20.07.2021 - Lesezeit 15 Minuten

Arbeitnehmerdatenschutz – Worauf ist zu achten?

Was ist eigentlich Arbeitnehmerdatenschutz?

Werden personenbezogene Daten eines Arbeitnehmers als betroffener Person (vgl. Art. 4 Nr. 1 DSGVO) von dem Arbeitgeber als Verantwortlichem (Art. 4 Nr. 7 DSGVO) verarbeitet, befinden wir uns in einem sehr spezifischen rechtlichen Verhältnis. In dieser Konstellation gilt der sogenannte Arbeitneh-merdatenschutz/Beschäftigtendatenschutz. Ein eigenständiges Gesetz wie z.B. ein „Arbeitnehmerda-tenschutzgesetz“, welches arbeitnehmerdatenschutzrechtliche Spezifika regelt, gibt es jedoch nicht. Vielmehr ergeben sich die datenschutzrechtlichen Regelungen für das Arbeitsverhältnis aus den allge-meinen Bestimmungen der DSGVO und des BDSG (Bundesdatenschutzgesetz) und werden durch ver-schiedene weitere - häufig nationale - Gesetze ergänzt.

 

Rechtliche Grundlagen für die Verarbeitung

Wie in jedem Bereich des Datenschutzes, so gilt auch beim Arbeitnehmerdatenschutz, dass es einer rechtlichen Grundlage für die Verarbeitung personenbezogener Daten bedarf. Über die bereichsspezi-fische Öffnungsklausel des Art. 88 DSGVO gelangt man zu § 26 BDSG, einer sehr wichtigen Rechts-rundlage für die Verarbeitung personenbezogener Daten im Rahmen von Arbeitsverhältnissen.

Dem Grundsatz nach darf der Arbeitgeber personenbezogene Daten der Arbeitnehmer verarbeiten, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist (§ 26 Abs. 1 S. 1 BDSG).

  • Eine Datenverarbeitung für die Begründung des Beschäftigungsverhältnisses liegt z.B. dann vor, wenn personenbezogene Daten, beispielsweise aus der Bewerbungsmappe, für die Durchführung eines Bewerbungsverfahren verarbeitet werden. Hierbei ist darauf zu achten, dass nur eine Verarbeitung solcher Daten erfolgt, die für das Arbeitsverhältnis erforderlich sind. Eine Frage bzgl. einer möglichen Schwangerschaft wäre demnach etwa unzulässig. Ferner sollte stets eine Direkterhebung der erforderlichen Daten beim Bewerber vorgenommen werden und nicht aus einer dritten Quelle.
     
  • Eine Datenverarbeitung für die Durchführung des Beschäftigungsverhältnisses ist bei-spielsweise die Führung von Personalakten, das Verfassen von Arbeitsplänen oder auch die Durchführung von Arbeitssicherheitsmaßnahmen. Insbesondere bei der Führung von Personal-akten ist darauf zu achten, dass keine unzulässige Vorratsdatenspeicherung stattfindet, son-dern hier nur solche Daten abgelegt werden, die richtig und nicht leistungsfremd sind. Im Be-schäftigungsverhältnis können dann auch besonders sensible Daten (Art. 9 DSGVO), wie An-gaben über eine Schwangerschaft, verarbeitet werden, jedoch nur mit dem Zweck, den Ver-pflichtungen gem. dem Mutterschutzgesetz nachzukommen.
     
  • Eine Datenverarbeitung für/nach Beendigung des Beschäftigungsverhältnisses liegt bei-spielsweise vor, wenn der Arbeitgeber eine Sozialauswahl gem. § 1 KSchG treffen musste.

 

Neben der Erforderlichkeit der Datenverarbeitung für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses kann sich die Zulässigkeit einer Verarbeitung von personenbezoge-nen Daten auch aus der Einwilligung des Arbeitnehmers ergeben. Hierbei ist neben der Widerruflich-keit insbesondere auch auf die Umstände der Einwilligung zu achten. Der Arbeitnehmer muss über die Datenverarbeitung aufgeklärt/informiert sein. Zudem muss die Einwilligung freiwillig erfolgen. An das Kriterium der Freiwilligkeit werden besondere Anforderungen gestellt, da grundsätzlich von einer gewis-sen „Über-/Unterordnung“ im Beschäftigungsverhältnis ausgegangen wird. Es ist daher stets eine Ein-zelfallbetrachtung erforderlich, bei der die konkreten Umstände sowie Vor- und Nachteile, die sich für den Arbeitnehmer aus der Verarbeitung seiner personenbezogenen Daten ergeben könnten, mit einbe-zogen werden. Tipp: Grundsätzlich sollten Einwilligungen schriftlich festgehalten werden, um etwaigen Nachweispflichten nachkommen zu können. Das Gesetz verlangt in § 26 Abs. 2 S. 3 BDSG explizit die Einholung der Einwilligung in schriftlicher oder elektronischer Form, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.

Zuletzt ist eine Datenverarbeitung im Beschäftigungsverhältnis auf Grundlage von Kollektivvereinbarungen möglich, § 26 Abs. 4 S. 2 BDSG. Hierbei sind die Grundsätze der Verarbeitung gem. Art. 5 DSGVO zu wahren. Diese lauten: Rechtmäßigkeit der Verarbeitung, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.

 

Typische Verarbeitungen

 

Im Beschäftigungsverhältnis gibt es typische Verarbeitungen von personenbezogenen Daten, auf deren Datenschutzkonformität ein Unternehmen besonders achten sollte. Im Folgende einige Beispiele:

  • Videoüberwachung am Werksgelände: Bei einer Videoüberwachung am Werksgelände wird in das Recht am eigenen Bild eingegriffen. Daher gilt, dass eine permanente Überwachung der Mitarbeiter bei der Arbeit grundsätzlich nicht zulässig ist. Gleiches gilt auch für die heimliche Überwachung. Achten Sie daher, wenn eine Videoüberwachung am Werksgelände erforderlich ist, darauf, dass entsprechende Hinweisschilder angebracht sind, Sie nur gezielte und zulässige Bereiche überwachen und die Aufnahmen auch entsprechend gelöscht werden. (Achtung: ge-ringe Speicherdauer) Außerdem ist in der Regel die vorherige Durchführung einer Datenschutz-Folgenabschätzung erforderlich.
     
  • Ortung von Beschäftigten: Auch die mögliche Ortung/Überwachung von Beschäftigten via GPS ist nur unter engen Voraussetzungen möglich (lesen Sie hierzu gerne unseren Artikel „Ist die umfassende GPS-Überwachung von Beschäftigten DSGVO-konform?“)
     
  • Private Nutzung der geschäftlichen E-Mail-Adresse: Obwohl fast jeder Arbeitnehmer über einen privaten E-Mail-Account verfügt, erlauben oder dulden noch immer Arbeitgeber die pri-vate Nutzung der geschäftlichen E-Mail-Accounts durch den Arbeitnehmer. Aus datenschutz- aber auch arbeitsrechtlicher Sicht ist hiervon dringend abzuraten. In der Praxis ergeben sich hieraus häufig rechtliche Probleme, wie z.B. hinsichtlich des Umgangs mit dem Postfach eines ausgeschiedenen Mitarbeiters.

 

Allgemeine datenschutzrechtliche Pflichten im Arbeitsverhältnis

 

Darüber hinaus sind, wie bereits eingangs erwähnt, die allgemeinen datenschutzrechtlichen Pflichten für den Verantwortlichen zu beachten. So ist z.B. nicht nur eine Datenschutzerklärung auf der Website erforderlich, um die Webseitenbesucher über die Verarbeitung ihrer personenbezogenen Daten auf der Website zu informieren, sondern vielmehr müssen auch die Beschäftigten über die Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext informiert werden. Hierbei gelten die Art. 13 ff. DSGVO. Das bedeutet, dass der Arbeitgeber den Arbeitnehmer z.B. darüber zu informieren hat, an welche Dritte (Art. 4 Nr. 10 DSGVO) seine Daten weitergegeben werden, wie lange eine Speicherung z.B. in Systemen erfolgt und ob hierbei eine Übermittlung von personenbezogenen Daten in Drittländer (nicht EU oder EWR) stattfindet.

Zahlreiche Fallstricke erwarten Arbeitgeber im Bereich des Datenschutzes. secjur unterstützt Sie hier gerne mit großer Expertise und der gehörigen Portion Pragmatismus.

Schreiben Sie uns an

Kostenloses Erstgespräch vereinbaren