Inwieweit muss die Belehrung eines Mitarbeiters auf seine Position hin individualisiert werden?
PSP Case Study zur DSGVO: Praxisfall 3

DSGVO: Praktischer Fall

Frau Maier (s. Fall 2) wird am Ende des Bewerbungsverfahrens von der Huber AG als Lohnbuchhalterin eingestellt. Sie erhält eine Formular-Belehrung, dass sie im Rahmen ihrer Arbeit mit personenbezogenen Daten zu tun haben wird und das Datenschutzrecht einhalten muss.

Die DSGVO enthält – im Unterschied zum früheren BDSG – keine ausdrückliche Verpflichtung des Verantwortlichen, den Arbeitnehmer „auf das Datengeheimnis zu verpflichten“. Geregelt ist lediglich eine Verpflichtung „unterstellter Personen“, personenbezogene Daten weisungsgemäß zu verarbeiten (Art. 29 DSGVO), sowie die Verpflichtung des Verantwortlichen selbst, sicherzustellen, dass „unterstellte Personen“ die Daten nur weisungsgemäß verarbeiten (Art. 32 Abs. 4 DSGVO). Wie dies sichergestellt wird, ist dem Verantwortlichen überlassen. Nur für Auftragsverarbeiter gibt es eine ausdrückliche Regelung, die Mitarbeiter zu verpflichten (Art. 28 Abs. 3 S. 2 lit. b DSGVO).

Verschiedene Juristen sind der Ansicht, der Mitarbeiter soll weiterhin eine Verpflichtungserklärung unterzeichnen. Allerdings ist der „Zwang“, als Arbeitnehmer eine Verpflichtungserklärung abgeben zu müssen, die von der DSGVO nicht gefordert wird, arbeitsrechtlich durchaus kritisch zu sehen. Vielmehr dürfte eine Belehrung des Arbeitnehmers sowie die Quittierung des Empfangs der Belehrung ausreichen, aber auch notwendig sein.

Die entscheidende Frage ist jedoch, wie maßgeschneidert diese Belehrung auf die spezifischen Tätigkeiten des jeweiligen Arbeitnehmers zugeschnitten sein muss. Jeder Arbeitnehmer, noch mehr aber jede Abteilung in einem Unternehmen, erfüllt eine andere Funktion, verarbeitet andere Daten zu anderen Zwecken. Muss nun für jede Abteilung, für jeden Arbeitnehmer eine andere Belehrung erfolgen? Wenn ja, was genau muss wie individualisiert werden bzw. gibt es eine Grenze, bis zu der Aufwand betrieben werden muss?

Die Frage ist auch deshalb von Relevanz, weil in vielen mittelständischen Unternehmen keine schriftlichen Prozessbeschreibungen sämtlicher unternehmensinterner Prozesse vorgehalten werden, aus denen sich für jede Position innerhalb des Unternehmens klar und hinreichend detailliert ergibt, welche personenbezogenen Daten im Rahmen der Tätigkeit wie zu verarbeiten sind. Die „Weisungen“, von denen in Art. 32 Abs. 4 DSGVO im Rahmen der „weisungsgemäßen Verarbeitung“ die Rede ist, existieren in der Praxis häufig nur aufgrund mündlicher Anleitung oder „Vormachen“ durch länger beschäftigte Mitarbeiter, lassen sich also im Streitfall auch kaum mehr im Einzelnen nachweisbar klären. Dies gilt sowohl gegenüber dem Mitarbeiter als auch gegenüber einer Aufsichtsbehörde.

Eine „pro forma“-Belehrung zum Datenschutzrecht wird sich in aller Regel in allgemeinen Hinweisen zur Einhaltung des Gesetzes, ggf. in Schulungen erschöpfen, deren Besuch nachvollziehbar und beweisbar ist. Aber inhaltlich gehen die Vorgaben der Art. 29, 32 DSGVO weiter. Der Arbeitgeber ist insbesondere gehalten, datenschutzrechtliche interne „Befugnisse“ insbesondere auf Basis des „need to know“ zu definieren: Welcher Mitarbeiter darf unter welchen Umständen was mit welchen Daten machen bzw. nicht machen? Dies lässt sich nicht über theoretische Erklärungen zu „Legitimationsgrundlagen“ und Betroffenenrechten lösen.

Der Mitarbeiter ist keine datenschutzrechtliche Subsumtionsmaschine und beherrscht das Datenschutzrecht nicht besser als sein Arbeitgeber. Die Rechenschaftspflicht des Art. 5 Abs. 2 DSGVO wird daher die Dokumentation von spezifischen Weisungen an die Arbeitnehmer erfordern, mit denen der Arbeitgeber die DSGVO für „sein“ konkretes Unternehmen in konkrete, rollenspezifische und für die Adressaten verständliche Vorgaben „übersetzt“. Allgemeine Ausführungen stellen keine „Weisungen“ dar und auch der Verweis auf tausende Seiten interner (Compliance-)Dokumentation in Großkonzernen (am besten in Englisch), aus denen sich der Neuankömmling dann das für ihn „Richtige“ heraussuchen muss, stellt zumindest nach Meinung der Arbeitsgerichte keine ordnungsgemäße, aufgabenbezogene Anweisung an den Mitarbeiter dar.

Wichtig ist auch, dass die Belehrung des Beschäftigten, die Pflichtinformationen gegenüber dem Beschäftigten und etwaige vom Beschäftigten möglicherweise abzugebende Einwilligungserklärungen nicht miteinander vermischt werden. Der Landesdatenschutzbeauftragte von Mecklenburg-Vorpommern führt in seinem Tätigkeitsbericht 2018 zu einem als „Datenschutzerklärung“ des Arbeitgebers bezeichneten Dokument, das der Beschäftigte zu unterschreiben hatte, aus:

Vielfach wird diese reine Information mit anderen Klauseln vermischt und unter dem Begriff ‚Datenschutzerklärung‘ den Betroffenen zur Unterschrift vorgelegt. In einem Fall legte der Arbeitgeber seinen Beschäftigten eine solche „Datenschutzerklärung“ vor. Diese enthielt neben den Informationen nach Art. 13 DS-GVO eine Belehrung über die Schweigepflicht, eine Einwilligungsklausel in die Verwendung von Bild- und Tonaufnahmen der Beschäftigten und eine Einwilligungsklausel in die Verarbeitung der Beschäftigtendaten. Ein Petent, der diese „Datenschutzerklärung“ nicht unterschrieben hatte, meldete sich bei uns, da sein Arbeitgeber seine Gehaltzahlung zurückhielt mit der Begründung, dass er diese nicht leisten könne, weil der Petent die Datenschutzerklärung nicht unterschrieben habe und er ohne Einwilligung die Beschäftigtendaten nicht verarbeiten dürfe.

Nach unserem zunächst telefonischen Kontakt zum Arbeitgeber wurde dem Petenten sein Gehalt gezahlt. Im danach geführten Schriftverkehr wurde die „Datenschutzerklärung“ durch den betrieblichen Datenschutzbeauftragten entwirrt und von den falschen Klauseln, den Einwilligungen und Belehrungen getrennt. Es wurde dem Arbeitgeber erklärt, dass er für die Verarbeitung der erforderlichen Beschäftigtendaten keine Einwilligung benötigt, da es hierfür eine Rechtsgrundlage nach Art. 6 Abs. 1 lit. b DS-GVO i. V. m. § 26 Bundesdatenschutzgesetz (BDSG) gibt. Es wurde weiter erklärt, dass, sofern Einwilligungen eingeholt werden sollen, diese freiwillig sein müssen und dass er sich zu Dokumentations- und Nachweiszwecken die Aushändigung von Belehrungen oder Informationen (z. B. nach Art. 13) mit Unterschrift bestätigen lassen kann, diese dann aber keine Einwilligungen darstellen.“

Diese News könnten Sie auch interessieren
Alle News
Mehr laden
Diese Vorträge & Veröffentlichungen könnten Sie interessieren
Alle Vorträge & Veröffentlichungen
Mehr laden