Beitrag teilen
HOME
/
blog
/
Arbeitnehmerdatenschutz: Grundlagen, Rechte und heikle Verarbeitungen

Arbeitnehmerdatenschutz: Grundlagen, Rechte und heikle Verarbeitungen

Daniel Lösch

Senior Privacy Expert & Product Owner

November 6, 2023

10 min

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Key Takeaways

Die Verarbeitung persönlicher Daten von Arbeitnehmern erfordert eine rechtliche Grundlage gemäß § 26 BDSG.

Die Zustimmung des Arbeitnehmers kann die Zulässigkeit für die Datenverarbeitung bieten, jedoch muss diese Zustimmung freiwillig und aufgeklärt sein.

Arbeitgeber müssen ihre Mitarbeiter über die Verarbeitung ihrer persönlichen Daten informieren.

Heikle Bereiche wie Videoüberwachung, Mitarbeiterortung und private Nutzung von Geschäftsemails erfordern besondere Datenschutzmaßnahmen.

Was ist eigentlich der Arbeitnehmerdatenschutz?

In diesem Artikel lesen Sie:

  • wie der Arbeitnehmerdatenschutz definiert ist
  • welche rechtlichen Grundlagen dem Arbeitnehmerdatenschutz zugrunde liegen
  • welche datenschutzrechtlichen Pflichten in einem Arbeitsverhältnis gelten
  • welche goldene Regel im Arbeitnehmerdatenschutz gilt

Werden personenbezogene Daten eines Arbeitnehmers als betroffener Person (vgl. Art. 4 Nr. 1 DSGVO) von dem Arbeitgeber als Verantwortlichem (Art. 4 Nr. 7 DSGVO) verarbeitet, befinden wir uns in einem sehr spezifischen rechtlichen Verhältnis. In dieser Konstellation gilt der sogenannte Arbeitnehmerdatenschutz oder Beschäftigtendatenschutz.

Ein eigenständiges Gesetz wie etwa ein „Arbeitnehmerdatenschutzgesetz“, welches arbeitnehmerdatenschutzrechtliche Spezifika regelt, gibt es jedoch nicht. Vielmehr ergeben sich die datenschutzrechtlichen Regelungen für das Arbeitsverhältnis aus den allgemeinen Bestimmungen der DSGVO und des BDSG (Bundesdatenschutzgesetz) und werden durch verschiedene weitere – häufig nationale – Gesetze ergänzt.

Arbeitnehmerdatenschutz: Rechtliche Grundlagen für die Verarbeitung

Wie in jedem Bereich des Datenschutzes, so gilt auch beim Arbeitnehmerdatenschutz, dass wenn personenbezogene Daten eines Arbeitnehmers als betroffener Person (vgl. Art. 4 Nr. 1 DSGVO) von dem Arbeitgeber als Verantwortlichem (Art. 4 Nr. 7 DSGVO) verarbeitet werden, wir uns in einem sehr spezifischen rechtlichen Verhältnis befinden.

In dieser Konstellation gilt der sogenannte Arbeitnehmerdatenschutz und es bedarf einer rechtlichen Grundlage für die Verarbeitung personenbezogener Daten. Über die bereichsspezifische Öffnungsklausel des Art. 88 DSGVO gelangt man zu § 26 BDSG, einer sehr wichtigen Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen von Arbeitsverhältnissen.

Dem Grundsatz nach darf der Arbeitgeber personenbezogene Daten der Arbeitnehmer verarbeiten, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist (§ 26 Abs. 1 S. 1 BDSG).

  • Eine Datenverarbeitung für die Begründung des Beschäftigungsverhältnisses liegt etwa dann vor, wenn personenbezogene Daten, beispielsweise aus der Bewerbungsmappe, für die Durchführung eines Bewerbungsverfahrens verarbeitet werden. Hierbei ist darauf zu achten, dass nur eine Verarbeitung solcher Daten erfolgt, die für das Arbeitsverhältnis erforderlich sind. Eine Frage bezüglich einer möglichen Schwangerschaft wäre demnach etwa unzulässig. Ferner sollte stets eine Direkterhebung der erforderlichen Daten beim Bewerber vorgenommen werden und nicht aus einer dritten Quelle.
  • Eine Datenverarbeitung für die Durchführung des Beschäftigungsverhältnisses ist beispielsweise die Führung von Personalakten, das Verfassen von Arbeitsplänen oder auch die Durchführung von Arbeitssicherheitsmaßnahmen. Insbesondere bei der Führung von Personalakten ist darauf zu achten, dass keine unzulässige Vorratsdatenspeicherung stattfindet, sondern hier nur solche Daten abgelegt werden, die richtig und nicht leistungsfremd sind. Im Beschäftigungsverhältnis können dann auch besonders sensible Daten (Art. 9 DSGVO), wie Angaben über eine Schwangerschaft, verarbeitet werden, jedoch nur mit dem Zweck, den Verpflichtungen gemäß dem Mutterschutzgesetz nachzukommen.
  • Eine Datenverarbeitung für/nach Beendigung des Beschäftigungsverhältnisses liegt beispielsweise vor, wenn der Arbeitgeber eine Sozialauswahl gemäß § 1 KSchG treffen musste.

Neben der Erforderlichkeit der Datenverarbeitung für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses kann sich die Zulässigkeit einer Verarbeitung von personenbezogenen Daten auch aus der Einwilligung des Arbeitnehmers ergeben. Hierbei ist neben der Widerruflichkeit insbesondere auch auf die Umstände der Einwilligung zu achten.

Goldene Regel für den Arbeitnehmerdatenschutz

Der Arbeitnehmer muss über die Datenverarbeitung aufgeklärt/informiert sein.

Zudem muss die Einwilligung freiwillig erfolgen. An das Kriterium der Freiwilligkeit werden besondere Anforderungen gestellt, da grundsätzlich von einer gewissen „Über-/Unterordnung“ im Beschäftigungsverhältnis ausgegangen wird. Es ist daher stets eine Einzelfallbetrachtung erforderlich, bei der die konkreten Umstände sowie Vor- und Nachteile, die sich für den Arbeitnehmer aus der Verarbeitung seiner personenbezogenen Daten ergeben könnten, mit einbezogen werden.

Allgemeine datenschutzrechtliche Pflichten im Arbeitsverhältnis

Darüber hinaus sind, wie bereits eingangs erwähnt, die allgemeinen datenschutzrechtlichen Pflichten für den Verantwortlichen zu beachten.

So ist etwa nicht nur eine Datenschutzerklärung auf der Website erforderlich, um die Webseitenbesucher über die Verarbeitung ihrer personenbezogenen Daten auf der Website zu informieren, sondern vielmehr müssen auch die Beschäftigten über die Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext informiert werden. Hierbei gelten die Art. 13 ff. DSGVO.

Das bedeutet, dass der Arbeitgeber den Arbeitnehmer etwa darüber zu informieren hat, an welche Dritte (Art. 4 Nr. 10 DSGVO) seine Daten weitergegeben werden, wie lange eine Speicherung etwa in Systemen erfolgt und ob hierbei eine Übermittlung von personenbezogenen Daten in Drittländer (nicht EU oder EWR) stattfindet.

Arbeitnehmerdatenschutz: Das raten unsere Experten

Tipp: Grundsätzlich sollten Einwilligungen schriftlich festgehalten werden, um etwaigen Nachweispflichten nachkommen zu können. Das Gesetz verlangt in § 26 Abs. 2 S. 3 BDSG explizit die Einholung der Einwilligung in schriftlicher oder elektronischer Form, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.

Zuletzt ist eine Datenverarbeitung im Beschäftigungsverhältnis auf Grundlage von Kollektivvereinbarungen möglich, § 26 Abs. 4 S. 2 BDSG. Hierbei sind die Grundsätze der Verarbeitung gem. Art. 5 DSGVO zu wahren. Diese lauten: Rechtmäßigkeit der Verarbeitung, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.

3 heikle Verarbeitungen im Arbeitnehmerdatenschutz

Hier müssen Sie aufpassen: Im Beschäftigungsverhältnis gibt es typische Verarbeitungen von personenbezogenen Daten, auf deren Datenschutzkonformität ein Unternehmen besonders achten sollte.

Im Folgende einige Beispiele:

  • Videoüberwachung am Werksgelände: Bei einer Videoüberwachung am Werksgelände wird in das Recht am eigenen Bild eingegriffen. Daher gilt, dass eine permanente Überwachung der Mitarbeiter bei der Arbeit grundsätzlich nicht zulässig ist. Gleiches gilt auch für die heimliche Überwachung. Achten Sie daher, wenn eine Videoüberwachung am Werksgelände erforderlich ist, darauf, dass entsprechende Hinweisschilder angebracht sind, Sie nur gezielte und zulässige Bereiche überwachen und die Aufnahmen auch entsprechend gelöscht werden. (Achtung: geringe Speicherdauer) Außerdem ist in der Regel die vorherige Durchführung einer Datenschutz-Folgenabschätzung erforderlich.
  • Ortung von Beschäftigten: Auch die mögliche Ortung/Überwachung von Beschäftigten via GPS ist nur unter engen Voraussetzungen möglich (lesen Sie hierzu gerne unseren Artikel „Ist die umfassende GPS-Überwachung von Beschäftigten DSGVO-konform?“)
  • Private Nutzung der geschäftlichen E-Mail-Adresse: Obwohl fast jeder Arbeitnehmer über einen privaten E-Mail-Account verfügt, erlauben oder dulden noch immer Arbeitgeber die private Nutzung der geschäftlichen E-Mail-Accounts durch den Arbeitnehmer. Aus datenschutz- aber auch arbeitsrechtlicher Sicht ist hiervon dringend abzuraten. In der Praxis ergeben sich hieraus häufig rechtliche Probleme, wie etwa hinsichtlich des Umgangs mit dem Postfach eines ausgeschiedenen Mitarbeiters.

Arbeitnehmerdatenschutz: Oft ist professioneller Rat gefragt

Zahlreiche Fallstricke erwarten Arbeitgeber im Bereich des Datenschutzes. SECJUR unterstützt Sie hier gerne mit großer Expertise und der gehörigen Portion Pragmatismus.

Daniel Lösch

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

November 23, 2023
8 min
EU NIS2: Die NIS2 Richtlinie verändert, wie wir in der EU über Cybersicherheit nachdenken

Die NIS2 Richtlinie markiert einen entscheidenden Schritt der Stärkung der Cybersicherheit in der Europäischen Union. Angesichts steigender Cyberbedrohungen setzt sie klare Standards. Auf Unternehmen kommen erhebliche finanzielle Investitionen zu. Die Richtlinie fördert Zusammenarbeit zwischen Mitgliedstaaten, stärkt Resilienz und trägt zur Bewältigung großflächiger Cybersicherheitsvorfälle bei. Zugleich stehen der EU Herausforderungen bevor, die eine regelmäßige Anpassung der Cybersicherheitsstrategie erfordern.

Lesen
June 8, 2023
12 min
Geldwäschegesetz: So setzen Sie das GwG im Unternehmen praktisch um

Entdecken Sie in unserem neuesten Artikel „Geldwäschegesetz: So setzen Sie das GwG im Unternehmen praktisch um“ die essenzielle Bedeutung des Geldwäschegesetzes (GwG) im Kampf gegen Geldwäsche und Terrorismusfinanzierung. Erfahren Sie, wie Sie das GwG kosteneffizient umsetzen können und wie das Digital Compliance Office Sie dabei unterstützt. Lesen Sie weiter, um wertvolle Einblicke und praktische Tipps zur praktischen Umsetzung des GwG in Ihrem Unternehmen zu erhalten.

Lesen
June 2, 2023
6 min
Abmahnwelle von Noyb: Was steckt dahinter und wie sieht ein rechtskonformes Cookie-Banner aus?

Die Organisation Noyb („My Privacy is None of Your Business“) unter dem Vorsitz von Max Schrems startete Anfang 2021 eine Abmahnwelle gegenüber Unternehmen wegen datenschutzwidriger Cookie-Banner. Doch wie soll ein rechtskonformes Cookie-Banner eigentlich aussehen? Lesen Sie mehr Tipps zur Gestaltung Ihres Banners.

Lesen
TO TOP