Beitrag teilen
HOME
/
blog
/
Arbeitnehmerdatenschutz: Grundlagen, Rechte und heikle Verarbeitungen

Arbeitnehmerdatenschutz: Grundlagen, Rechte und heikle Verarbeitungen

Daniel Lösch

Senior Privacy Expert & Product Owner

November 6, 2023

10 min

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Key Takeaways

Die Verarbeitung persönlicher Daten von Arbeitnehmern erfordert eine rechtliche Grundlage gemäß § 26 BDSG.

Die Zustimmung des Arbeitnehmers kann die Zulässigkeit für die Datenverarbeitung bieten, jedoch muss diese Zustimmung freiwillig und aufgeklärt sein.

Arbeitgeber müssen ihre Mitarbeiter über die Verarbeitung ihrer persönlichen Daten informieren.

Heikle Bereiche wie Videoüberwachung, Mitarbeiterortung und private Nutzung von Geschäftsemails erfordern besondere Datenschutzmaßnahmen.

Was ist eigentlich der Arbeitnehmerdatenschutz?

In diesem Artikel lesen Sie:

  • wie der Arbeitnehmerdatenschutz definiert ist
  • welche rechtlichen Grundlagen dem Arbeitnehmerdatenschutz zugrunde liegen
  • welche datenschutzrechtlichen Pflichten in einem Arbeitsverhältnis gelten
  • welche goldene Regel im Arbeitnehmerdatenschutz gilt

Werden personenbezogene Daten eines Arbeitnehmers als betroffener Person (vgl. Art. 4 Nr. 1 DSGVO) von dem Arbeitgeber als Verantwortlichem (Art. 4 Nr. 7 DSGVO) verarbeitet, befinden wir uns in einem sehr spezifischen rechtlichen Verhältnis. In dieser Konstellation gilt der sogenannte Arbeitnehmerdatenschutz oder Beschäftigtendatenschutz.

Ein eigenständiges Gesetz wie etwa ein „Arbeitnehmerdatenschutzgesetz“, welches arbeitnehmerdatenschutzrechtliche Spezifika regelt, gibt es jedoch nicht. Vielmehr ergeben sich die datenschutzrechtlichen Regelungen für das Arbeitsverhältnis aus den allgemeinen Bestimmungen der DSGVO und des BDSG (Bundesdatenschutzgesetz) und werden durch verschiedene weitere – häufig nationale – Gesetze ergänzt.

Arbeitnehmerdatenschutz: Rechtliche Grundlagen für die Verarbeitung

Wie in jedem Bereich des Datenschutzes, so gilt auch beim Arbeitnehmerdatenschutz, dass wenn personenbezogene Daten eines Arbeitnehmers als betroffener Person (vgl. Art. 4 Nr. 1 DSGVO) von dem Arbeitgeber als Verantwortlichem (Art. 4 Nr. 7 DSGVO) verarbeitet werden, wir uns in einem sehr spezifischen rechtlichen Verhältnis befinden.

In dieser Konstellation gilt der sogenannte Arbeitnehmerdatenschutz und es bedarf einer rechtlichen Grundlage für die Verarbeitung personenbezogener Daten. Über die bereichsspezifische Öffnungsklausel des Art. 88 DSGVO gelangt man zu § 26 BDSG, einer sehr wichtigen Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen von Arbeitsverhältnissen.

Dem Grundsatz nach darf der Arbeitgeber personenbezogene Daten der Arbeitnehmer verarbeiten, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist (§ 26 Abs. 1 S. 1 BDSG).

  • Eine Datenverarbeitung für die Begründung des Beschäftigungsverhältnisses liegt etwa dann vor, wenn personenbezogene Daten, beispielsweise aus der Bewerbungsmappe, für die Durchführung eines Bewerbungsverfahrens verarbeitet werden. Hierbei ist darauf zu achten, dass nur eine Verarbeitung solcher Daten erfolgt, die für das Arbeitsverhältnis erforderlich sind. Eine Frage bezüglich einer möglichen Schwangerschaft wäre demnach etwa unzulässig. Ferner sollte stets eine Direkterhebung der erforderlichen Daten beim Bewerber vorgenommen werden und nicht aus einer dritten Quelle.
  • Eine Datenverarbeitung für die Durchführung des Beschäftigungsverhältnisses ist beispielsweise die Führung von Personalakten, das Verfassen von Arbeitsplänen oder auch die Durchführung von Arbeitssicherheitsmaßnahmen. Insbesondere bei der Führung von Personalakten ist darauf zu achten, dass keine unzulässige Vorratsdatenspeicherung stattfindet, sondern hier nur solche Daten abgelegt werden, die richtig und nicht leistungsfremd sind. Im Beschäftigungsverhältnis können dann auch besonders sensible Daten (Art. 9 DSGVO), wie Angaben über eine Schwangerschaft, verarbeitet werden, jedoch nur mit dem Zweck, den Verpflichtungen gemäß dem Mutterschutzgesetz nachzukommen.
  • Eine Datenverarbeitung für/nach Beendigung des Beschäftigungsverhältnisses liegt beispielsweise vor, wenn der Arbeitgeber eine Sozialauswahl gemäß § 1 KSchG treffen musste.

Neben der Erforderlichkeit der Datenverarbeitung für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses kann sich die Zulässigkeit einer Verarbeitung von personenbezogenen Daten auch aus der Einwilligung des Arbeitnehmers ergeben. Hierbei ist neben der Widerruflichkeit insbesondere auch auf die Umstände der Einwilligung zu achten.

Goldene Regel für den Arbeitnehmerdatenschutz

Der Arbeitnehmer muss über die Datenverarbeitung aufgeklärt/informiert sein.

Zudem muss die Einwilligung freiwillig erfolgen. An das Kriterium der Freiwilligkeit werden besondere Anforderungen gestellt, da grundsätzlich von einer gewissen „Über-/Unterordnung“ im Beschäftigungsverhältnis ausgegangen wird. Es ist daher stets eine Einzelfallbetrachtung erforderlich, bei der die konkreten Umstände sowie Vor- und Nachteile, die sich für den Arbeitnehmer aus der Verarbeitung seiner personenbezogenen Daten ergeben könnten, mit einbezogen werden.

Allgemeine datenschutzrechtliche Pflichten im Arbeitsverhältnis

Darüber hinaus sind, wie bereits eingangs erwähnt, die allgemeinen datenschutzrechtlichen Pflichten für den Verantwortlichen zu beachten.

So ist etwa nicht nur eine Datenschutzerklärung auf der Website erforderlich, um die Webseitenbesucher über die Verarbeitung ihrer personenbezogenen Daten auf der Website zu informieren, sondern vielmehr müssen auch die Beschäftigten über die Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext informiert werden. Hierbei gelten die Art. 13 ff. DSGVO.

Das bedeutet, dass der Arbeitgeber den Arbeitnehmer etwa darüber zu informieren hat, an welche Dritte (Art. 4 Nr. 10 DSGVO) seine Daten weitergegeben werden, wie lange eine Speicherung etwa in Systemen erfolgt und ob hierbei eine Übermittlung von personenbezogenen Daten in Drittländer (nicht EU oder EWR) stattfindet.

Arbeitnehmerdatenschutz: Das raten unsere Experten

Tipp: Grundsätzlich sollten Einwilligungen schriftlich festgehalten werden, um etwaigen Nachweispflichten nachkommen zu können. Das Gesetz verlangt in § 26 Abs. 2 S. 3 BDSG explizit die Einholung der Einwilligung in schriftlicher oder elektronischer Form, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.

Zuletzt ist eine Datenverarbeitung im Beschäftigungsverhältnis auf Grundlage von Kollektivvereinbarungen möglich, § 26 Abs. 4 S. 2 BDSG. Hierbei sind die Grundsätze der Verarbeitung gem. Art. 5 DSGVO zu wahren. Diese lauten: Rechtmäßigkeit der Verarbeitung, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.

3 heikle Verarbeitungen im Arbeitnehmerdatenschutz

Hier müssen Sie aufpassen: Im Beschäftigungsverhältnis gibt es typische Verarbeitungen von personenbezogenen Daten, auf deren Datenschutzkonformität ein Unternehmen besonders achten sollte.

Im Folgende einige Beispiele:

  • Videoüberwachung am Werksgelände: Bei einer Videoüberwachung am Werksgelände wird in das Recht am eigenen Bild eingegriffen. Daher gilt, dass eine permanente Überwachung der Mitarbeiter bei der Arbeit grundsätzlich nicht zulässig ist. Gleiches gilt auch für die heimliche Überwachung. Achten Sie daher, wenn eine Videoüberwachung am Werksgelände erforderlich ist, darauf, dass entsprechende Hinweisschilder angebracht sind, Sie nur gezielte und zulässige Bereiche überwachen und die Aufnahmen auch entsprechend gelöscht werden. (Achtung: geringe Speicherdauer) Außerdem ist in der Regel die vorherige Durchführung einer Datenschutz-Folgenabschätzung erforderlich.
  • Ortung von Beschäftigten: Auch die mögliche Ortung/Überwachung von Beschäftigten via GPS ist nur unter engen Voraussetzungen möglich (lesen Sie hierzu gerne unseren Artikel „Ist die umfassende GPS-Überwachung von Beschäftigten DSGVO-konform?“)
  • Private Nutzung der geschäftlichen E-Mail-Adresse: Obwohl fast jeder Arbeitnehmer über einen privaten E-Mail-Account verfügt, erlauben oder dulden noch immer Arbeitgeber die private Nutzung der geschäftlichen E-Mail-Accounts durch den Arbeitnehmer. Aus datenschutz- aber auch arbeitsrechtlicher Sicht ist hiervon dringend abzuraten. In der Praxis ergeben sich hieraus häufig rechtliche Probleme, wie etwa hinsichtlich des Umgangs mit dem Postfach eines ausgeschiedenen Mitarbeiters.

Arbeitnehmerdatenschutz: Oft ist professioneller Rat gefragt

Zahlreiche Fallstricke erwarten Arbeitgeber im Bereich des Datenschutzes. SECJUR unterstützt Sie hier gerne mit großer Expertise und der gehörigen Portion Pragmatismus.

Daniel Lösch

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

October 11, 2023
7 min
NIS2 Deutschland: Wie beeinflusst die NIS2 Richtlinie deutsche Unternehmen?

Erfahren Sie, warum die Cybersicherheit in Deutschland an Bedeutung gewinnt, welche Rolle das IT-Sicherheitsgesetz und NIS2 dabei spielen und wie Unternehmen von der NIS2 Umsetzung betroffen sind. Mit steigenden Cyberkriminalitätsfällen und der NIS2 Richtlinie vor der Tür, stehen deutsche Unternehmen vor neuen Herausforderungen. Die Bedrohung im Cyber-Raum erreicht einen Höchststand, und Ransomware bleibt eine ernsthafte Gefahr. Die NIS2 Umsetzung in Deutschland verspricht, die Cybersicherheit zu stärken, erfordert aber gründliche Prüfungen und Anpassungen seitens der Unternehmen. Informieren Sie sich über die aktuellen Entwicklungen und die Auswirkungen auf die deutsche Wirtschaft.

Lesen
August 25, 2023
12 min
Datenschutzgesetz Schweiz: Was Unternehmen jetzt tun müssen

Mit dem kürzlich überarbeiteten Datenschutzgesetz (DSG) steht die Schweizer Geschäftswelt vor neuen Herausforderungen. In diesem informativen Artikel werfen wir einen Blick auf die sich ergebenden Verpflichtungen und beleuchten die wesentlichen Unterschiede zwischen dem revidierten DSG und der DSGVO. Besonders markant ist die Einführung der persönlichen strafrechtlichen Haftung, die zur Folge hat, dass nicht nur Unternehmen, sondern auch Privatpersonen bei Verstößen gegen das DSG zur Rechenschaft gezogen werden können. Unser Rechtsexperte Simon Pentzien gibt wertvolle Empfehlungen zur reibungslosen Umsetzung.

Lesen
June 5, 2023
Deutsche Unternehmen fürchten das Datenschutz-Risiko

In den vergangenen zwei Jahren waren Verstöße gegen Datenschutzbestimmungen für nur 6 % der Befragten überhaupt relevant. Dies wird sich in den kommenden Jahren erheblich ändern. So sehen es zumindest die fast 200 befragten Entscheider aus Unternehmen ab 250 Mitarbeitern, die an der Studie „Crisis Management“ der Kanzlei Noerr teilnahmen.

Lesen
TO TOP