Feststellungen des Amtes für den Schutz personenbezogener Daten im Bereich der Arbeitsbeziehungen

Die tschechische Datenschutzbehörde (Úřad pro ochranu osobních údajů) hat ihren Rechenschaftsbericht für 2022 vorgelegt. In diesem Artikel möchten wir einige der Erkenntnisse zusammenfassen, die sich aus der Tätigkeit der Behörde in 2022 im Bereich arbeitsrechtliche Beziehungen ergeben.

In ihrem jüngst veröffentlichten Rechenschaftsbericht für 2022 beschreibt die tschechische Datenschutzbehörde (Úřad pro ochranu osobních údajů) u.a. die Schlüsse, die sie aus Kontrollen gezogen hat, welche durch Beschwerden seitens Arbeitnehmern wg. eines möglichen Verstoßes gegen die Datenschutzgrundverordnung (DSGVO bzw. GDPR) angeregt wurden.

Gemäß der Veröffentlichung beschweren sich Arbeitnehmer recht häufig darüber, dass Arbeitgeber in der Rolle des Datenverantwortlichen gegen geltendes Recht verstoßen, indem sie Anträge ihrer Arbeitnehmer bzw. ehemaligen Arbeitnehmer im Zusammenhang mit der Ausübung deren Rechte gemäß GDPR nicht abwickeln. Die Datenschutzbehörde hat befunden, dass es dabei am häufigsten um das Gesuch der betroffenen Person (bzw. des „Datensubjekts“) auf Löschung ihrer Daten geht.

Gemäß Art. 17 GDPR hat die betroffene Person (der Arbeitnehmer bzw. ehemalige Arbeitnehmer) ein Recht darauf, dass der Datenverantwortliche (also der Arbeitgeber) unverzüglich die personenbezogenen Daten löscht, die sich auf die betroffene Person beziehen. Dem entspricht die Pflicht des Datenverantwortlichen, diese Löschung ohne unnötigen Verzug vorzunehmen, falls einer der in Art. 17 Abs. 1 GDPR vorgesehenen Gründe vorliegt. In arbeitsrechtlichen Beziehungen dürfte der relevante Grund für die Löschung insbesondere darin bestehen, dass die personenbezogenen Daten der betroffenen Person nicht länger für die Zwecke benötigt werden, für die sie vom Datenverantwortlichen gesammelt oder verarbeitet wurden.

In ihrem Rechenschaftsbericht führt die Datenschutzbehörde aus, in den allermeisten Fällen habe eine Rüge seitens der Behörde genügt, um bei Verfehlungen im Bereich Löschungsanträge für Abhilfe zu schaffen. Nach dem entsprechenden behördlichen Hinweis hätten die Arbeitgeber den Betroffenen geantwortet und im Regelfall auch begründet, warum nicht früher auf den Antrag reagiert worden sei, zusammen mit einer Entschuldigung. Bei einer raschen Wiedergutmachung seitens der Datenverantwortlichen sah die Datenschutzbehörde sodann keinen Grund gegeben, ein förmliches Verwaltungsverfahren in die Wege zu leiten.

Zu den weiteren Vergehen, die sich Arbeitgeber laut Rechenschaftsbericht zuschulden haben kommen lassen, gehört z.B. die Nichtstilllegung eines betrieblichen E-Mail-Accounts bei Beendigung des Beschäftigungsverhältnisses mit dem Arbeitnehmer. In diesem Fall kritisierte die Datenschutzbehörde die weitergehende Verarbeitung von personenbezogenen Daten im Umfang der E-Mail-Adresse (welche sich üblicherweise aus dem Vor- und Zunamen des betreffenden Arbeitnehmers zusammensetzt. Zusammen mit der Domain des Datenverantwortlichen ergibt sich damit ein personenbezogener Datensatz für den Account-Inhaber, für dessen Verarbeitung ein gesetzlicher Grund im Sinne der GDPR vorliegen muss). In einigen Fällen wurde die Löschung des E-Mail-Accounts ehemaliger Mitarbeiter rein fahrlässig versäumt; in anderen Fällen allerdings stellte die Datenschutzbehörde eine gezielte Weiterleitung von E-Mails an andere Arbeitnehmer des Arbeitgebers und ein fortgesetztes Monitoring fest, womit nach behördlicher Auffassung außerdem das Postgeheimnis verletzt wurde. In diesen Fällen wies die Datenschutzbehörde den Datenverantwortlichen auf eine mögliche Verletzung der Datenschutzgrundverordnung hin und informierte den betroffenen ehemaligen Mitarbeiter von seinem Recht auf Erstattung des womöglich erlittenen Schadens.

Aus dem Vorstehenden geht hervor, dass sich die Datenschutzbehörde relativ häufig mit Beschwerden seitens Arbeitnehmern konfrontiert sieht, die die (Nicht-)Erfüllung von Pflichten des Arbeitgebers als Datenverantwortlichen im Bereich GDPR monieren. Zusammenfassend lässt sich sagen, dass es sich stets bezahlt macht, ein wirksames Datenschutzsystem eingerichtet zu haben, um zeitnah auf Anträge (Gesuche) und Beschwerden seitens betroffener Personen reagieren zu können, die sich auf die Ausübung deren Rechte gemäß der Datenschutzgesetzgebung beziehen. Die Kontrolltätigkeit der Behörde zeigt, dass Arbeitgeber, die bei eigenen Rechtsverstößen unverzüglich Abhilfe schafften, einem Verwaltungsverfahren entgehen konnten. Falls Sie, liebe Leser, im Datenschutzbereich Anträge oder Beschwerden seitens ihrer (aktuellen oder ehemaligen) Mitarbeiter erhalten, ist es also stets angebracht, hierauf zu reagieren und dafür zu sorgen, dass alle arbeitgeberseitigen Pflichten gemäß der Datenschutzgrundverordnung erfüllt sind.

Quelle:
Tätigkeitsbericht der Datenschutzbehörde für 2022

Newsletter abonnieren

Wenn Sie den Newsletter abonnieren, stimmen Sie zugleich unseren Datenschutzbedingungen zu.