Skip to main content
main-content

20.03.2020 | Arbeitsrecht | Im Fokus | Onlineartikel

Sicherer und transparenter Umgang mit Beschäftigtendaten

Autor:
Annette Speck
5 Min. Lesedauer

Seit Mai 2018 gelten die neue Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz. Zwar ist die Anfangspanik abgeflaut, doch viele Betriebe kämpfen mit der Umsetzung. Nicht zuletzt hat der Beschäftigtendatenschutz (BDSG) seine Tücken. 

Trotz einiger Unsicherheiten bei der Auslegung der Regeln, haben zwei Drittel der Betriebe die neuen Datenschutzregeln mindestens zu großen Teilen umgesetzt. Vollständigen Vollzug meldet bislang aber nur ein Viertel der Unternehmen, ergab 2019 eine Bitkom-Umfrage unter 500 Unternehmen aus Deutschland.

Dessen ungeachtet nimmt die Verarbeitung von Beschäftigtendaten weiter zu: Firmen setzen vermehrt auf die elektronische Personalakte, nutzen Messengerdienste zur Kommunikation oder recherchieren in sozialen Netzwerken nach ihren Jobbewerbern. Grund genug, zu rekapitulieren, worauf Unternehmen in punkto Beschäftigtendatenschutz achten müssen.

Empfehlung der Redaktion

2018 | OriginalPaper | Buchkapitel

Praktische Umsetzung der Vorgaben der DSGVO

In diesem Kapitel wird eine schrittweise Herangehensweise zur Implementierung interner Datenschutzstandards, die den Vorgaben der DSGVO entsprechen, vorgestellt.

Unterschiedliche Schutzkategorien bei personenbezogenen Daten

Die DSGVO unterscheidet zwischen schützenswerten und besonders schützenswerten personenbezogenen Daten. Zur ersten Kategorie gehören Informationen wie Name, Geburtsdatum, Lebenslauf, Zeugnisse, Familienstand, Personalnummer. Zur zweiten zählen sensible persönliche Informationen zu den "großen 'G': Glaube, Gesundheit und Gewerkschaft", erklärt Maria Damartino in dem Kapitel "Betriebsrat und Datenschutz" (Seite 37). Egal, welche Daten der Arbeitgeber verarbeitet: Er muss seine Mitarbeiter über die Verarbeitung informieren und sollte sich dies von ihnen schriftlich bestätigen lassen.

Der rechtliche Rahmen beim Beschäftigtendatenschutz

Wie die Stiftung Datenschutz in einer Handreichung zum Beschäftigtendatenschutz erläutert, gelten die Regeln von DSGVO und des §26 BDSG für alle Beschäftigungsverhältnisse einschließlich Leiharbeit und Ausbildung sowie für sich Bewerbende und ehemalige Beschäftigte. Für Bedienstete und Beschäftigte bei Behörden und öffentlichen Stellen gelten besondere Regelungen.

Die DSVGO betrifft dabei jedwede Verarbeitung personenbezogener Daten, unabhängig davon, ob sie teilweise, ganz oder auch gar nicht automatisiert erfolgt. Vorgeschrieben ist außerdem, dass Beschäftigtendaten nur für festgelegte, eindeutige und legitime Zwecke erhoben und verarbeitet werden dürfen. Werden hierzu Regelungen in Betriebsvereinbarungen getroffen, müssen die Zwecke der Datenverarbeitung eindeutig festgeschrieben werden.

Erlaubnisgründe für die Datenverarbeitung

Die DSGVO und das BDSG sind Verbotsgesetze mit Erlaubnisvorbehalt. Das heißt, jede Verarbeitung personenbezogener Daten ist zunächst unzulässig; es sei denn, es gibt einen "Erlaubnisgrund". Hierzu gehören unter anderem:

Erlaubnisgründe für die Datenverarbeitung personenbezogener Daten

Grund

Erläuterungen / Beispiel

Hintergrund

Die Datenverarbeitung ist erforderlich, ...

... um das Arbeitsverhältnis zu beginnen, um Pflichten zu erfüllen/Rechte auszuüben im Zuammenhang mit Gesetzen, Tarifverträgen, Betriebsvereinbarungen

- etwa Religionszugehörigkeit --> Kirchensteuer

Es wird ein legitimer Zweck verfolgt, der ohne Datenverarbeitung nicht erreicht werden kann.

Es liegt eine freiwillige, informierte Einwilligung der betroffenen Person vor.

Problematik der Freiwilligkeit, da Beschäftigte von ihrem Job in der Regelwirtschaftlich abhängig sind.

- zum Beispiel Ausstattung der Beschäftigten mit Diensthandys, die auch privat genutzt werden dürfen.

Von einer freiwilligen Einwilligung kann ausgegangen werden, wenn für die Beschäftigten durch die Datenverarbeitung ein rechtlicher oder wirtschaftlicher Vorteil entsteht, oder wenn Arbeitgeber und Beschäftigte übereinstimmende Interessen verfolgen.

Die betroffene Person muss wissen, welche Daten in welchem Umfang von wem zu welchem Zweck verarbeitet werden, und es darf ihr kein Nachteil aus einer Ablehnung entstehen.

Zur Aufdeckung bereits begangener Straftaten ...

... dürfen Beschäftigtendaten verarbeitet werden, wenn ein begründeter Verdacht gegen bestimmte Beschäftigte dokumentiert ist.


Eine vorsorgliche Datenverarbeitung ist nicht zulässig.

Nicht gesetzlich geregelt ist, ob eine Datenverarbeitung möglich ist bei Verdacht auf eine schwerwiegende Pflichtverletzung, die keine Straftat darstellt, wie unerlaubte Konkurrenztätigkeit oder das Vortäuschen von Arbeitsunfähigkeit.

"Berechtigte Interessen"

Die Stiftung Datenschutz empfiehlt, aktuell auf die "berechtigten Interessen" als Erlaubnisgrund zu verzichten, erst Recht da der Arbeitgeber verpflichtet ist, im Streitfall die Rechtmäßigkeit der Datenverarbeitung nachzuweisen.

Ob "berechtigte Interessen“ auch im Rahmen von Beschäftigungsverhältnissen die Datenverarbeitung erlauben, ist momentan noch umstritten.


Quelle: Beschäftigtendatenschutz - eine Handreichung, Stiftung Datenschutz

Bei Beschäftigtendaten Transparenz gewährleisten

Darüber hinaus weist die Stiftung Datenschutz in ihrer Handreichung auf wichtige Details beim Beschäftigtendatenschutz hin. Das A und O ist dabei die Information der Mitarbeiter darüber, dass beziehungsweise welche persönlichen Daten wofür genutzt, wie verarbeitet und an wen weitergegeben werden.

Vorsicht bei Datenerhebung via Internet

Enge Grenzen sind Arbeitgebern auch bei den Recherchen über Bewerber in sozialen Netzwerken, auf Websites und in Suchmaschinen gesetzt. Zudem müssen sie die Bewerber über ihre Recherchen, die Quellen und die Rechtsgrundlage der Verarbeitung informieren.

Heikel ist die betriebliche Nutzung von Whatsapp. Laut den deutschen Aufsichtsbehörden verstößt der Einsatz des Messengerdienstes in der betrieblichen Kommunikation gegen die DSGVO. Unternehmen sollten hierfür sicherere, datenschutzkonforme Alternativen wie Threema, Signal oder Wire nutzen.

Die Veröffentlichung von Kontaktdaten etwa auf der Firmenwebsite ist nur bei Mitarbeitern, die den Außenkontakt verantworten, ohne Einwilligung zulässig. Will ein Arbeitgeber Fotos veröffentlichen, auf denen die Beschäftigten erkennbar sind, müssen diese vorab zustimmen.

Videoüberwachung – nur ausnahmsweise

Die Zulässigkeit einer heimlichen Videoüberwachung ist aktuell strittig. Bisher war sie im Ausnahmefall etwa bei konkretem Verdacht auf eine strafbare Handlung zulässig. Auch eine offene Videoüberwachung ist nur ausnahmsweise erlaubt, keinesfalls jedoch in Sanitär- und Umkleidebereichen. Sofern es einen Betriebsrat gibt, hat dieser bei Videoaufzeichnungen – wie bei allen technischen Mitteln, die sich zur Personalüberwachung eignen – ein Mitbestimmungsrecht.

Wer wacht über die Einhaltung des Datenschutzes?

Springer-Autorin Maria Damartino weist darauf hin, dass der Betriebsrat den Umgang mit personenbezogenen Beschäftigtendaten in Betriebsvereinbarungen regeln kann, um den Datenschutz und die Mitarbeiterrechte zu gewährleisten. (Seite 38) Grundsätzlich wacht aber der betriebliche Datenschutzbeauftragte über die Einhaltung des Datenschutzes. Da sich hinsichtlich des Arbeitnehmerschutzes dessen Ziele und die des Betriebsrats wenig voneinander unterscheiden, empfehlen Bernhard Tenckhoff und Silvester Siegmann in ihrem Fachbeitrag "Datenschutzmanagement" den beiden Instanzen eine möglichst enge und vertrauliche Zusammenarbeit. (Seite 263)

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

2019 | OriginalPaper | Buchkapitel

Betriebsrat und Datenschutz

Quelle:
Kollektives Arbeitsrecht

2019 | OriginalPaper | Buchkapitel

Datenschutzmanagement

Quelle:
Vernetztes Betriebssicherheitsmanagement

2018 | OriginalPaper | Buchkapitel

Datenschutz und Datensicherheit am Arbeitsplatz

Zum Umgang mit personenbezogenen Daten durch Arbeitgeber und Arbeitnehmer
Quelle:
Arbeitswelt der Zukunft

01.03.2019 | Schwerpunkt | Ausgabe 3/2019

Arbeitnehmerüberlassung DS-GVO-konform lösen

Das könnte Sie auch interessieren

23.09.2019 | Datenschutz | Nachricht | Onlineartikel

Datenschutzgrundverordnung wird angepasst

08.10.2019 | Datenschutz | Im Fokus | Onlineartikel

DSGVO bleibt ein Risikofaktor

Premium Partner

    Bildnachweise