Was ist beim Beschäftigtendatenschutz zu beachten?

Der Datenschutz im Arbeitsumfeld ist von zentraler Bedeutung und betrifft sowohl Arbeitgeber als auch Arbeitnehmer. Insbesondere die Datenschutz-Grundverordnung (DSGVO) hat die Regeln für die Verarbeitung personenbezogener Daten verschärft und gleichzeitig für mehr Klarheit und Transparenz gesorgt. Für Unternehmen stellt sich die Frage, wie sie die Daten ihrer Mitarbeiter sicher und rechtskonform verarbeiten können. In diesem Artikel beleuchten wir die Regelungen zum Beschäftigtendatenschutz – von den rechtlichen Grundlagen über die Rolle des Betriebsrats bis hin zu den spezifischen Anforderungen bei Bewerbungen und Personalakten.

Was versteht man unter Beschäftigtendatenschutz?

Beschäftigtendatenschutz bezieht sich auf den rechtlichen Schutz personenbezogener Daten von Beschäftigten innerhalb eines Arbeitsverhältnisses. Ziel ist es, die Privatsphäre der Mitarbeiter zu wahren und sicherzustellen, dass ihre Daten nur im Einklang mit den geltenden Datenschutzbestimmungen verarbeitet werden. 

Zu den betroffenen Daten gehören beispielsweise persönliche Informationen, Arbeitszeiten, Gehaltsabrechnungen, aber auch Informationen zu Gesundheit und Verhalten am Arbeitsplatz.Ein effektiver Beschäftigtendatenschutz trägt dazu bei, die Rechte der Arbeitnehmer zu schützen und das Vertrauen zwischen Arbeitgebern und Beschäftigten zu stärken.

Wer ist Beschäftigter nach der DSGVO?

Ein Beschäftigter ist eine natürliche Person, der aufgrund eines Arbeitsvertrags im Dienste eines Arbeitgebers zur Erbringung weisungsgebundener, fremdbestimmter Arbeit in persönlicher Abhängigkeit verpflichtet ist. “Beschäftigte“ sind alle Personen, die in einem (vor-)vertraglichen Beschäftigungsverhältnis zu einem Unternehmen („Verantwortlicher“) stehen. Dies umfasst Vollzeit- und Teilzeitkräfte, Minijobber, Praktikanten sowie Aushilfen gleichermaßen. Gemäß § 20 Absatz 8 BDSG sind „Beschäftigte“ im Einzelnen:

• Arbeitnehmer im klassischen Sinne (Vollzeit, Teilzeit)
• Leiharbeitnehmer 
• Praktikanten 
• Werkstudenten
• Auszubildende und Minijobber
• Freiberufler, selbstständig tätige Personen oder arbeitnehmerähnliche Personen
• Bewerber 

Beschäftigtendatenschutz: Welche Daten müssen geschützt werden?

Im Beschäftigungsverhältnis hat der Arbeitgeber zwangsläufig mit der Verarbeitung besonderer Daten, z.B. personenbezogene Daten zu tun, und verarbeitet sie in automatisierter Form. Darunter fallen auch die üblicherweise im Arbeitsverhältnis verarbeiteten personenbezogenen Daten:

• Identifikationsdaten wie Name, Geburtsdatum, Anschrift, Telefonnummer und E-Mail-Adresse.
• Arbeitszeit- und Leistungsdaten wie Anwesenheitszeiten, Überstunden, Urlaubsansprüche und Abwesenheiten.
• Entgelt- und Steuerdaten, z. B. Lohn- und Gehaltsabrechnungen, Steuerdaten, Sozialversicherungsbeiträge.
• Gesundheitsdaten, die im Rahmen von Krankheitsfällen oder arbeitsmedizinischen Untersuchungen erfasst werden.
• Bewerbungsdaten, die im Rahmen des Rekrutierungsprozesses verarbeitet werden.
• Zugriffsdaten: Daten zu IT-Systemen und -Zugängen, etwa Logins oder die Nutzung von betrieblichen IT-Infrastrukturen
• Verhaltensdaten, zum Beispiel über Nutzung von Arbeitsmitteln oder Internetnutzung.

Wie ist die Rechtslage für den Beschäftigtendatenschutz?

Es gibt kein spezielles Gesetz, das sich ausschließlich mit dem Beschäftigtendatenschutz befasst. Vielmehr ist der Beschäftigtendatenschutz in verschiedenen rechtlichen Vorschriften integriert. Die wichtigsten Regelungen hierzu finden sich in der DSGVO, die für alle EU-Staaten verbindlich ist, sowie im Bundesdatenschutzgesetz (BDSG) und dem Betriebsverfassungsgesetz (BetrVG). Diese Gesetze stellen sicher, dass der Datenschutz im Arbeitsverhältnis gegeben ist und die Daten rechtmäßig, transparent und sicher verarbeitet werden.Zwar gab es Bestrebungen, ein spezielles Gesetz für Datenschutz im Beschäftigungsverhältnis zu etablieren, doch bislang wurden diese nicht in vollem Umfang umgesetzt. Die DSGVO regelt die grundlegenden Prinzipien der Datenverarbeitung, während das BDSG speziellere Vorschriften für den Beschäftigtendatenschutz bietet, etwa im Hinblick auf die Verarbeitung von Beschäftigtendaten durch den Arbeitgeber und die Rechte der Arbeitnehmer in diesem Zusammenhang.

Wann dürfen Beschäftigtendaten verarbeitet werden? 

Die Verarbeitung von Beschäftigtendaten darf nur unter bestimmten Voraussetzungen stattfinden. Hier gibt es klare Regelungen. Zu den wichtigsten rechtlichen Grundlagen gehören:

• Vertragserfüllung: Die Verarbeitung von Daten ist dann zulässig, wenn sie zur Erfüllung eines Arbeitsvertrages notwendig ist. Dies umfasst unter anderem die Verwaltung von Gehaltsabrechnungen, die Bereitstellung von Arbeitsmitteln und die Erfassung von Arbeitszeiten.
• Gesetzliche Verpflichtungen: Der Arbeitgeber ist verpflichtet, bestimmte Daten zu verarbeiten, um gesetzlichen Vorgaben nachzukommen. Beispielsweise müssen Sozialversicherungsbeiträge oder steuerliche Daten ordnungsgemäß verarbeitet werden.
• Berechtigte Interessen: Arbeitgeber können auch dann personenbezogene Daten verarbeiten, wenn dies notwendig ist, um berechtigte Interessen zu wahren, z.B. bei internen Prüfungen, der Verwendung von IT-Lösungen, der Verhinderung von Betrug oder der Verbesserung der betrieblichen Abläufe.

In jedem Fall muss die Datenverarbeitung transparent und nachvollziehbar erfolgen. Die betroffenen Mitarbeiter müssen über die Verarbeitung ihrer Daten informiert werden und die Möglichkeit haben, Widerspruch einzulegen, wenn dies erforderlich ist.

Kann eine Einwilligung im Beschäftigungsverhältnis erteilt werden?

Ja, eine Einwilligung zur Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis kann grundsätzlich erteilt werden. Allerdings muss diese Einwilligung freiwillig, informiert und ohne Druck erfolgen. Es darf dem Beschäftigten keine negativen Konsequenzen entstehen, wenn er seine Einwilligung verweigert oder widerruft.

Wichtig ist, dass die Einwilligung klar und verständlich formuliert ist und der Mitarbeiter genau weiß, welche Daten zu welchem Zweck verarbeitet werden. Einwilligungen können jederzeit vom Mitarbeiter widerrufen werden. Deshalb sind Einwilligungen nur in Ausnahmefällen sinnvoll, etwa wenn es um die Verwendung von Mitarbeiterfotos zur Teamvorstellung auf der Website geht. 

Der Betriebsrat als Wächter des Beschäftigtendatenschutzes

Betriebsräte haben laut § 75 Abs. 2 Satz 1 BetrVG die Pflicht, die freie Entfaltung der Persönlichkeit jedes einzelnen Beschäftigten im Betrieb zu schützen und den Datenschutz zu fördern. Sie müssen darauf achten, dass die Arbeitsbedingungen die Persönlichkeitsrechte der Mitarbeitenden nicht verletzen. Zudem unterstützen sie den Arbeitgeber bei der Einhaltung arbeitnehmerschützender Gesetze. Diese Verantwortung umfasst auch den Schutz personenbezogener Daten, insbesondere bei Maßnahmen, die in das Persönlichkeitsrecht oder das Verhalten von Beschäftigten eingreifen.

Rolle von Betriebsvereinbarungen beim Beschäftigtendatenschutz

Betriebsvereinbarungen sind für den Beschäftigtendatenschutz von großer Bedeutung. In diesen Vereinbarungen können konkrete Regelungen festgelegt werden, die den Umgang mit Beschäftigtendaten innerhalb eines Unternehmens betreffen. Nach § 87 Abs. 1 Nr. 6 BetrVG bspw. hat der Betriebsrat ein zwingendes Mitbestimmungsrecht bei der Einführung technischer Systeme zur Überwachung von Verhalten oder Leistung der Beschäftigten. Dazu zählen etwa Zeiterfassungssysteme, GPS-Tracking, Videoüberwachung oder Software zur Protokollierung von Arbeitsvorgängen. Schon die bloße Möglichkeit der Leistungs- oder Verhaltenskontrolle genügt, um die Mitbestimmung auszulösen. Der Betriebsrat kann hier datenschutzfreundliche Lösungen mitverhandeln und sicherstellen, dass Maßnahmen verhältnismäßig und transparent umgesetzt werden. So trägt er aktiv dazu bei, die Persönlichkeitsrechte der Mitarbeitenden im digitalen Arbeitsumfeld zu schützen.

Was es im Datenschutz bei Bewerbungen zu beachten gilt

Im Bewerbungsprozess sind datenschutzrechtliche Bestimmungen von großer Bedeutung, da hier bereits personenbezogene Daten verarbeitet werden.

• Datenschutz und Fragen im Bewerbungsgespräch: Die Fragen, die im Bewerbungsgespräch gestellt werden, müssen sich auf den Bewerber und seine Qualifikationen beziehen. Die datenschutzrechtliche Zulässigkeit orientiert sich dabei am arbeitsrechtlichen Fragerecht. Unzulässige Fragen betreffen unter anderem Themen mit diskriminierendem Charakter wie Schwangerschaft, ethnische Herkunft, politische Meinungen oder sexuelle Orientierung.
• Zugriff auf Bewerberdaten: Nur Personen, die direkt in den Entscheidungsprozess über die Einstellung eines Bewerbers involviert sind, sollten Zugriff auf die Bewerbungsunterlagen haben. Dies betrifft in der Regel Mitarbeiter im Personalbereich sowie möglicherweise die Geschäftsführung. Bewerbungsunterlagen sollten nicht in allgemein zugänglichen Ordnern abgelegt oder per E-Mail an andere Mitarbeiter weitergeleitet werden.
• Löschung von Bewerberdaten: Bewerbungsunterlagen dürfen nur so lange aufbewahrt werden, wie sie für die Entscheidung über die Bewerbung notwendig sind. Nach Abschluss des Auswahlverfahrens sollten die Daten schnellstmöglich gelöscht werden, es sei denn, der Bewerber hat einer längeren Speicherung zugestimmt.

Was es im Datenschutz bei der Personalakte zu beachten gilt: 

• Löschfristen: Inhalte müssen regelmäßig überprüft und nicht mehr benötigte Dokumente gelöscht werden.
• Vollständigkeit und Einheitlichkeit: Es darf nur eine Personalakte pro Mitarbeiter geben, inoffizielle „Schattenakten“ sind unzulässig.
• Zweckbindung: Inhalte dürfen nur für Zwecke der Personalverwaltung verwendet werden.
• Zugriffsschutz: Personalakten sind vor unbefugtem Zugriff zu schützen.
• Zugangsberechtigung: Nur befugte Personen dürfen Zugriff erhalten.
• Auskunftsrecht: Beschäftigte haben ein Recht auf Auskunft nach Art 15 DSGVO
• Einsichtsrecht: Beschäftigte haben das Recht auf vollständige Einsicht, auch auf Ausdrucke aus digitalen Systemen nach § 83 Abs. 1 Betriebsverfassungsgesetz (BetrVG).

Private Nutzung des dienstlichen E-Mail-Accounts erlaubt? – Es drohen Datenschutzverletzungen 

Die private Nutzung des dienstlichen E-Mail-Accounts kann erhebliche Datenschutzrisiken mit sich bringen, insbesondere wenn ein Mitarbeiter krank wird oder das Unternehmen verlässt. In solchen Fällen könnte der Arbeitgeber versuchen, auf das E-Mail-Postfach des Mitarbeiters zuzugreifen. Doch dies ist ein heikler Bereich: Der Arbeitgeber darf grundsätzlich nicht ohne weiteres auf die Inhalte des Postfachs zugreifen. Besonders problematisch wird es, wenn der Arbeitgeber auf private E-Mails zugreift, da dies eine klare Datenschutzverletzung darstellt. Dies gilt besonders dann, wenn in den Mails sensible Informationen zu Kunden oder geschäftlichen Angelegenheiten enthalten sind. 

Tipp: Um solche Risiken zu vermeiden, empfiehlt es sich, eine klare Richtlinie zur Nutzung des dienstlichen E-Mail-Accounts zu erstellen. Ein Verbot der privaten Nutzung des dienstlichen E-Mail-Accounts ist hierbei ein sinnvoller Schritt. Nur durch eine solche Regelung stellen Sie sicher, dass Sie im Notfall – etwa bei der Krankheit oder dem Ausscheiden eines Mitarbeiters – auf die Postfachinhalte zugreifen können, ohne gegen Datenschutzvorgaben zu verstoßen.

Verarbeitung von Beschäftigtendaten im Konzern

Der Schutz von Arbeitnehmerdaten spielt auch bei der Konzerndatenverarbeitung eine große Rolle. 

Die Übermittlung von Beschäftigtendaten im Konzern ist aufgrund des fehlenden „Konzernprivilegs“ nicht so einfach wie häufig angenommen. Da Art. 88 DS-GVO kein Privileg zur Übermittlung von Beschäftigtendaten im Konzern enthält, sondern die Datenflüsse zwischen konzernangehörigen Unternehmen denselben Bedingungen unterwirft wie die zwischen voneinander unabhängigen Unternehmen, bedarf es für die konzerninterne Übermittlung von Beschäftigtendaten einer vertraglichen Absicherung.  Diese kann insbesondere auf der Basis von (Konzern-)Betriebsvereinbarungen oder einer Konzerndatenschutzvereinbarung erfolgen. 

DSGVO-Tipps zum Beschäftigtendatenschutz für Arbeitgeber

1. Verzeichnis der Verarbeitungstätigkeiten führen

Stellen Sie sicher, dass alle datenschutzrelevanten Prozesse im Bereich Personalwesen (HR), Bewerbungsmanagement, Personalakten, Lohnbuchhaltung und der Datenaustausch mit dem Betriebsrat systematisch erfasst und dokumentiert werden. Dieses Verzeichnis ist eine grundlegende Maßnahme zur Einhaltung der DSGVO und hilft Ihnen, Transparenz zu wahren und jederzeit auf die Datenverarbeitungen zugreifen zu können.

2. Technische und organisatorische Maßnahmen (TOM) implementieren

Setzen Sie geeignete technische und organisatorische Sicherheitsmaßnahmen um, um die Beschäftigtendaten vor unbefugtem Zugriff, Verlust oder Missbrauch zu schützen. Hierzu zählen unter anderem Arbeitsanweisungen, Datenschutzrichtlinien, festgelegte Zugriffsrechte auf IT- und HR-Systeme sowie die sichere Aufbewahrung von Aktenschränken und Personalunterlagen.

3. Mitarbeiter regelmäßig zum Datenschutz schulen:

Erfüllen Sie Ihre gesetzliche Verpflichtung zur Sensibilisierung Ihrer Mitarbeiter, indem Sie diese jährlich in den Grundlagen des Datenschutzes schulen. Durch regelmäßige Fortbildungen stellen Sie sicher, dass Ihre Mitarbeiter die Anforderungen der DSGVO verstehen und in ihrem täglichen Handeln berücksichtigen.

4. Vorbereitung auf Anfragen von Betroffenen

Bereiten Sie sich auf Anfragen von Bewerbern sowie (ehemaligen) Mitarbeitern vor, die nach ihren gespeicherten Daten fragen oder deren Löschung wünschen. Entwickeln Sie standardisierte Vorlagen und sensibilisieren Sie Ihre Mitarbeiter, sodass Datenschutzanfragen rechtzeitig erkannt und an den Datenschutzbeauftragten weitergeleitet werden.

5. Datenschutzerklärung in den Bewerbungsprozess integrieren

Informieren Sie Bewerber transparent über die Erhebung und Verarbeitung ihrer personenbezogenen Daten. In digitalen Bewerbungsformularen sollte ein Link zur Datenschutzerklärung für Bewerber eingefügt werden, die den Zweck, die Dauer und die Rechtsgrundlage der Datenverarbeitung klar und verständlich erklärt.

6. Datenschutzerklärung für Beschäftigte erstellen und veröffentlichen

Erstellen Sie eine umfassende Datenschutzerklärung für Ihre Mitarbeiter, die detailliert darlegt, wie deren personenbezogene Daten verarbeitet werden. Veröffentlichen Sie diese Erklärung in Ihrem Intranet, damit alle Mitarbeiter jederzeit darauf zugreifen können. Dies schafft Vertrauen und erfüllt Ihre Informationspflichten.

7. Auftragsverarbeitungsverträge mit Dienstleistern abschließen

Schließen Sie mit allen externen Dienstleistern, insbesondere Softwareanbietern, Auftragsverarbeitungsverträge ab. Diese Verträge sind erforderlich, um sicherzustellen, dass Ihre Dienstleister die gleichen hohen Datenschutzstandards einhalten und die Daten Ihrer Mitarbeiter ordnungsgemäß schützen.

8. Datenschutzbeauftragten benennen

Sobald Ihr Unternehmen mehr als 20 Mitarbeiter beschäftigt, ist es gesetzlich erforderlich, einen Datenschutzbeauftragten zu benennen. Dieser übernimmt die Aufgabe, die Einhaltung der Datenschutzbestimmungen zu überwachen und steht als Ansprechpartner für alle datenschutzrechtlichen Fragen zur Verfügung.

FAQ Beschäftigtendatenschutz nach DSGVO