Als Datenschutzbeauftragter müssen Sie vor allem auch eines haben: viel Geduld und ein offenes Ohr für alle Fragen rund um den Datenschutz. Im stressigen Berufsalltag ist das sicherlich leichter gesagt als getan. Zumal seit der Datenschutz-Grundverordnung (DSGVO) immer mehr Beschäftigte mit Fragen auf Sie zukommen – auch bezüglich ihres Rechts auf Auskunft.
Erleichtern Sie sich Ihren Job, indem Sie diese Schritte hinsichtlich der Betroffenenrechte und Mitarbeiterrechte nach der Datenschutzgrundverordnung befolgen!
Betroffenenrechte gelten auch für Beschäftigte
Um auf die Anfrage von Beschäftigten bezüglich ihrer Rechte vorbereitet zu sein und als Datenschutz-Experte beraten zu können, behalten Sie im Hinterkopf: Ein Mitarbeiter gilt nicht nur als Beschäftigter im Sinne des § 26 Abs. 8 Bundesdatenschutzgesetz (BDSG). Ein Beschäftigter ist zugleich auch betroffene Person. Schließlich beziehen sich Einzelangaben über persönliche oder sachliche Verhältnisse auf ihn als identifizierte oder identifizierbare natürliche Person (Art. 4 Nr. 1 DSGVO).
Rechte der betroffenen Person nach der DSGVO
Die Rechte des Betroffenen sind seit Anwendung der DSGVO in Art. 12 ff. DSGVO zu finden. Das gilt auch für die Rechte der Beschäftigten – denn der deutsche Gesetzgeber hat die Öffnungsklausel aus Art. 88 DSGVO nicht dafür genutzt, spezifischere Regelungen für die Rechte der betroffenen Personen im Beschäftigtenverhältnis und damit zu deren Recht auf Auskunft nach der DSGVO zu regeln. Bei der Umsetzung des Anspruchs auf Auskunft von Beschäftigten sind deshalb die Regelungen aus Art. 15 DSGVO heranzuziehen.
Das Recht auf Auskunft: Ziel, Funktion und Bedeutung
Die in der DSGVO geregelten Rechte der betroffenen Personen und die darin enthaltenen Informations- und Auskunftspflichten verfolgen das Ziel, Transparenz herzustellen und den betroffenen Personen Kontrolle über die Verwendung ihrer personenbezogenen Daten zu ermöglichen. Der darin enthaltene Anspruch auf Auskunft ist nichts grundlegend Neues – er war auch schon in 34 BDSG-alt verankert. Allerdings fällt bei näherem Hinschauen auf: Das Recht auf Auskunft wurde in der DSGVO erweitert. Bei dem erweiterten Recht auf Auskunft nach DSGVO gehört auch, dass der Verantwortliche der betroffenen Person eine Kopie der verarbeiteten personenbezogenen Daten zur Verfügung stellen muss (vgl. Art. 15 Abs. 3 DSGVO). Die Auskunft muss in einer verständlichen Form und Sprache erfolgen. Die erste Kopie ist kostenfrei bereitzustellen. Für weitere Kopien kann der Verantwortliche etwa nach Art. 12 Abs. 5 Buchst. a DSGVO „ein angemessenes Entgelt“ verlangen, wenn es sich um offenkundig unbegründete oder häufig wiederholte Auskunftsanträge handelt.
Das Recht auf Datenportabilität
Neu seit Wirksamkeit der DSGVO ist das Recht auf Datenübertragbarkeit bzw. Datenportabilität, das in Art. 20 DSGVO zu finden ist. Von diesem Recht kann die betroffene Person gemäß Art. 20 Abs. 1 Buchst. a und b DSGVO unter anderem dann Gebrauch machen, wenn die Verarbeitung der personenbezogenen Daten mithilfe automatisierter Verfahren oder auf Basis einer Einwilligung erfolgte oder die Daten zur Erfüllung eines Vertrags verarbeitet wurden.
Demzufolge kann der Beschäftigte seinen Anspruch auf Datenübertragbarkeit geltend machen und bei Verlassen des Unternehmens seine Daten zum nächsten Arbeitgeber „mitnehmen“ bzw. direkt dorthin übermitteln lassen – wenn dies technisch machbar ist. Die Daten sollen laut Art. 20 Abs. 1 DSGVO „in einem strukturierten, gängigen und maschinenlesbaren Format“ übertragen werden. Das Gesetz nennt jedoch keine konkreten technischen Vorgaben. Es gilt: Eine direkte Übertragung an einen anderen Verantwortlichen ist nur möglich, wenn er die Daten in der Form empfangen kann, wie sie technisch zur Verfügung gestellt werden. Allerdings liegt es nicht in der Verantwortung Ihres Unternehmens sicherzustellen, dass eine Kompatibilität mit den technischen Systemen des nächsten Arbeitgebers gegeben ist.
Beachten Sie: Im Unterschied zur Erfüllung des Rechts auf Auskunft sind bei der Erfüllung des Rechts auf Datenportabilität die zu übermittelnden personenbezogenen Daten auf die Daten beschränkt, die die betroffene Person dem Verantwortlichen selbst zur Verfügung gestellt hat. Von Ihrem Unternehmen erzeugte oder abgeleitete Informationen, z. B. Beurteilungen, sind nicht zur Verfügung zu stellen.
Der richtige Umgang mit Betroffenenrechte
Um darauf vorbereitet zu sein, wenn ein Beschäftigter von seinen Rechten als betroffene Person, also von seinem Recht auf Auskunft nach DSGVO, Gebrauch machen und wissen will, was im Unternehmen über ihn gespeichert ist, orientieren Sie sich einfach an der folgenden Übersicht. So haben Sie alle essenziellen Aspekte im Blick und können Schritt für Schritt vorgehen, um Ihr Unternehmen vor immensen Bußgeldern, Imageschäden und daraus resultierenden Existenzrisiken zu schützen.
Betroffenenrechte und Mitarbeiterrechte klar kommunizieren
Als Erstes ist Ihre Aufklärungsarbeit gefragt! Denn damit der Arbeitgeber als Verantwortlicher die Rechte der Beschäftigten als betroffene Personen erfüllen und dem Anspruch auf Auskunft nachkommen kann, bedarf es zweierlei: Zum einen muss der Arbeitgeber überhaupt wissen, dass gesetzliche Pflichten bestehen, die er zu erfüllen hat. Und zum anderen müssen Prozesse vorhanden sein, die es ermöglichen, den entsprechenden Verpflichtungen in der Praxis nachzukommen.
Und hier können Sie als Datenschutzbeauftragter unterstützen. Prüfen Sie den Stand der Dinge in Ihrem Unternehmen: Sind sich die Verantwortlichen der Rechte der Beschäftigten als betroffene Personen und des damit verbundenen Rechts auf Auskunft überhaupt bewusst? Sind für die Bearbeitung von Anfragen entsprechende Zuständigkeiten festgelegt und Prozesse definiert, die die Bearbeitung ermöglichen? Ist sichergestellt, dass Sie als Datenschutzbeauftragter über Anfragen informiert werden, um erforderliche Maßnahmen ergreifen bzw. koordinieren zu können?
Wann Betroffene das Recht zur Auskunft haben
Haben Sie die Rahmenbedingungen abgeklopft, kommen die Details. Zeigen Sie auf: Über diese Punkte ist gemäß Art. 15 Abs. 1 Buchst. a bis h DSGVO dem Beschäftigten auf Anfrage Auskunft zu erteilen:
• die Kategorien der personenbezogenen Daten, die verarbeitet werden
• die Zwecke der Verarbeitung
• die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden
• Werden personenbezogene Daten der betroffenen Person an ein Drittland oder an eine internationale Organisation übermittelt, so hat die betroffene Person das Recht auf Informationen über die geeigneten Garantien gemäß Art. 46 DSGVO.
• die geplante Dauer der Speicherung der personenbezogenen Daten und, falls dies nicht möglich ist, die Kriterien für die Festlegung der Speicherdauer
• Informationen über das Recht der betroffenen Person auf Berichtigung der personenbezogenen Daten (gemäß Art. 16 DSGVO), auf Löschung (Art. 17 DSGVO), auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und das Widerspruchsrecht gegen diese Verarbeitung (Art. 21 DSGVO)
• Hinweis auf das Beschwerderecht bei einer Aufsichtsbehörde
• wurden die personenbezogenen Daten nicht bei der betroffenen Person erhoben: alle verfügbaren Informationen über die Herkunft der Daten
• falls zutreffend, Informationen über eine automatisierte Entscheidungsfindung einschließlich „Profiling“ gemäß Art. 22 Abs. 1 und 4 DSGVO
Praxishinweis: Um die Auskunft erteilen zu können, sind Prozesse notwendig, die idealerweise in das Datenschutzmanagementsystem Ihres Unternehmens integriert sind und die ermöglichen, die Auskunft in einem gängigen Format bereitzustellen.
Recht auf Auskunft nach DSGVO gilt jederzeit
Auch wenn die ein oder andere Anfrage vielleicht gerade ungelegen kommt, da „Wichtigeres“ zu erledigen ist, sollten Sie darauf hinweisen: Jede einzelne Anfrage ist ernst zu nehmen – und die Bearbeitung zu dokumentieren. Wird eine Anfrage ignoriert oder abgewimmelt, kann sich der Beschäftigte an die Aufsichtsbehörde für den Datenschutz wenden. Denn das ist auch sein gutes Recht. Und dann wird es ungemütlich, denn das bedeutet erst recht Aufwand und möglicherweise auch großen Ärger für das Unternehmen. Zeigen Sie auf: Bei Verstößen gegen die Regelungen der Art. 12 bis 22 DSGVO können gemäß Art. 83 Abs. 5 Buchst. b DSGVO Bußgelder verhängt werden. Dabei sind Bußgelder von bis zu 20 Mio. € bzw. 4 % des weltweit erzielten Jahreskonzernumsatzes des vorangegangenen Geschäftsjahres möglich.
Fristen kennen und beachten
Jede Anfrage muss ernst genommen und bearbeitet werden – aber nicht nur das: Gemäß Art. 12 Abs. 3 DSGVO gelten Fristen, die auch der Arbeitgeber als Verantwortlicher einzuhalten hat. Das Gesetz schreibt vor, dass auf ein Auskunftsersuchen unverzüglich, aber spätestens innerhalb eines Monats zu reagieren ist. In Ausnahmefällen kann diese Frist um zwei Monate verlängert werden. Allerdings müssen Sie die betroffene Person binnen eines Monats nach Eingang der Anfrage über diese Fristverlängerung informieren – und ihr die Gründe mitteilen, wie z. B. Komplexität der Anfrage oder eine hohe Anzahl von Anträgen. Diese Anforderungen hinsichtlich der Fristen gelten auch, wenn Ihr Unternehmen auf eine Anfrage nicht reagiert oder nicht tätig wird. Außerdem ist die betroffene Person darüber zu informieren, dass bei einer Aufsichtsbehörde Beschwerde eingelegt werden kann. Kommt es zu Verzögerungen, ist zu empfehlen, die Gründe der Verzögerung sorgfältig zu dokumentieren. Außerdem sollte der Beschäftigte über den Stand der Bearbeitung seines Auskunftsersuchens auf dem Laufenden gehalten werden. Das verringert das Risiko, dass er sich an die Aufsichtsbehörde wendet.
Der Unterschied zwischen Auskunftsanspruch und Datenportabilität
Machen Sie den Verantwortlichen im Rahmen Ihrer Beratung deutlich: Das Recht auf Auskunft des Beschäftigten ist nicht mit dem Recht auf Datenportabilität gleichzusetzen. Dementsprechend ist kritisch zu hinterfragen und zu prüfen, welche Daten zur Erfüllung des Anspruchs auf Datenportabilität – im Vergleich zur Auskunft über die betroffene Person – zur Verfügung gestellt werden und welche nur in den Bereich des Recht auf Auskunft nach DSGVO fallen.
Denn das Recht auf Datenübertragbarkeit verpflichtet den Arbeitgeber nicht, eigene Rechte und Freiheiten oder die Dritter zu beeinträchtigen. In Art. 20 Abs. 4 DSGVO ist explizit festgelegt, dass „die Rechte und Freiheiten anderer Personen“ durch das Recht auf Datenportabilität nicht verletzt werden dürfen. Diese Regelung bezieht sich nicht nur auf andere betroffene Personen, sondern auch auf den Verantwortlichen, das heißt, auch das Recht am geistigen Eigentum Dritter bzw. die Geschäftsgeheimnisse Ihres Unternehmens sind davon umfasst.
Grundsätzlich gilt: Es ist sicherzustellen, dass sowohl bei der Erteilung von Auskunft als auch bei der Erfüllung des Rechts auf Datenportabilität schutzwürdige Informationen (dazu gehören z. B. auch personenbezogene Daten Dritter) nicht in die Hände Unbefugter gelangen können und technische Schutzmaßnahmen ergriffen werden, um die Daten auf sicherem Wege zu übertragen.
Die Bedeutung hinter dem Auskunftsverlangen
Eine Sache ist, den gesetzlichen Anforderungen und Fristen zu entsprechen und dem Recht der Mitarbeiter auf Auskunft nach DSGVO nachzukommen. Eine andere ist, die Hintergründe eines Auskunftsersuchens zu beleuchten. Unter Umständen liegen die Gründe für ein Auskunftsersuchen tiefer. Das heißt, der Beschäftigte möchte mit seinem Ersuchen Signale senden – vielleicht fühlt er sich ungerecht behandelt und will es dem Arbeitgeber auf diese Weise „einfach mal zeigen“. Hier ist es wichtig, mit Fingerspitzengefühl vorzugehen und zu überprüfen, welche Möglichkeiten (z. B. klärende Gespräche) bestehen, um die Konfliktsituation zu lösen.