Jetzt wird es ernst: Ab 25. Mai gilt die neue EU-Datenschutzverordnung (DS-GVO). Diese Verordnung enthält zwar keine unmittelbaren Regelungen zum Beschäftigtendatenschutz, jedoch eine Öffnungsklausel für den nationalen Gesetzgeber, von der Deutschland Gebrauch gemacht hat. Der Beschäftigtendatenschutz ist somit unmittelbar im Bundesdatenschutzgesetz (BDSG) geregelt. Grundsätzlich gilt: Schon vor dem Abspeichern sollte man überlegen, welche Daten man überhaupt benötigt. Der deutsche Arbeitgeber muss sowohl die europäische Richtlinie als auch das Bundesdatenschutzgesetz (BDSG) beachten. Beim Datenschutz geht es um den Respekt im Hinblick auf das informationelle Selbstbestimmungsrecht des Mitarbeiters, der sich in den Grundsätzen der Rechtmäßigkeit, der Transparenz, der Zweckbindung, der Datenminimierung etc. niederschlägt. Dazu kann der Arbeitgeber Daten des Arbeitnehmers in zwei Konstellationen erheben, speichern und verarbeiten:
Den Arbeitgeber treffen umfangreiche Informations- und Auskunftspflichten. Eine der wichtigsten Änderungen des neuen Datenschutzrechtes ist die Beweislastumkehr: Der Arbeitgeber muss beweisen, dass er die Vorschriften eingehalten hat, wenn beispielsweise der Arbeitnehmer nur behauptet, dass Datenschutzvorschriften verletzt wurden. Bei Verletzung einer solchen Vorschrift sieht das Gesetz einen Schadensersatzanspruch für immaterielle Schäden (Verletzung des Persönlichkeitsrechts) vor. Die Motivation zur Umsetzung der Datenschutzvorschriften soll durch sehr hohe Bußgelder erreicht werden; bis zu vier Prozent des weltweiten Jahresumsatzes eines Unternehmens, maximal jedoch 20 Millionen Euro. „Das Problem ist die Umsetzung in der Praxis“, erklärt Rechtsanwältin Anne-Marie Hermann. „Der Gesetzgeber hat lediglich Grundsätze aufgestellt und den Unternehmen völlige Freiheit bei der Umsetzung gelassen.“