werden. Eine Änderung des Zwecks muss aber in jedem Fall genau geprüft werden und kann nur in seltenen Fällen erfolgen.
BLOG-TIPP: GRUNDSÄTZE IM DATENSCHUTZ: WAS BEDEUTET ZWECKBINDUNG?
Informationspflichten gegenüber Mitarbeitern und Bewerbern einhalten
Zusammenfassend kann man festhalten, dass der Verantwortliche in der Regel der Informationspflicht aller Betroffener nachkommen muss – dazu gehören auch Mitarbeiter und Bewerber, da von ihnen personenbezogene Daten verarbeitet werden.
Wie genau die Informationspflicht umgesetzt wird, also in welcher Form die Informationsmeldung erfolgt, muss jeweils individuell auf den Verarbeitungsprozess angepasst werden. Dabei sollte ein Fachmann, wie der (externe) Datenschutzbeauftragte hinzugezogen werden.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten in Köln, Düsseldorf, Siegen, Bonn, Siegburg und ganz NRW. Lesen Sie mehr zu unserem individuellen Angebot.
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.