Das leidige Thema mit den Einwilligungen von Mitarbeitern

Rechtssichere Einwilligungen bleiben auch nach 3 Jahren DSGVO eine Herausforderung für viele Unternehmen. Hierbei stechen insbesondere die fehlerhaften Einwilligungen für die eigenen Mitarbeiter heraus.

Grundlagen

Grundsätzlich weise ich nochmal auf die Vorgaben für eine rechtssichere Einwilligung zur Verarbeitung von personenbezogenen Daten hin, die in Art. 7 DSGVO sowie dem Erwägungsgrund 32 DSGVO festgehalten sind.

Bestandteile einer rechtssicheren Einwilligung sind

  • Zweck der Verarbeitung der Daten (konkret)
  • Hinweis auf den Widerruf der Einwilligung
  • Einfache Kontaktmöglichkeit zum Widerrufen der Einwilligung

Die Einwilligung muss dabei freiwillig erfolgen und darf auch nicht an einen anderen Vertrag gekoppelt sein.

Typische Fehler

Einwilligungen sind in viele Fällen trotz des Arbeitsvertrages notwendig. In §26 BDSG neu ist klar geregelt, dass nur Daten im Rahmen des Beschäftigtenverhältnisses verarbeitet werden dürfen, die für dessen Begründung, Durchführung oder Beendigung erforderlich sind (Der genaue Wortlaut ist etwas umfangreicher). D.h. für Geburtstagslisten mit vollem Geburtsdatum, Gratulationen und Präsente für Ehe-/Lebenspartner und Kindern oder Incentives in Form von Fitnessgutscheinen, etc. könnten Daten verarbeitet werden, die nicht unter §26 BDSG fallen. In all diesen Fällen ist eine Einwilligung des Mitarbeiters erforderlich.

Hier taucht auch schon ein erster kritische Anwendungsfall auf. Wenn bei der Einstellung eines Mitarbeiters direkt ein Stapel von Einwilligungen mit dem Vertrag ausgehändigt wird und diese unterschrieben zurückgegeben werden sollen, dann kann der Eindruck entstehen, dass eine fehlende Freiwilligkeit und eine Vertragskoppelung vorliegen. Damit würden alle Einwilligung sofort unwirksam und die Verwendung der Daten für die beabsichtigten Zwecke würde ohne Rechtsgrundlage erfolgen. Dies könnte spätestens bei einer nicht einvernehmlichen Trennung von einem Mitarbeiter ein böser Fallstrick werden. Hier sollte explizit auf eine Trennung der Vorgänge bzw. ausführliche Information bzgl. der Freiwilligkeit geachtet werden.

Ein weiterer Fall sind Einverständniserklärungen aus den Zeiten vor der DSGVO. In vielen Firmen herrscht die Meinung, dass alte Einwilligungen ihre Gültigkeit behalten haben. Dem ist i.d.R. nicht so, wenn die o.a. Mindestbestandteile einer Einwilligung nicht erfüllt sind. Dabei sind die typischen Fehler das Fehlen eines Widerspruchshinweises oder auch „Blanko“- Einwilligungen für eine unbestimmte Zahl von Anwendungsfällen (kein konkreter Zweck). Diese Einwilligungen sind mindestens seit Gültigkeit der DSGVO unzulässig und unwirksam (wahrscheinlich sogar schon vorher). Daher müssen diese neu eingeholt werden.

Auch vergessen wird häufig, dass eine Einwilligung widerrufen werden kann. Hier muss sichergestellt werden, dass nach einem Widerruf der Mitarebieter z.B. nicht mehr in der Liste der privaten Handynummern auftaucht und ihm auch nicht mehr vom Firmenchef am Wochenende telefonisch gratuliert wird. Dieser Prozess wird in vielen Fällen vergessen, zumal die wenigsten Firmen den Überblick haben, welche Mitarbeiter für welches Thema eine Einwilligung abgegebene haben. Eine gut organisierte Personalabteilung sollte hier die Regie führen.

Bestehende Einwilligungen prüfen

Sofern es Einwilligungen von Mitarbeitern gibt, sollten diese auf die Mindestbestandteile geprüft werden. Sind diese nicht vorhanden muss eine neue Einwilligung erfolgen. I.d.R. sollte der Datenschutzbeauftragte oder ein Datenschutz-Auditor diese Dinge prüfen und auf mögliche Fehler hinweisen. Ich empfehle aber auch hier, dass Personalabteilungen selbständig aktiv werden und erst einmal die Vielzahl an Einwilligungen und Formulierungen identifizieren, die es möglicherweise gibt. Im Anschluss kann dann der Datenschutzbeauftragte für eine sachgerechte Aussage hinzugezogen werden.  Ebenso sollte die i.d.R. „alten“ Vorlagen für Einwilligungen verifiziert und aktualisiert werden. Dazu gehört auch, die Konkretisierung des Zweckes.