Besondere Herausforderungen beim Datenschutz für Personaldienstleister durch Covid-19
Compliance ist immer eine wichtige Geschäftspriorität, die durch Covid 19 jedoch noch komplexer ist und es daher immer wichtiger für Unternehmen wird, Ihre Praktiken und Überlegungen zu überprüfen. Um mehr Expertise zu teilen, worauf Führungskräfte jetzt besonders achten müssen, um die Einhaltung von Vorschriften zu gewährleisten und Risiken zu minimieren, haben wir uns mit Juliane Lecking unterhalten, welche seit Jahren dazu beiträgt, dass Kelly Service in Europa DSGVO und darüber hinaus konform bleibt.
Welchen Einfluss hat COVID 19 auf die Datenverarbeitungsaktivitäten von Arbeitgebern?
Arbeitgeber sind in Anbetracht der aktuellen Pandemie gefragt, Maßnahmen zur Eindämmung der Ausbreitung von COVID 19 zu implementieren, die größtenteils die Erfassung und Verarbeitung zusätzlicher personenbezogener Daten ihrer Mitarbeiter erforderlich machen.
Hierzu zählen die private Kontaktadressen der Arbeitnehmer, deren Kontaktpersonen, Auslandsreisen und weitere Angaben zu ihren Aufenthaltsorten. Eine Vielzahl der zu erfassenden Daten stellen darüber hinaus besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO dar, da sie im Bereich der Gesundheitsdaten anzusiedeln sind. So erfassen Unternehmen aktuell nicht nur systematisch Abwesenheitszeiten und Krankmeldungen, sondern zusätzlich Verdachtsfälle, Symptome und auch die etwaigen Zugehörigkeiten zu Risikogruppen. Die Daten gehen somit auch über die üblicherweise im Arbeitnehmer-Arbeitgeber-Verhältnis zu verarbeitenden Gesundheitsdaten hinaus.
Sind solche Verarbeitungsaktivitäten von nicht öffentlichen Stellen nach DSGVO überhaupt rechtmäßig?
Art. 1 Abs. 2 DSGVO berücksichtigt und schützt andere „Grundrechte und Grundfreiheiten natürlicher Personen“, die in der Gesetzgebung der EU oder der ihrer Mitgliedstaaten verankert sind. Zu diesen zählt auch der Schutz des Lebens und der physischen und psychischen Gesundheit nach Art. 2, 3 und 7 EU-Charter. Stehen zwei Grundrechte oder -freiheiten einander entgegen, so bedarf es schließlich der Abwägung und führt somit zur Frage der Verhältnismäßigkeit (siehe Frage 4). Daneben eröffnen die Beschränkungen in Art. 23 Abs. 1 lit. e) und i) DSGVO weitere Rechtfertigungsgründe für Maßnahmen die potenziell den Grundsätzen, Rechte und Pflichten der DSGVO widerstreben könnten.
Auch wenn die Regelungen im nationalen Vergleich voneinander abweichen, so zeichnet sich in Anbetracht der globalen Krise EU-weit eine (hoffentlich) vorübergehende Lockerung des Datenschutzes ab. Die britische Aufsichtsbehörde ICO hat angekündigt, dass sie gegenüber Unternehmen, die COVID 19-bedingt nicht im Stande sind ihre eigentlichen Datenschutzstandards einzuhalten, nicht regulativ eingreifen werde. In Deutschland können Unternehmen nach dem Erlass des „SARS-CoV-2-Arbeitsschutzstandard“ durch das Bundesministerium für Arbeit und Soziales mittelbar zur Implementierung zusätzlichen Maßnahmen, die die Verarbeitung von Gesundheitsdaten sogar vorschreibt, verpflichtet werden.
Der Datenschutz ist bei der Umsetzung der Maßnahmen nicht aufgehoben, sondern ist vielmehr begleitend zu berücksichtigen, auch wenn die Verarbeitungsaktivitäten von Unternehmen aktuell umfassender sein dürfen und Aufsichtsbehörden (siehe ICO) womöglich nachsichtiger regulieren werden.
Was müssen Arbeitgeber bei der Konzeption solcher Maßnahmen datenschutzrechtlich berücksichtigen?
Sowohl die Grundsätze der Datenverarbeitung (Art. 5 DSGVO), als auch die Regelungen zu den Betroffenenrechte (Kapitel 3 DSGVO) bleiben anzuwenden.
Während sich die Rechtsgrundlage (Art. 5 Abs. 1 lit. a) DSGVO) der Verarbeitung für „einfache“ personenbezogene Daten aus Art. 6 Abs. 1 lit. d), e) oder f) DSGVO ergeben kann, ist für die Gesundheitsdaten Art. 9 Abs. 2 lit. i) DSGVO hinzuzuziehen. Von der Einwilligung der Betroffenen ist im Beschäftigungsverhältnis aufgrund der Abhängigkeitsverhältnisse zwischen Arbeitnehmer und -geber grundsätzlich abzusehen.
Im Zuge der in Art. 5 Abs. 1 lit. c geforderten Datenminimierung sollten Unternehmen darauf achten, möglichst nur die nötigsten personenbezogenen Daten an einem dafür vorgesehenen Speicherort zu erfassen, z.B. Personalnummer und Gesundheitsdaten. Im Verdachtsfall kann dann über die Personalabteilung auf weitere personenbezogene Daten zugegriffen werden. Das wiederum hat den positiven Nebeneffekt, dass die Richtigkeit der Daten nach Art. 5 Abs. 2 lit. d) leichter gewährleistet werden kann.
Dadurch dass die Verarbeitungen an den Zweck der Bekämpfung der Ausbreitung von COVID 19 gebunden sind (Art. 5 Abs. 1 lit. b) DSGVO), muss bereits heute an den Zeitpunkt nach der Krise, d.h. wenn der Zweck wegfällt, gedacht werden. Dabei wird die Speicherbegrenzung gem. Art. 5 Abs. 1 lit. e) DSGVO für Unternehmen eine besondere Herausforderung darstellen. Es ist anzunehmen, dass sich die in Rahmen der Pandemie erfassten und verarbeiteten Daten durch diverse Systeme der IT-Infrastruktur von Unternehmen ziehen, von den Personalakten über CRM Systeme bis hin zu Email-Postfächern. Dabei können die Daten digitaler sowie analoger Natur sein. Idealerweise werden Mitarbeiter instruiert, Daten nur an einem dafür vorgesehenen und eindeutig abgegrenzten Speicherort zu speichern und aus anderen Systemen umgehend zu löschen.
Zudem sollten Unternehmen mithilfe von strikten Zugriffsbeschränkungen, Anonymisierungs- oder Pseudonymisierungstechnologien, Verschlüsselungstechniken und weiteren technische und organisatorische Maßnahmen die Integrität und Vertraulichkeit der Datenverarbeitung sicherstellen.
Um möglichst transparent im Sinne des Art. 5 Abs. 1 lit. a und Art. 14 DSGVO zu sein, sollte ein entsprechendes Kommunikationskonzept erstellt werden. In der Regel werden die zusätzlichen Daten bei der betroffenen Person direkt erhoben. Spätestens zu diesem Zeitpunkt oder gar im Voraus sollte der Arbeitgeber durch beispielsweise eine entsprechende Massenkommunikation an die Belegschaft, Informationen über den Verarbeitungszweck, die Rechtsgrundlage und weitere in Art. 13 Abs. 1 und 2 aufgeführte Rahmenbedingen der Verarbeitung zur Verfügung stellen.
Wie ist die Verhältnismäßigkeit der konzipierten Maßnahmen zu beurteilen?
Die DSGVO enthält mit der in Art. 35 beschriebenen Datenschutz-Folgeabschätzung eine geeignete Methode, um die Verhältnismäßigkeit von Verarbeitungsvorgängen zu beurteilen. Nach Art. 35 Abs. 3 lit. b) ist diese insbesondere bei der Verarbeitung der besonderen Kategorien personenbezogener Daten erforderlich. Dabei werden zunächst die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung in Bezug auf den Zweck bewertet. Anschließend werden etwaige Risiken für die Rechte und Freiheiten der Betroffenen identifiziert und bewertet, um diese im letzten Schritt mit geeigneten Maßnahmen zu mildern oder gar ganz zu bewältigen.
Hat COVID 19 Auswirkung auf die Aufbewahrungsfristen von Bewerberdaten?
Die aktuell zu verzeichnenden Verzögerungen im Recruiting vieler Unternehmen haben i.d.R. keine Auswirkungen auf die Aufbewahrungsfristen von Bewerbungsunterlagen. Unabhängig davon, ob sich Einstellungsentscheidungen aufgrund der COVID 19 bedingten Absage von persönlichen Interviews oder aufgrund der wirtschaftlich unsicheren Lage von Unternehmen hinauszögern, so bleiben die Aufbewahrungsfristen hiervon grundsätzlich unberührt. Datenschutzrechtlich können Bewerberdaten solange aufbewahrt werden, wie der Verarbeitungszweck Bestand hat. Erst mit der finalen Einstellungsentscheidung entfällt der Zweck, und diese kann in der aktuellen Zeit Monate in Anspruch nehmen. Dennoch gilt auch hier der Grundsatz der Transparenz, so dass es sich empfiehlt, die Bewerber entsprechend über mögliche Verzögerungen zu informieren.
Welche weiteren Datenschutzbedenken müssen Unternehmen im Zuge von COVID 19 berücksichtigen?
Seit Ausbruch der Pandemie stehen eine Vielzahl von Arbeitgebern (außerhalb der Grundversorgung) der Herausforderung entgegen, ihren Mitarbeitern das Arbeiten aus dem Home-Office ermöglichen zu müssen, um einerseits die Gesundheit der Belegschaft zu schützen und andererseits die Geschäftstätigkeit nicht ganz einstellen zu müssen.
Abgesehen von den technisch-virtuellen Rahmenbedingungen, wie beispielsweise VPN, sicherer/verschlüsselter remote Zugriff auf Unternehmens-Portale, CRMs, E-Mail-Postfächer, usw., ist zu betonen, dass die Grenzen zwischen Arbeits- und Wohnstätte verschwimmen. Auch Familienmitglieder und Freunde der Mitarbeiter, denen Zugang zu den Wohnstätten gewährt wird, sind als unberechtigte Dritte zu betrachten, wenn es um den Zugang zu persönlichen Daten von Mitarbeitern, Kunden und Bewerbern des eigenen Unternehmens geht. Der Arbeitsplatz im eigenen Haushalt sollte daher auch im Hinblick auf Datenschutz mit Bedacht ausgewählt werden.
Die neuen Rahmenbedingungen der Arbeitswelt entziehen den Arbeitgebern eine Vielzahl von Kontrollmöglichkeiten rund um den Schutz von persönlichen Daten. Im ersten Schritt ist Arbeitgebern daher zu empfehlen, Richtlinien zur Verfügung zu stellen und Vereinbarungen mit den betroffenen Mitarbeitern zu treffen. Je nach Ausgang und Dauer der COVID19 Krise sollte zudem in Erwägung gezogen werden, die Home-Office Arbeitsplätze der Mitarbeiter/innen auch in Audits zu berücksichtigen.
Über die Autorin: Juliane Lecking (M.Sc. Wirtschaftspsychologie) ist Business Process Consultant für globalen Datenschutz bei Kelly Services und zertifizierte Datenschutzbeauftragte (DSB-TÜV 2019). Sie ist seit 2011 in operativen und strategischen Positionen in der Personaldienstleistungs- und Beratungsbranche für verschiedene Arbeitgeber und Kunden tätig. Senden Sie ihr gerne eine Kontaktanfrage auf LinkedIn.
