Wie die Landesdatenschutzbehörde Nordrhein-Westfalen in ihrem 25. Tätigkeitsbericht für den Zeitraum 01.01.2019 – 31 Dezember 2019 auf Seite 55 mitteilt, wurde im Jahr 2019 Initiativprüfung im Bereich Beschäftigtendatenschutz insbesondere bei Personaldienstleistern und Leiharbeitsunternehmen vorbereitet und seit Anfang 2020 in die Wege geleitet. Es ist zu empfehlen, dass sich Unternehmen auch aus anderen Branchen, ggf. mit Hilfe von zielführender Beratung, für einen solchen Fall der Fälle rüstet.

Bei einer Initiativprüfung durch eine Aufsichtsbehörde erfolgt eine anlasslose Kontrolle der vorgenommenen Datenschutzvorkehrungen. Die Befugnisse der Landesdatenschutzbehörden sind dabei recht umfangreich und sehen unter anderem gemäß Art. 58 DSGVO vor, dass die Behörde den Verantwortlichen anweisen kann, alle Informationen bereitzustellen, die für die Erfüllung ihrer Aufgaben erforderlich sind, Untersuchungen in Form von Datenschutzüberprüfungen im Unternehmen durchzuführen und z.B. vom Verantwortlichen und dem Auftragsverarbeiter Zugang zu allen personenbezogenen Daten und Informationen zu verlangen. Diese Befugnisse werden zum Teil in § 40 BDSG noch konkretisiert. So sieht § 40 Abs. 5 BDSG beispielsweise vor, dass die Aufsichtsbehörde befugt ist zur Erfüllung ihrer Aufgaben Grundstücke und Geschäftsräume des Verantwortlichen zu betreten und dieser zur Duldung dieser Maßnahme verpflichtet ist.

Aufgrund der Besonderheiten beim Beschäftigtendatenschutz in solchen Unternehmen und dass eine Verarbeitung der Leiharbeitnehmer in der Regel durch mindestens zwei Verantwortliche durchgeführt wird, werden die Initiativprüfungen in dieser Branche vorgenommen. Gemäß § 26 Abs. 8 Nr. 1 BDSG wird der Leiharbeitnehmer als Beschäftigter des Entleihers sowie ebenso des Verleihers angesehen und die datenschutzrechtlichen Vorschriften im Rahmen der Verarbeitung von Beschäftigtendaten müssen von beiden Verantwortlichen beachtet werden. Dies auch insbesondere da es eine weitgehende Streuung von personenbezogenen Daten der Leiharbeitnehmer gibt.

Die ausgewählten Unternehmen wurden um Stellungnahme gebeten, hinsichtlich der Wahrnehmung der Informationspflichten gemäß Art. 13, 14 DSGVO und inwieweit diese Unternehmen ihre Auskunftspflicht gemäß Art. 15 DSGVO folgen. Des Weiteren werden etwaige Löschungskonzept, welche vorliegen müssen, betrachtet und hier ein Hauptaugenmerk auf die Speicherdauer der Bewerbungsunterlagen gelegt. Auch die Weitergabe der personenbezogenen Daten wird geprüft und insbesondere darauf geachtet, auf welche Rechtsgrundlage diese Verarbeitung in Bezug auf die Weitergabe zugrunde gelegt wurde. Hier wird voraus sichtlich das Verzeichnis der Bearbeitungstätigkeiten intensiv herangezogen werden.

Ebenso ist davon auszugehen, dass in Zukunft Initiativprüfung der Aufsichtsbehörden auch auf andere Branchen erstreckt werden. Daher sollte sich jedes Unternehmen auf diesen Fall entsprechend vorbereiten und die notwendigen Dokumentationspflichten, gemeinsam mit der Unterstützung des Datenschutzbeauftragten, erfüllen.

So erreichen Sie uns

Adresse
Aachener Straße 75
50931 Köln
©LR Datenschutz GmbH