Mitarbeiterdatenschutz
Erhebung, Verarbeitung und Speicherung personenbezogener Daten von Mitarbeitern ist aus organisatorischen Gründen oft unverzichtbar und findet heutzutage in zahlreichen Bereichen eines jeden Unternehmens statt, sodass es ein ernstzunehmendes Thema darstellt.
Aus diesem Grund hat sich jedes Unternehmen das Mitarbeiter beschäftigt, an die Vorgaben der DSGVO dem BDSG zu halten und muss sich folglich mit Arbeitnehmerdatenschutz auseinandersetzen.
Das Rahmenwerk dafür bildet der Beschäftigtendatenschutz.
Dieser regelt die Rahmenbedingungen, die datenschutzrechtlich für das Arbeitsverhältnis von Bedeutung sind. Es setzt die Grenzen und bestimmt wo und in welchem Umfang eine solche Datenerhebung- und Verarbeitung durch den Arbeitgeber erfolgen darf.
Das Wichtigste zum Beschäftigtendatenschutz:
Arbeitnehmerdatenschutz dient dem Schutz des Beschäftigten, weil dieser stets eine untergeordnete Position hat.
Neben Beschäftigten im klassischen Verständnis, werden nach § 26 BDSG, stets auch Bewerber, Auszubildende, Praktikanten, Zivil- und Freiwilligendienstleistende, sowie Leiharbeitnehmer, als Beschäftigte angesehen, sodass die Daten dieser Personengruppen ebenso schützenswert sind.
Unternehmen haben stets die vollständige Einhaltung gesetzlicher Vorgaben im Hinblick auf den Datenschutz ihrer Arbeitnehmer zu gewährleisten. Halten sie die gesetzliche Vorgaben nicht ein, können ernsthafte Konsequenzen drohen.
Die Umsetzung der gesetzlich vorgeschriebenen Anforderungen ist in der Praxis oft nicht einfach, da Mitarbeiterdaten oftmals in vielen verschiedenen Bereichen erfasst und verarbeitet werden, wobei oft je nach Branche die Anzahl der betroffenen Bereiche sehr hoch sein kann.
Die Tatsache, dass neben Datenschutzgesetzen Überschneidungen mit Rechtsnormen anderer Gesetze, wie bspw. des Arbeitsrechts zu beachten sind, macht den Unternehmen die Umsetzung des Mitarbeiterdatenschutzes nicht gerade einfacher.
Ein Arbeitgeber darf personenbezogene Daten seiner Mitarbeiter nur erheben, verarbeiten oder speichern, wenn dies durch Gesetz angeordnet oder gestattet wird, oder der Arbeitnehmer dem Vorgehen ausdrücklich zugestimmt hat.
Denn das Grundrecht auf informationelle Selbstbestimmung begründet Eigentum an den Daten der eigenen Person. Insoweit ist eine Einwilligung des Betroffenen nur wirksam, wenn sie auf Basis von Transparenz freiwillig in schriftlicher Form erteilt wurde.
Zudem hat der Arbeitgeber die Pflicht, seine Mitarbeiter umfassend darüber zu informieren, dass eine Datenerhebung, Verarbeitung oder Speicherung vorgenommen wird und welchem Zweck diese dienen soll.
Diesem Informationserfordernis kann er mit Hilfe eines Informationsblatts gerecht werden, das als Aushang am Arbeitsplatz zur Verfügung steht, im Intranet veröffentlicht wird oder als Anhang bei Abschluss des Arbeitsvertrages beigelegt wird.
Nach § 26 BDSG darf der Arbeitgeber jedoch auch ohne entsprechende
Einwilligung der Arbeitnehmer solche personenbezogenen Daten erheben, verarbeiten oder speichern, die für die Aufnahme, Durchführung
oder Beendigung des Arbeitsverhältnisse erforderlich sind.
1. Verarbeitung personenbezogener Daten von Beschäftigten in der Praxis
1.1 Personalakte
Innerhalb eines Unternehmens werden regelmäßig Personalakten geführt. Grundsätzlich ist das Anlegen und Führen von Personalakten, unabhängig davon ob es in automatisierter oder manueller Form erfolgt, zulässig. Klare Anforderungen ergeben sich aus § 26 BDSG iVm Art. 88 DSGVO.
Eine beliebige Erhebung und Verarbeitung von Daten darf nicht erfolgen, sondern muss sich auf wesentliche Kerndaten beschränken.
Zudem haben Beschäftigte das Recht auf Akteneinsicht, sowie ein Recht darauf, dass falsche Angaben zu ihrer Person berichtigt werden.
Enthält die Akte Daten, deren Dokumentation unzulässig ist, kann der Beschäftigte die Löschung verlangen. Darüber hinaus ist eine sorgfältige und sichere Aufbewahrung der gesammelten Daten erforderlich.
Der Kreis der zugriffsberechtigten Personen, muss auf diejenigen beschränkt werden, die auf die in der Akte enthaltenen Daten, aufgrund Ihrer Aufgabe innerhalb des Unternehmens oder der Behörde angewiesen sind.
Sollte der Fall eintreffen, dass vertrauliche Inhalte der Akte Nichtberechtigten bekannt werden oder in die Öffentlichkeit gelangen, können sich daraus Schadenersatzansprüche des Betroffenen ergeben.
1.2 Gesundheitsdaten
Gesundheitsdaten sind sensible Daten und somit eine besondere Art personenbezogener Daten i.S.d Art. 9 DSGVO. Besondere Art personenbezogener Daten dürfen nur mit Zustimmung des Betroffenen gespeichert und verarbeitet werden.
In der Praxis erheben Unternehmen regelmäßig Gesundheitsdaten ihrer Mitarbeiter um bspw. auf Basis krankheitsbedingter Abwesenheitstage die Arbeitsleistung des Arbeitnehmers zu ermitteln. Rechtlich gesehen dürfen Gesundheitsdate nicht in der Personalakte dokumentiert werden, sondern müssen separat aufbewahrt werden.
Eine Bekanntgabe dieser Daten darf jedoch nur gegenüber dem Vorgesetzen und dem Personalverantwortlichen, also einem begrenzten Personenkreis
erfolgen. Insoweit muss für die Frage nach der Erhebung von Daten die die Gesundheit des Beschäftigten betreffen, auf die Vorschriften des Arbeitsgesetzes verwiesen werden.
1.3 Bewerberdaten
Bewerber sind nach § 26 Abs. 8 BDSG stets als Beschäftigte anzusehen, sodass auch ihre Daten durch Vorgaben des Gesetzes geschützt sind.
Insoweit dürfen nur die Daten gespeichert und verarbeitet werden, die für den Bewerbungsprozess, die Auswahl bzw. die Stelle relevant sind. Wird der Bewerber abgelehnt sind seine Daten spätestens 6 Monate nach Erteilung der Absage zu löschen. Für eine längere Aufbewahrung ist eine Einwilligung erforderlich.
1.4 Datenweitergabe an Dritte
Häufig leiten viele Unternehmen Mitarbeiterdaten an externe Dienstleister weiter. Praxisrelevantes Beispiel ist die Lohnbuchhaltung. Dabei sind stets Vorschriften der Auftragsverarbeitung zu berücksichtigen und dahingehend eine umfassende Aufklärung der Mitarbeiter vorzunehmen.
1.5 Überwachung der Arbeitnehmerkommunikation und private Internetnutzung
Insbesondere im Bereich digitaler Kommunikation ist die Verarbeitung mitarbeiterbezogener Daten durch den Arbeitgeber häufig problematisch.
Durch Implementierung unternehmensinterner Kommunikationssysteme ist es für die Unternehmen heutzutage leicht, die Kommunikation ihrer Mitarbeiter, beispielsweise über den Emailverkehr oder Gesprächsverbindungen zu überwachen.
Allerdings ist dabei stets Vorsicht geboten, denn Informationen am Arbeitspatz können auch unter das Fernmeldegeheimnis fallen.
Sofern dem Beschäftigten die private Nutzung des betrieblichen E-Mail-Systems oder auch des Diensttelefons gestattet wurde, müssen Arbeitgeber sich gegebenenfalls an Vorgaben des Telekommunikationsrechts halten.
In dem Fall darf der Arbeitgeber selbst nach dem der Arbeitnehmer aus dem Unternehmen ausscheidet, nicht auf dessen Emails zugreifen. Andernfalls könnte er sich strafbar machen.
Grundsätzlich gibt es keinen Anspruch, das Internet und den E-Mail-Dienst privat am Arbeitsplatz nutzen zu können. Daher steht es dem Arbeitgeber frei, die Nutzung des Internets zu privaten Zwecken zu gestatten.
Dabei haben Arbeitgeber stets die Möglichkeit, die private Nutzung dienstlichen Internet-Zugangs an bestimmte Bedingungen hinsichtlich des Zeitrahmens, der zugelassenen Bereiche und regelmäßig durchzuführender Kontrollen zu knüpfen.
Regelungen dahingehend sollten in einer Betriebs- oder Dienstvereinbarung festgelegt werden. Willigt der Beschäftigte in die Bedingungen nicht ein, ist die private Nutzung zu unterlassen.
1.6 Videoüberwachung
Davon ist die Überwachung der Geschäftsräume abzugrenzen, die beispielsweise der Sicherheit dienen soll und wo Mitarbeiter nur beiläufig aufgezeichnet werden.
Dagegen ist Mitarbeiterüberwachung nicht ohne weiteres gestattet und vor allem verdeckte Überwachung der Mitarbeiter grundsätzlich verboten.
Selbst wenn es Ihnen als Arbeitgeber darum geht, die Interessen ihrer Beschäftigten zu schützen, sind Sie als Arbeitgeber und somit Verantwortlicher in der Pflicht nachzuweisen, dass die Überwachungsmaßnahmen die Sie ergreifen datenschutzkonform sind.
Die Zulässigkeit von Videoüberwachungsmaßnahmen im Beschäftigungsverhältnis richtet sich nach § 26 BDSG i.V.m. Art. 88 DSGVO.
Entscheidend ist stets die konkrete Umsetzung der Videoüberwachung im Einzelfall, weil nur so sichergestellt werden kann, ob die Videoanlage der Wahrnehmung des Hausrechts oder der Wahrnehmung berechtigter Interessen für bestimmte, vorher festgelegte Zwecke erforderlich ist.
Insoweit ist zwischen offener und verdeckter Videoüberwachung zu unterschieden. Während offene Videoüberwachung der fortlaufenden Abschreckung dienen soll, werden verdeckte, also heimliche Videoüberwachungsmaßnahmen meist kurzzeitig eingesetzt, etwa bei aktuellem Verdacht einer Straftat, um den Täter zu überführen.
Würde man in solchen Fällen auf die Überwachung hinweisen, würde dies den Zweck der Maßnahme unterlaufen, weil der potentielle Täter sein Verhalten anpassen könnte.
Unter diesen Umständen kann eine Überwachung einzelner Beschäftigter gestützt auf § 26 BDSG zulässig sein, wenn ein konkret begründeter Verdacht einer schweren Verletzung arbeitsvertraglicher Pflichten oder einer anderen vorsätzlichen Schädigung durch Mitarbeiter gegeben ist. Diese ist allerdings an strenge Anforderungen geknüpft:
Es muss ein aktueller und konkreter Verdacht einer Straftat oder eines anderen schweren Vergehens zulasten des Arbeitgebers vorliegen
Die verdeckte Überwachung ist erforderlich, d.h. es kommt kein weniger einschneidendes Mittel, das gleich effektiv wäre in Frage
Das berechtigte Arbeitgeberinteresse überwiegt das Persönlichkeitsrecht des Beschäftigten
Der Einsatz erfolgt ausschließlich in nicht öffentlich zugänglichen Bereichen
Bei einer offenen Videoüberwachung, zum Beispiel zum Schutz der Mitarbeiter, sind diese auf die Überwachungsmaßnahmen hinzuweisen und die Aufzeichnung kenntlich zu machen.
Insofern gelten die allgemeinen Transparenz- und Hinweispflichten der DSGVO. Kommt der Verantwortliche diesen Anforderungen nicht nach, kann dies die Rechtswidrigkeit einer solchen Überwachungsmaßnahme begründen.
Rein präventive anlasslose Kontrollen der Beschäftigten, sind stets als Verstoß gegen die Menschenwürde anzusehen.
Die Überwachung der Mitarbeiter durch optische Raumüberwachungseinrichtungen ist stets in Bereichen unzulässig, die überwiegend der privaten Lebensgestaltung der Beschäftigten dienen und in die Intimsphäre eingreifen würden, beispielsweise WC-, Sanitär-, Umkleideräume, aber auch Pausen- und Schlafräume, die der Erholung dienen.
Sofern ein Betriebsrat vorhanden ist, ist dieser stets beim Einsatz von Videoüberwachungsanlagen am Arbeitsplatz einzubeziehen.
Andernfalls kann es dazu führen, dass die Überwachung rechtswidrig ist. Da es sich beim Einbau und Betrieb von Überwachungstechnik um ein sensibles und kritisch zu betrachtendes Thema handelt, ist eine nach gesetzlichen Vorgaben ausgerichtete Betriebsvereinbarung stets ratsam.
Folge rechtswidrig vorgenommener Videoüberwachung kann eine Strafbarkeit nach dem Strafgesetzbuch, sowie Unterlassungs-, Schadenersatz- und Schmerzensgeldansprüche der Beschäftigten begründen.
1.7 Arbeitszeiterfassung
Grundsätzlich dürfen Unternehmen die Arbeitszeit der Arbeitnehmer erfassen, um sie als Grundlage für die Lohnzahlungen zu verwenden.
Allerdings darf eine Speicherung nur solange erfolgen, wie sie zweckdienlich zur Durchführung des Arbeitsverhältnisses ist. Dabei ist stets die vorherige Abstimmung mit dem jeweiligen Betriebs- oder Personalrat erforderlich, sofern eine solche Arbeitnehmervertretung vorhanden ist.
1.8 Mitarbeiterdaten nach Beendigung des Arbeitsverhältnisses
In manchen Fällen ist es Arbeitgebern gestattet Arbeitnehmerdaten weiter zu verarbeiten bzw. zu speichern, sofern ein triftiger Grund vorliegt und dies tatsächlich erforderlich ist.
Dies ist beispielsweise im Zuge der betrieblichen Altersvorsorge
anzunehmen. Darüber hinaus sind für bestimmte Unterlagen gesetzliche Aufbewahrungsfristen vorgesehen, wie im Fall der Lohnunterlagen, die zwischen 6 und 10 Jahren beim Arbeitgeber gespeichert werden müssen.
1.9 Fazit
Beschäftigtendatenschutz setzt sich aus Regelungen unterschiedlicher Gesetze zusammen und ist daher für die Unternehmen oftmals nur schwer durchschaubar.
In Zeiten stetiger Weiterentwicklung von Informationstechnologien, wird Mitarbeiterdatenschutz eine zunehmend große Rolle spielen, da Mitarbeiterdaten immer mehr in Geschäftsprozesse einbezogen werden. Daraus wächst die Notwendigkeit präzisere gesetzliche Vorgaben zu treffen.
Ein Entwurf über ein entsprechendes Gesetz zur Regelung des Beschäftigtendatenschutzes wurde zwar beschlossen, ein Gesetz ist daraus jedoch noch nicht hervorgegangen, sodass die Rechtslage oftmals schwer zu beurteilen ist.
Zudem mangelt es in vielen Unternehmen an Sensibilisierung der Mitarbeiter zum Thema Mitarbeiterdatenschutz, sodass es oft zu Verstößen kommt, die mit Bußgeldern einhergehen.
Wer sich als Unternehmer künftig vor rechtlichen Problemen im Hinblick auf den Datenschutz von Beschäftigten absichern möchte, sollte sich im Zweifel von Datenschutz- und IT-Experten Rat einholen.
Ähnliche spannende Beiträge
Datenschutz am Arbeitsplatz
Datenschutz am Arbeitsplatz ist ein für Betriebe essenzielles Thema. Wir informieren Sie über alle wichtigen Praxisfälle.
FG München zum Auskunftsanspruch gegen das Finanzamt
In einem aktuellen Urteil (FG München, Urteil vom 4.11.2021, Az. 15 K 118/20) hat das Münchner Finanzgericht festgestellt, dass der datenschutzrechtliche Auskunftsanspruch aus Art. 15 DSGVO grundsätzlich auch im Steuerverfahren für die vom Finanzamt verarbeiteten Daten gilt und dieser nicht in das Ermessen der Finanzbehörde fällt.
Auswirkungen der neuen ISO/IEC 27002:2022
Hier sind die Änderungen der Kontrollen in der neuen Version der ISO 27002:2022 („Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre – Kontrollen der Informationssicherheit“).
Betriebsrat und Datenschutz
Welche Rolle nimmt der Betriebsrat im Thema Datenschutz ein? Ist dieser womöglich sogar ein Verantwortlicher iSd DSGVO? Alles Infos auf einen Blick.
Art 33 DSGVO
Haftung und Recht auf Schadensersatz nach Art 82 DSGVO. Was gibt es zu beachten und für welche Fälle ist eine Haftung vorgesehen?
Videoüberwachung DSGVO
Ist die Videoüberwachung nach der DSGVO zulässig? In diesem Artikel erhalten Sie alle wichtigen Informationen für die Praxis.