Materiell-rechtliche Zulässigkeit der Datenverarbeitung

 

   

Ø Die personalaktenrechtlichen Vorschriften gewährleisten, dass zugleich den Vorgaben der DSGVO entsprochen wird.

Ø Insbesondere stellen die personalaktenrechtlichen Vorschriften ausreichende Rechtsgrundlagen für die Erhebung, Speicherung und Weitergabe von Daten dar. Was personalaktenrechtlich möglich und erlaubt ist, ist dann auch nach der DSGVO zulässig.

Ø Einzige Ausnahme: Die Vorgaben zur Einwilligung müssen eigenständig beachtet werden.

 

Datenschutzkonformität

 

Die DSGVO macht für die Datenschutzkonformität des Datenverarbeitungsvorgangs folgende Vorgaben: 

 

Ø  Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

 

Ø  Zweckgebundenheit

 

Ø  Notwendigkeit und Verhältnismäßigkeit

 

Ø  Datenminimierung / Datensparsamkeit

 

Ø  Richtigkeit

 

Ø  Speicherbegrenzung / Löschung

 

Ø  Integrität und Vertraulichkeit

 

 

 

Prüfungsfragen:

 

(1)  Gibt es eine Rechtsgrundlage für die Datenverarbeitung?

(2)  Ist die Datenverarbeitung fair?

(3)  Ist für den Beschäftigten der Inhalt und Umfang der Datenverarbeitung erkennbar (transparent)?

(4)  Erfolgt die Datenverarbeitung im Rahmen der Zweckbindung (für das Beschäftigungsverhältnis)?

(5)  Müssen personenbezogene Daten verarbeitet werden (Anonymisierung, Aggregierung)?

(6)  Werden wirklich alle Daten benötigt? Wofür? Genügen (zeitliche) Stichproben?

(7)  Werden sie bereits jetzt benötigt?

(8)  Werden sie immer noch benötigt?

(9)  Sind die Daten richtig?

(10)                 Werden Verschlüsselungsmöglichkeiten eingesetzt? Ist ein Offenbaren an Dritte ausgeschlossen?

 

 

 

  

Rechtmäßigkeit

 

 

Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist (sog. Verbot mit Erlaubnisvorbehalt):

 

  1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
  2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
  3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
  4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
  5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
  6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

 

 

Erfüllung einer rechtlichen Verpflichtung

In aller Regel können beamtenrechtlich begründete Datenverarbeitungsvorgänge auf den Tatbestand der Erfüllung einer rechtlichen Verpflichtung gestützt werden. Rechtsgrundlage ist dann jeweils die Vorschrift zur personalrechtlichen Maßnahme, z.B. eine Teilzeitverfügung, i.V.m. den personalaktenrechtlichen Vorschriften. Nach bayerischem Recht sind das vor allem Art. 103 BayBG zur Verarbeitung personenbezogener Daten und Art. 108 BayBG zur Weitergabe von Personaldaten. Die DSGVO bringt insofern keine fundamentalen Änderungen für die tägliche Personalpraxis - was bisher schon personalaktenrechtlich zulässig war, wird auch durch die DSGVO nicht beschränkt.

 

Beispiele:

  • Teilzeit-, Elternzeit-, Urlaubsverfügung: Art. 89 BayBG i.V.m. Art. 103 BayBG
  • Beförderung: § 8 BeamtStG i.V.m. Art. 17 LlbG i.V.m. Art. 103 BayBG; bei Beteiligung einer weiteren (obersten) Dienstbehörde mit entsprechender Versendung der Personalakten zusätzlich Art. 108 BayBG
  • Einstellungsverfahren: § 8 BeamtStG i.V.m. Art. 103 BayBG

 

  

Einwilligung:

In seltenen Fällen kann es notwendig werden, im Personalbereich eine Einwilligung einzuholen. Dies betrifft insbesondere folgende Fälle:

  • Verwendung von Fotos in elektronischen Verzeichnissen
  • Gesundheitsmanagement
  • Geburtstagslisten
  • Einholung von Auskünften in Bewerbungsverfahren
  • Aufbewahren der Bewerbung nach zunächst erfolgloser Bewerbung („Bewerberpool“)
  • Gestattung der privaten Nutzung dienstlicher Fahrzeuge, von Telefonen und EDV-Geräten.

 

Einwilligung im Bewerbungsverfahren:

Im Bewerbungsverfahren ist grundsätzlich keine Einwilligung nötig, weil die Datenerhebung zur Vorbereitung der Ernennungsentscheidung i.V.m. Art. 103 BayBG erforderlich ist, sofern und soweit die Daten zur Beurteilung von Leistung, Eignung und Befähigung geeignet sind.

 

Für die Teilnahme an Strukturierten Interviews oder die Anwendung eignungsdiagnostischer Maßnahmen bedarf es prinzipiell keiner Einwilligung des Bewerbers, es seid denn, es werden externe Dienstleister einbezogen (die Einwilligung ist hier die einzig denkbare Rechtsgrundlage für den Datenaustausch mit dem Dienstleister - Ausnahme: bloße Auftragsverarbeitung) oder es erfolgt eine Datenkombination mit anderen Datenbanken.

 

Werden Informationen bei Dritten eingeholt, ist zu unterscheiden:

Ist die Informationserlangung nur durch eine Mitwirkung des Bewerbers möglich, ist hierfür die personalaktenrechtliche Vorschrift des Art. 103 BayBG ausreichend. Beispiele: Anlegung eines öffentlichen Profils bei Facebook oder LinkedIn, Akzeptieren einer Freundschaftsanfrage bei Facebook, amtsärztliche Untersuchung, Beantragung eines Führungszeugnisses, Vorlage einer Schufa-Auskunft.

Wird die Information demgegenüber direkt beim Dritten erhoben, ohne dass das der Bewerber verhindern könnte, ist hierfür eine Einwilligung erforderlich, weil der Bewerber selbst entscheiden können soll, ob er die Informationserlangung ermöglicht oder lieber das Bewerbungsverfahren abbricht. Beispiele: Einsichtnahme in frühere Personalakten (= Informationserhebung beim früheren Arbeitgeber), Einholung einer unbeschränkten Bundeszentralregisterauskunft.

Eine Einwilligung ist schließlich auch dann erforderlich, wenn der Dienstherr Bescheinigungen oder Genehmigungen etc. für den Bewerber bei Dritten einholen will, weil auch die Offenbarung der Bewerbung ein personenbezogenes Datum ist, das einer Rechtsgrundlage bedarf.

 

 

Die Einwilligung (Muster) muss dann folgenden Vorgaben genügen:

 

 

1. Form

 

Die Einwilligung ist zwar nicht an besondere Formerfordernisse gebunden. Aus Dokumentationsgründen ist die Einwilligung aber schriftlich oder elektronisch einzuholen.

 

 

 

Die Einwilligung muss entsprechend zum Personalakt genommen werden oder im jeweiligen Personalverwaltungssystem gespeichert werden (z.B. „Bewerber ist mit Verbleib im Bewerberpool einverstanden, keine Löschung erforderlich“).

 

 

 

 2. Opt-In (positive Erteilung der Einwilligung, keine vorausgefüllten Felder)

 

Bei Verwendung eines Formulars sind stets nur Opt-In Kästchen vorzusehen. Das Opt-Out ist grundsätzlich nicht ausreichend, sodass vor allem vorangekreuzte Kästchen keine wirksame Einwilligung bewirken.

 

 

 

3. Freiwilligkeit

 

Die Einwilligung muss freiwillig erfolgen. Wenn sie mit einer Leistungserbringung verknüpft ist, darf die Einwilligung nur abverlangt werden, wenn sie für die Leistungserbringung (aufgrund der damit verbundenen Verarbeitung personenbezogener Daten) auch wirklich notwendig ist.

 

 

 

4. Zweckgebundenheit

 

Die Einwilligung muss zweckgebunden eingeholt und die Verarbeitungszwecke dabei aufgeführt werden. Generaleinwilligungen sind nicht zulässig.

 

 

 

5. Widerruf

 

Wie bisher hat der Betroffene ein Widerrufsrecht. Er muss deswegen die erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können. Der Widerruf der Einwilligung muss dabei so einfach wie die Erteilung der Einwilligung sein.

 

 

  

 

 

BDSG

(2) Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Artikel 7 Absatz 3 der Verordnung (EU) 679/2016 in Textform aufzuklären.