Seit Mai 2018 gelten die neue Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz. Zwar ist die Anfangspanik abgeflaut, doch viele Betriebe kämpfen mit der Umsetzung. Nicht zuletzt hat der Beschäftigtendatenschutz (BDSG) seine Tücken.
Die Datenschutz-Grundverordnung bezieht sich nicht nur auf digital verarbeitete personenbezogene Daten. Sie gilt auch für "nicht-strukturierte" Daten wie etwa handschriftliche Notizen über Angestellte.
ValeryBrozhinsky / Getty Images / iStock
Trotz einiger Unsicherheiten bei der Auslegung der Regeln, haben zwei Drittel der Betriebe die neuen Datenschutzregeln mindestens zu großen Teilen umgesetzt. Vollständigen Vollzug meldet bislang aber nur ein Viertel der Unternehmen, ergab 2019 eine Bitkom-Umfrage unter 500 Unternehmen aus Deutschland.
Dessen ungeachtet nimmt die Verarbeitung von Beschäftigtendaten weiter zu: Firmen setzen vermehrt auf die elektronische Personalakte, nutzen Messengerdienste zur Kommunikation oder recherchieren in sozialen Netzwerken nach ihren Jobbewerbern. Grund genug, zu rekapitulieren, worauf Unternehmen in punkto Beschäftigtendatenschutz achten müssen.
Unterschiedliche Schutzkategorien bei personenbezogenen Daten
Die DSGVO unterscheidet zwischen schützenswerten und besonders schützenswerten personenbezogenen Daten. Zur ersten Kategorie gehören Informationen wie Name, Geburtsdatum, Lebenslauf, Zeugnisse, Familienstand, Personalnummer. Zur zweiten zählen sensible persönliche Informationen zu den "großen 'G': Glaube, Gesundheit und Gewerkschaft", erklärt Maria Damartino in dem Kapitel "Betriebsrat und Datenschutz" (Seite 37). Egal, welche Daten der Arbeitgeber verarbeitet: Er muss seine Mitarbeiter über die Verarbeitung informieren und sollte sich dies von ihnen schriftlich bestätigen lassen.
Der rechtliche Rahmen beim Beschäftigtendatenschutz
Wie die Stiftung Datenschutz in einer Handreichung zum Beschäftigtendatenschutz erläutert, gelten die Regeln von DSGVO und des §26 BDSG für alle Beschäftigungsverhältnisse einschließlich Leiharbeit und Ausbildung sowie für sich Bewerbende und ehemalige Beschäftigte. Für Bedienstete und Beschäftigte bei Behörden und öffentlichen Stellen gelten besondere Regelungen.
Die DSVGO betrifft dabei jedwede Verarbeitung personenbezogener Daten, unabhängig davon, ob sie teilweise, ganz oder auch gar nicht automatisiert erfolgt. Vorgeschrieben ist außerdem, dass Beschäftigtendaten nur für festgelegte, eindeutige und legitime Zwecke erhoben und verarbeitet werden dürfen. Werden hierzu Regelungen in Betriebsvereinbarungen getroffen, müssen die Zwecke der Datenverarbeitung eindeutig festgeschrieben werden.
Erlaubnisgründe für die Datenverarbeitung
Die DSGVO und das BDSG sind Verbotsgesetze mit Erlaubnisvorbehalt. Das heißt, jede Verarbeitung personenbezogener Daten ist zunächst unzulässig; es sei denn, es gibt einen "Erlaubnisgrund". Hierzu gehören unter anderem:
Erlaubnisgründe für die Datenverarbeitung personenbezogener Daten | ||
Grund | Erläuterungen / Beispiel | Hintergrund |
Die Datenverarbeitung ist erforderlich, ... | ... um das Arbeitsverhältnis zu beginnen, um Pflichten zu erfüllen/Rechte auszuüben im Zuammenhang mit Gesetzen, Tarifverträgen, Betriebsvereinbarungen - etwa Religionszugehörigkeit --> Kirchensteuer | Es wird ein legitimer Zweck verfolgt, der ohne Datenverarbeitung nicht erreicht werden kann. |
Es liegt eine freiwillige, informierte Einwilligung der betroffenen Person vor. | Problematik der Freiwilligkeit, da Beschäftigte von ihrem Job in der Regelwirtschaftlich abhängig sind. - zum Beispiel Ausstattung der Beschäftigten mit Diensthandys, die auch privat genutzt werden dürfen. | Von einer freiwilligen Einwilligung kann ausgegangen werden, wenn für die Beschäftigten durch die Datenverarbeitung ein rechtlicher oder wirtschaftlicher Vorteil entsteht, oder wenn Arbeitgeber und Beschäftigte übereinstimmende Interessen verfolgen. Die betroffene Person muss wissen, welche Daten in welchem Umfang von wem zu welchem Zweck verarbeitet werden, und es darf ihr kein Nachteil aus einer Ablehnung entstehen. |
Zur Aufdeckung bereits begangener Straftaten ... | ... dürfen Beschäftigtendaten verarbeitet werden, wenn ein begründeter Verdacht gegen bestimmte Beschäftigte dokumentiert ist. | Eine vorsorgliche Datenverarbeitung ist nicht zulässig. Nicht gesetzlich geregelt ist, ob eine Datenverarbeitung möglich ist bei Verdacht auf eine schwerwiegende Pflichtverletzung, die keine Straftat darstellt, wie unerlaubte Konkurrenztätigkeit oder das Vortäuschen von Arbeitsunfähigkeit. |
"Berechtigte Interessen" | Die Stiftung Datenschutz empfiehlt, aktuell auf die "berechtigten Interessen" als Erlaubnisgrund zu verzichten, erst Recht da der Arbeitgeber verpflichtet ist, im Streitfall die Rechtmäßigkeit der Datenverarbeitung nachzuweisen. | Ob "berechtigte Interessen“ auch im Rahmen von Beschäftigungsverhältnissen die Datenverarbeitung erlauben, ist momentan noch umstritten. |
Quelle: Beschäftigtendatenschutz - eine Handreichung, Stiftung Datenschutz |
Bei Beschäftigtendaten Transparenz gewährleisten
Darüber hinaus weist die Stiftung Datenschutz in ihrer Handreichung auf wichtige Details beim Beschäftigtendatenschutz hin. Das A und O ist dabei die Information der Mitarbeiter darüber, dass beziehungsweise welche persönlichen Daten wofür genutzt, wie verarbeitet und an wen weitergegeben werden.
Vorsicht bei Datenerhebung via Internet
Enge Grenzen sind Arbeitgebern auch bei den Recherchen über Bewerber in sozialen Netzwerken, auf Websites und in Suchmaschinen gesetzt. Zudem müssen sie die Bewerber über ihre Recherchen, die Quellen und die Rechtsgrundlage der Verarbeitung informieren.
Heikel ist die betriebliche Nutzung von Whatsapp. Laut den deutschen Aufsichtsbehörden verstößt der Einsatz des Messengerdienstes in der betrieblichen Kommunikation gegen die DSGVO. Unternehmen sollten hierfür sicherere, datenschutzkonforme Alternativen wie Threema, Signal oder Wire nutzen.
Die Veröffentlichung von Kontaktdaten etwa auf der Firmenwebsite ist nur bei Mitarbeitern, die den Außenkontakt verantworten, ohne Einwilligung zulässig. Will ein Arbeitgeber Fotos veröffentlichen, auf denen die Beschäftigten erkennbar sind, müssen diese vorab zustimmen.
Videoüberwachung – nur ausnahmsweise
Die Zulässigkeit einer heimlichen Videoüberwachung ist aktuell strittig. Bisher war sie im Ausnahmefall etwa bei konkretem Verdacht auf eine strafbare Handlung zulässig. Auch eine offene Videoüberwachung ist nur ausnahmsweise erlaubt, keinesfalls jedoch in Sanitär- und Umkleidebereichen. Sofern es einen Betriebsrat gibt, hat dieser bei Videoaufzeichnungen – wie bei allen technischen Mitteln, die sich zur Personalüberwachung eignen – ein Mitbestimmungsrecht.
Wer wacht über die Einhaltung des Datenschutzes?
Springer-Autorin Maria Damartino weist darauf hin, dass der Betriebsrat den Umgang mit personenbezogenen Beschäftigtendaten in Betriebsvereinbarungen regeln kann, um den Datenschutz und die Mitarbeiterrechte zu gewährleisten. (Seite 38) Grundsätzlich wacht aber der betriebliche Datenschutzbeauftragte über die Einhaltung des Datenschutzes. Da sich hinsichtlich des Arbeitnehmerschutzes dessen Ziele und die des Betriebsrats wenig voneinander unterscheiden, empfehlen Bernhard Tenckhoff und Silvester Siegmann in ihrem Fachbeitrag "Datenschutzmanagement" den beiden Instanzen eine möglichst enge und vertrauliche Zusammenarbeit. (Seite 263)