Arbeitsverträge und die DS-GVO

Ein Q&A anlässlich der Änderungen des Nachweisgesetzes

Alle Unternehmen in Deutschland müssen bis zum 1. August 2022 Ihre Arbeitsverträge an die Vorgaben des geänderten Nachweisgesetzes anpassen, nicht zuletzt um Bußgelder von bis zu EUR 2.000,00 je fehlerhaftem Arbeitsvertrag zu vermeiden. Ein Blick in die Arbeitsverträge vieler Unternehmen offenbart jedoch oftmals noch etwas anderes: Denn über vier (4) Jahre nach Inkrafttreten der DS-GVO finden sich dort noch immer datenschutzrechtlich frag- und beanstandungswürdige Regelungen. Gemessen an den möglichen Folgen eines DS-GVO Verstoßes erscheint es ratsam, die Änderungen des Nachweisgesetzes zum Anlass zu nehmen, Arbeitsverträge und ergänzende Dokumentationen auch in datenschutzrechtlicher Hinsicht auf den Prüfstand zu stellen und veraltete Arbeitsvertragsmuster auf den neuesten Stand zu bringen und zu vereinheitlichen.

Das nachfolgende Q&A bietet erste Orientierung und Antworten auf die wichtigsten Fragen, wenn es um die datenschutzrechtliche Gestaltung von Arbeitsverträgen und ergänzenden Vertragsunterlagen geht.

Müssen in einen Arbeitsvertrag Regelungen zum Datenschutz aufgenommen werden?

Grundsätzlich nein. Die Rechtsmäßigkeit der Verarbeitung von Beschäftigtendaten bestimmt sich regelmäßig nicht danach, was im Arbeitsvertrag geregelt ist, sondern danach, ob die gesetzlichen Zulässigkeitsvoraussetzungen erfüllt sind. Insbesondere bedarf es einer ausreichenden Rechtsgrundlage. Regelungen im Arbeitsvertrag können jedoch im Einzelfall für die datenschutzrechtliche Zulässigkeit der Verarbeitung von Beschäftigtendaten von Relevanz sein (z.B. im Fall eines Doppelanstellungsverhältnisses und der damit verbundenen Datenübermittlung im Konzern). Anders kann das dort sein, wo eine Einwilligung des Beschäftigten zu bestimmten Datenverarbeitungsvorgängen eingeholt werden soll. An eine solche Einwilligung sind jedoch hohe Anforderungen zu stellen. Einwilligungen im Beschäftigungsverhältnis werden nur in Ausnahmefällen wirksam sein und die Verarbeitung legitimieren können (z.B. im Fall erlaubter Privatnutzung der Unternehmens-IT). In jedem Fall sollte eine datenschutzrechtliche Einwilligung nie direkt im Arbeitsvertrag enthalten sein, da die Wirksamkeit in solchen Fällen stets fraglich sein wird (vgl. hierzu nachfolgend).

Ist es sinnvoll, Regelungen zum Datenschutz in den Arbeitsvertrag aufzunehmen?

Durchaus. Arbeitnehmer erwarten auf Grund des hohen Stellenwertes des Datenschutzes Aussagen hierzu auch im Arbeitsvertrag. Die Regelungen sollten jedoch zum einen mit geltendem Recht in Einklang stehen und nicht – ungewollt – weitere Datenschutzrisiken erzeugen, z.B. im Fall einer (unwirksamen) Einwilligung im Arbeitsvertrag.  Zum anderen sollten entsprechende Klauseln den Arbeitgeber nicht über das gesetzlich erforderliche Maß hinaus auf den Datenschutz verpflichten und möglichst unverfänglich formuliert werden.  

Datenschutzrechtliche Einwilligung im Arbeitsvertrag – Geht das?

In der Regel nein! Als Teil des Arbeitsvertrags dürfte eine datenschutzrechtliche Einwilligung oftmals unwirksam sein, insbesondere wenn keine gesonderte Zustimmungshandlung des Betroffen (z.B. durch eine gesonderte Checkbox) vorgesehen ist. Zudem bestehen generelle Bedenken hinsichtlich der Wirksamkeit einer Einwilligung im Beschäftigungsverhältnis (Stichwort „Freiwilligkeit“). Die Wirksamkeit einer solchen Einwilligung wird nur in Ausnahmefällen angenommen, in denen die Verarbeitung für den Beschäftigten ausschließlich Vorteile bringt und im Interesse von Arbeitgeber und Arbeitnehmer erfolgt (z.B. im Rahmen der Gestattung der Gestattung der Privatnutzung der Unternehmens-IT). Entsprechende Sachverhalte sowie die Gestaltung einer solchen Einwilligung bedarf einer genaueren datenschutzrechtlichen Prüfung. Einwilligungserklärungen sollten – wenn sie genutzt werden - stets gesondert, d.h. nicht als Teil des Arbeitsvertrags, eingeholt werden (z.B. auf gesonderten Vordrucken als Teil des „Onboarding-Pakets“).

Wie erfülle ich als Arbeitgeber die Informationspflichten nach der DS-GVO? Geht das auch mit Regelungen im Arbeitsvertrag?

Davon sollte abgesehen werden. Arbeitsgeber müssen Ihre Mitarbeiter über die Verarbeitung von Beschäftigtendaten gemäß Art. 13 DS-GVO informieren. Die Pflichtinformationen sind gemäß Art. 12 DS-GVO in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zur Verfügung zu stellen. Der Arbeitsvertrag ist hierfür ungeeignet: Erstens, handelt es sich beim Arbeitsvertrag um verbindliche vertragliche Regelungen. Die Einbeziehung von Datenschutzhinweisen macht diese zum Gegenstand des Vertrages, so dass die Änderung der Datenschutzhinweise genau genommen eine Änderung des Arbeitsvertrags zur Folge hätte – ein aus verschiedenen Gründen unbefriedigendes Ergebnis. Denn bei Datenschutzhinweisen handelt es sich – wie der Name schon sagt – um Hinweise, die einseitig bereitzustellen sind und gerade nicht „vereinbart“ werden müssen und sollten. Auch aus Transparenzgründen hat es sich zudem als best practice etabliert, Datenschutzhinweise in einem gesonderten Dokument bereitzustellen, den Mitarbeitern zusammen mit dem Arbeitsvertrag ausgehändigt und danach regelmäßig geupdatet (z.B. im Intranet) werden können und sollten. Entgegen der oftmals anzutreffenden Praxis, muss den Datenschutzhinweisen gerade nicht „zugestimmt“ werden. Checkboxen mit „Hiermit stimme ich den Datenschutzhinweisen zu“ sind aus den genannten Gründen weder erforderlich noch sinnvoll und sollten vermieden werden.

Zu beachten gilt, dass entsprechende Informationspflichten auch schon vor Beginn des Arbeitsverhältnisses bestehen, d.h. also auch in der Bewerbungsphase. Um die Pflichten nach der DS-GVO auch in diesem Stadium zu erfüllen, sollten Bewerbern im Bewerbungsprozess entsprechende Hinweise bereitgestellt werden.

Wie lange darf ich die Arbeitsverträge denn eigentlich speichern?

Die zulässige Speicherdauer bestimmt sich zum Einen nach fachlichen Anforderungen („Erforderlichkeit“), dem Bestehen berechtigter Interessen (z.B. Rechtsverteidigung) oder bestehenden gesetzlichen Pflichten (z.B. zur Aufbewahrung). Hier spielen neben der Verjährung von Ansprüchen des Mitarbeiters (regelmäßige Verjährungsfrist von drei Jahren) auch die Vorgaben aus dem Steuer- und Abgabenrecht eine Rolle. Danach dürften Arbeitsverträge regelmäßig für sechs (6) Jahre nach Beendigung des Beschäftigungsverhältnisses zu speichern sein. Im Einzelfall kann auch eine längere Speicherdauer angezeigt sein, z.B. wenn sich aus dem Arbeitsvertrag Ansprüche von Hinterbliebenen aus betrieblicher Altersversorgung etc. ergeben (Verjährungsfrist von 30 Jahren ab Entstehen des Anspruchs). Zu beachten bleibt, dass entsprechende Vorgaben ggf. nicht für alle anderen Beschäftigtendaten gelten, die ein Unternehmen erhebt und verarbeitet. Die zulässige Speicherdauer ist somit stets im Einzelfall zu prüfen und in einem Löschkonzept zu dokumentieren (Rechenschaftspflicht).

Was muss ich sonst noch beim Umgang mit Beschäftigtendaten beachten? 

Eine ganze Menge! Arbeitgeber sind u.a. verpflichtet, die Rechtsmäßigkeit jeglicher Verarbeitung von Beschäftigtendaten zu prüfen und zu dokumentieren (Rechenschaftspflicht). Teil dieser Dokumentation ist das sog. Verfahrensverzeichnis. Für besonders sensitive Verarbeitungsvorgänge sind sog. Datenschutzfolgenabschätzungen (DSFA) durchzuführen und zu dokumentieren. Die Übermittlung von Beschäftigtendaten im Konzern unterliegt gewissen datenschutzrechtlichen Restriktionen und bedarf in der Regel einer datenschutzrechtlichen Prüfung. Je nach Fallgestaltung sind hierfür besondere Datenschutzverträge zwischen den Konzernunternehmen abzuschließen (z.B. im Fall einer „Gemeinsamen Verantwortlichkeit“, die in Fällen der konzernweiten Verarbeitung von Beschäftigtendaten einschlägig sein kann). Weitere Fragen wirft die internationale Übermittlung von Beschäftigtendaten im Konzern auf, z.B. an eine Konzernmutter in den USA. Hierfür sind i.d.R. besondere „Garantien“ umzusetzen (z.B. die sog. EU-Standardvertragsklauseln). Je nach Zielland bedarf die Übermittlung einer zusätzlichen Prüfung (sog. Transfer Impact Assessment). Auch bei Umsetzung entsprechender Maßnahmen ist Zulässigkeit internationaler Datentransfers seit dem Schrems II-Urteil des EuGH aber weiterhin umstritten.

Wo fange ich am Besten an?

Die Überarbeitung der Arbeitsverträge und Überarbeitung / Erstellung von Datenschutzhinweisen für Beschäftigte sind oftmals ein guter Startpunkt, von dem aus sich die weiteren Aufgaben in Angriff nehmen lassen. Zielsetzung ist die von der DS-GVO geforderte Implementierung eines Datenschutzmanagement-Systems (DSMS), mit dem der Datenschutz im Unternehmen ganzheitlich betrachtet und gemanaged werden kann.

Unsere Experten aus dem IT-/ und Arbeitsrecht unterstützen Unternehmen aller Größenordnungen bei der Umsetzung datenschutzrechtlicher Anforderungen im Beschäftigungsumfeld und arbeiten eng mit Experten aus angrenzenden Rechtsbereichen zusammen, um Mandanten unsere Services „aus einer Hand“ anbieten zu können.

Sprechen Sie uns gerne an! Der Zeitpunkt ist gut, da Sie Ihrer Arbeitsverträge ohnehin spätestens bis zum 1. August 2022 zur Umsetzung des Nachweisgesetzes in die Hand nehmen müssen.