In Kooperation mit

Job & Karriere

Datenschutz-Grundverordnung Was Ihr Chef jetzt verbieten kann

Die neuen Datenschutzregeln der EU machen auch Arbeitgeber nervös: Der Autozulieferer Continental hat Mitarbeitern untersagt, WhatsApp auf Diensthandys zu nutzen. Doch sind solche Maßnahmen sinnvoll?

Seit knapp zwei Wochen ist die neue Datenschutz-Grundverordnung (DSGVO) in Kraft. Sie regelt EU-weit einheitlicher, wie Unternehmen, Vereine und Behörden mit personenbezogenen Daten umzugehen haben.

Kunden, Mitarbeiter und Verbraucher sollen künftig besser darüber informiert werden, wer ihre Namen, Adressen, Ausweisnummern und andere Informationen aus welchem Grund sammelt - und sie müssen dem vorher zustimmen. Wer gegen die Verordnung verstößt, kann zu hohen Geldbußen verdonnert werden.

Entsprechend nervös sind viele deutsche Arbeitgeber - und ergreifen teilweise resolute Maßnahmen. Der Autozulieferer Continental etwa hat weltweit Zehntausenden Mitarbeitern untersagt, Social-Media-Apps wie WhatsApp auf Diensthandys zu nutzen. Denn die Dienste greifen auf persönliche und potenziell vertrauliche Kontaktdaten im Adressbuch der Nutzer zu.

Doch sind solche Schritte wirklich nötig? Wo liegen weitere Fallstricke? Wichtige Antworten im Überblick:

Ist das Verbot für Continental-Mitarbeiter übertrieben?

Nein, sagt der Jurist Max Wittig, der sich auf Datenschutz für Arbeitnehmer spezialisiert hat. "Ich halte es für sinnvoll." Die Nutzungsbedingungen von WhatsApp sehen nämlich vor, dass die Nutzer ihre Kontakte einzeln fragen, ob sie mit der Weitergabe ihrer Daten einverstanden sind. In der Praxis dürfte das aber kaum durchzusetzen sein.

Müssen Unternehmen, die kein solches Verbot aussprechen, Geldbußen fürchten?

Wohl vorerst nicht. Die Datenschutzbeauftragten der Länder sollen darüber wachen, dass sich alle an die DSGVO halten. Doch deren Kapazitäten sind klein. So arbeiten beim Landesdatenschutzbeauftragten in Baden-Württemberg, wo laut IHK knapp 500.000 Unternehmen ansässig sind, nur drei Mitarbeiter mit dem Schwerpunkt Datenschutz für Beschäftigte.

Außerdem ist die Verordnung frisch - und alle Beteiligten arbeiten sich noch ein. Viele konkrete Fragen sind ungeklärt. "Wenn Firmen das Thema ernst nehmen und guten Willen zeigen, ist es in den kommenden zwei Jahren sehr unwahrscheinlich, dass die Behörden Strafen verhängen", sagt Arbeitsrechtler Wittig.

Wobei sollten Unternehmen aufpassen?

Mehrere Bereiche sind kritisch, etwa der Kundenkontakt, die Bewerbungsverfahren und der Umgang mit den Daten ehemaliger Mitarbeiter. Firmen sollten ihren Kunden und Geschäftspartnern anbieten, künftig verschlüsselt über E-Mail zu kommunizieren, rät Wittig. "Gerade wenn es um sensible Daten geht, gehört das einfach dazu."

Den meisten seiner Mandanten seien unverschlüsselte E-Mails jedoch lieber, weil sie den Aufwand scheuten. "Doch es ist wichtig, dass man darüber vorher einmal offen spricht und die Vereinbarung auch schriftlich festhält."

Was gilt für Bewerber und Mitarbeiter?

Die DSGVO überlässt es den Mitgliedsstaaten, den Datenschutz für Beschäftigte konkret zu regeln. In Deutschland war vieles schon vorher national festgeschrieben, etwa im Bundesdatenschutzgesetz . Worauf Arbeitgeber jedoch jetzt genauer achten sollten: Bewerber und Mitarbeiter müssen informiert werden, wofür ihre Daten verwendet und wie lange sie gespeichert werden.

"Betroffene haben ein Recht auf Löschung ihrer im Unternehmen nicht mehr benötigten Daten", sagt Annegret Balzer, Spezialistin für Beschäftigtendatenschutz bei Kleiner Rechtsanwälte in Stuttgart. Arbeitgeber seien verpflichtet festzulegen und transparent zu machen, ab wann das in ihrer Firma gelte. "Auch sollten Bewerbungen nicht per Mail innerhalb des Unternehmens weitergesendet werden, das macht eine Löschung sehr schwierig", sagt Balzer.

Welche Fristen sind einzuhalten?

Pauschal lässt sich das schwer sagen, gesetzliche Fristen zum Löschen gibt die DSGVO nicht vor. Daten von Bewerbern dürfen nur so lange aufbewahrt werden, wie sie für das konkrete Verfahren relevant sind. Das war auch bisher schon der Fall.

Wenn ein Arbeitnehmer aus einer Firma ausscheidet, muss das Unternehmen seine Daten hingegen nicht sofort löschen. Der Kollege könnte ja noch Urlaubsansprüche anmelden oder ein Arbeitszeugnis verlangen. Oder die Firma könnte Ansprüche auf Schadensersatz geltend machen. Hier liegen die nationalen Verjährungsfristen in der Regel bei zwei bis drei Jahren.

Welche Probleme wirft das auf?

Auch ein Arbeitnehmer, der etwa seinen Chef bestohlen hat, kann die Löschung seiner Daten verlangen. Wenn der Arbeitgeber dem nachkommt, könnte sich derjenige erneut an einem anderen Standort der Firma bewerben, ohne dass sein Fehlverhalten auffliegt.

Der Arbeitgeber hat also ein berechtigtes Interesse daran, in diesem Fall die Daten des Betroffenen langfristig zu speichern, zumindest dessen Namen, Geburtsdatum und den Kündigungsgrund. Ob ein solches Interesse allerdings schwerer wiegt als der Anspruch eines ehemaligen Kollegen auf den Schutz seiner Daten, werden in den kommenden Jahren wohl eher Gerichte entscheiden müssen. "Das lässt sich nur im Einzelfall beurteilen", sagt ein Sprecher des Bundesdatenschutzbeauftragten.

Die Wiedergabe wurde unterbrochen.