Arbeitnehmerdatenschutz: Definition, Rechte, Sicherheit

Der Arbeitnehmerdatenschutz ist ein besonderer Bereich im Datenschutz und sichert die Persönlichkeitsrechte von Beschäftigten sowie deren Recht auf informationelle Selbstbestimmung im Rahmen eines Arbeitsverhältnisses. Jedes Unternehmen – egal, wie viele Mitarbeitende es hat – muss das Thema Arbeitnehmerdatenschutz, auch Beschäftigtendatenschutz genannt, gesetzeskonform umsetzen, um vor Datenmissbrauch zu schützen.

Der Arbeitnehmerdatenschutz ist ein Balanceakt zwischen dem Recht auf informationelle Selbstbestimmung der Beschäftigten einerseits und dem berechtigten betrieblichen Informationsinteresse des Unternehmens andererseits. Das zeigt sich u.a. daran, dass das Thema Datenschutz im Zusammenhang mit (heimlichen) Kontroll- und Überwachungsmaßnahmen durch den Arbeitgeber oft zu Konflikten und im schlimmsten Fall auch zu massiven Bußgeldverfahren führt. Klare Rechtsgrundlagen für die Themen Kontrolle und Überwachung im Rahmen des Datenschutzes fehlen aktuell in Deutschland.

Momentan bildet vor allem § 26 des Bundesdatenschutzgesetzes (BDSG) die rechtliche Grundlage für den Arbeitnehmerdatenschutz in Sachen personenbezogene Daten. Besonders die Pflichten des Arbeitgebers sind hier detailliert verarbeitet. Aber auch die Regelungen der Datenschutzgrundverordnung (DSGVO) haben einen direkten Bezug zum Arbeitnehmerdatenschutz.

Personenbezogene Daten und DSGVO-Regeln

Im August 2023 ließ die Bundesregierung verlauten, dass bald ein eigenständigen Gesetzes zum Beschäftigtendatenschutz geschaffen werden soll. Ziel ist dabei ein optimierter Schutz bei Kontrolle, Auswahl und Überwachung von Arbeitnehmer:innen. Die Verarbeitung personenbezogener Mitarbeiterdaten soll in diesem Gesetz deutlich strenger reguliert werden und die aktuelle Regelung aus § 26 BDSG ersetzen. 

Ersten Informationen zufolge sollen Unternehmen dann u.a. keine lückenlose Erfassung von Leistungs- und Bewegungsprofilen vornehmen dürfen. Weiterhin steht die Künstliche Intelligenz (KI) und deren Einsatz bei Recruiting etc. im Mittelpunkt der Gesetzesinitiative. So soll KI beispielsweise keine Persönlichkeitsmerkmale von Kandidat:innen etwa aus Bewerbungsvideos auslesen dürfen.

Diese Entwicklungen zeigen, dass der Arbeitnehmerdatenschutz insbesondere durch die Digitalisierung stärker in den Fokus rücken muss, auch im Hinblick auf eine wachsende Mobilität im Arbeitsleben.

Checkliste: Alles zum Datenschutz im HR

Personaler:innen sind die Wächter über Mitarbeiterdaten und tragen damit eine hohe Verantwortung. Diese Checkliste enthält alles, was Sie zur Organisation und der technischen Infrastruktur wissen müssen.

Jetzt Checkliste herunterladen

Das BDSG gibt keine Details zu den Rechten der Arbeitnehmenden in Sachen Arbeitnehmerdatenschutz an. Deren Rechte ergeben sich vielmehr aus den eindeutigen Pflichten des Arbeitgebers in diesem Zusammenhang.

Personenbezogene Daten von Arbeitnehmer:innen dürfen von Unternehmen nur dann erfasst, gespeichert und verarbeitet werden, wenn eine Rechtsgrundlage dafür besteht oder die Mitarbeitenden dem Vorgang zugestimmt haben, z. B. im Arbeitsvertrag.

Beschäftigte müssen ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten dem Arbeitgeber gegenüber schriftlich und vor allem freiwillig erteilen. „Freiwillig“ ist diese Einwilligung, wenn „der Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erhält oder wenn Arbeitgeber und Beschäftigte gleichberechtigte Interessen verfolgen“ (§ 26 BDSG).

Weiterhin haben Beschäftigte das allgemeine Recht auf Auskunft zu den verarbeiteten sowie das Recht auf Korrektur und Löschung bzw. Sperrung falscher bzw. veralteter Daten in ihrer Personalakte. Erfasst ein Arbeitgeber personenbezogene Daten zu erbrachten Leistungen oder Verhalten, haben Beschäftigte das Recht, auch diese Daten einzusehen bzw. zu erhalten. 

Die personenbezogenen Daten von Mitarbeitenden werden in der Personalakte erfasst. Sind diese Akten noch analog, muss das Unternehmen sie unter Verschluss halten. Nur berechtigte Personen haben den Zugriff. Verwenden Unternehmen eine digitale Personalakte, muss geregelt sein, dass diese über die Vergabe von Nutzungsrechten nur entsprechend berechtigten Personen zugänglich ist.

Scheiden Mitarbeitende aus dem Unternehmen aus, müssen Gehaltsunterlagen nach sechs Jahren (bei für die Gewinnermittlung relevanten Unterlagen erst nach zehn Jahren) gelöscht werden.

In § 26 BDSG ist festgelegt, dass Unternehmen nicht einfach x-beliebige Daten ihrer Mitarbeitenden speichern und verarbeiten dürfen. Sie sind beschränkt auf jene personenbezogenen Daten, die zur Aufnahme, Durchführung und auch Beendigung eines Arbeitsverhältnisses erforderlich sind. Personenbezogen sind Daten immer dann, wenn sich darüber eine direkte und konkrete Verbindung zu einem Menschen herstellen lässt.

Personenbezogene Daten im Arbeitsverhältnis oder personenbezogene Beschäftigungsdaten sind

• Vorname und Name

• Anschrift

• Geburtsdatum

• Staatsangehörigkeit

• Personalnummer/Stammnummer

• Entgeltregelung

• Bankverbindung

• Sozialversicherungsnummer

• Steueridentifikationsnummer

• Evtl. erteilte Abmahnungen

• Beurteilungen

• (Zwischen)Zeugnisse

• Informationen zu Ausbildung und beruflicher Qualifikation

Damit Unternehmen diese Arbeitnehmerdaten erheben dürfen, bedarf es einer eindeutigen Rechtsgrundlage. Auch Tarifverträge, Betriebsvereinbarungen können laut BDSG gültige Rechtsgrundlagen für die Speicherung und Verarbeitung personenbezogener Arbeitnehmerdaten sein.

Datenschutz am Arbeitsplatz – was Unternehmen wissen müssen

Dokumente sollten leicht auffindbar sein

Speichern Sie Dokumente wie formale Richtlinien oder Beurteilungen der psychischen Gesundheit in einer digitalen Mitarbeiterakte und stellen Sie sicher, dass alle Daten bei Bedarf zur Hand sind.

Hier mehr erfahren

Verstöße gegen den Datenschutz sind kein Kavaliersdelikt. Insbesondere im Rahmen der zunehmenden Digitalisierung werden personenbezogene Daten, ihre sichere Speicherung und eine gesetzeskonforme Verarbeitung immer wichtiger für Unternehmen. Und Verstöße oder Missbrauch können für Unternehmen teuer werden.

Alle Infos zu Aufbewahrungspflichten und -fristen erhalten Sie in diesem Artikel.

Im BDSG (§ 41 bis 43) sind Bußgeld- und Strafvorschriften detailliert dargestellt. Hier die wichtigsten.

• Bis zu 50.000 Euro Bußgeld pro Fall werden fällig bei Verstößen gegen Auskunftspflicht und nicht rechtzeitige Informationen der Betroffenen

• Die wissentliche, unberechtigte und gewerbsmäßige Weitergabe von personenbezogenen Daten kann mit Geldstrafen oder einer Freiheitsstrafe bis zu drei Jahren ergeben.

In § 83 DSGVO sind weitere Strafen bei Verstößen gegen den Datenschutz festgehalten. Geldbußen bis zu 20 Millionen Euro oder bis zu 4 Prozent des globalen Umsatzes eines Unternehmens können fällig werden.

Verstöße gegen den Datenschutz können beim zuständigen Datenschutzbeauftragten gemeldet werden. 

Personenbezogene Daten korrekt löschen – so geht’s

Arbeitnehmerdatenschutz beginnt schon vor der Einstellung. Was heißt das? Auch Kandidat:innen, die sich bei Ihrem Unternehmen bewerben, sind laut BDSG bereits „Beschäftigte“. Achten Sie deshalb unbedingt bereits im Recruiting-Prozess darauf, dass Sie ausschließlich jene Daten von Bewerber:innen speichern und verarbeiten, die für die Stellenauswahl Relevanz besitzen.

Stellen Sie im Jobinterview nur Fragen, die sich auf die konkrete Stelle und deren Besetzung beziehen. Dies können z. B. Fragen rund um die berufliche Qualifikation, berufliche Erfahrungen oder auch Fragen zu eingereichten Arbeitszeugnissen sein. Schwieriger wird es, wenn Fragen zur körperlichen oder psychischen Gesundheit gestellt werden sollen. Denn diese müssen einen direkten Bezug zur ausgeschriebenen Position aufweisen. Wenn es beispielsweise um eine Position in einem Sicherheitsunternehmen geht, ist die Frage nach einer eventuellen Vorstrafe also durchaus legitim. Antworten der Bewerber:innen dürfen in der Personalakte festgehalten werden.

HR muss die Unterlagen und Daten von Bewerber:innen maximal sechs Monate nach Erhalt löschen. Sie können nur dann länger gespeichert bleiben, wenn die Bewerber:innen ihre explizite Einwilligung dazu gegeben haben, etwa, um über interessante Positionen direkt informiert werden zu können.

Datenschutz in HR – so machen Sie’s richtig!

Während der Dauer der Beschäftigung darf das Unternehmen Mitarbeiterdaten auch an externe Lohnbüros oder Steuerberatungskanzleien weitergeben. Voraussetzung dafür ist, dass mit diesen Dienstleistern eine Auftragsverarbeitungs-Vereinbarung abgeschlossen wurde.

Personenbezogene Daten, die über die für das Arbeitsverhältnis benötigten Informationen hinausgehen, verlangen nach einer freiwilligen Einwilligung der Mitarbeitenden. Beispiel: Sie möchten für Ihr Employer Branding die Fotos von zwei Kolleg:innen über die Social Media-Kanäle Ihres Unternehmens posten. Holen Sie sich hierfür unbedingt eine schriftliche Einwilligungserklärung der betroffenen Personen ein und legen Sie diese als Nachweis ab.

Wichtig: HR muss seine Beschäftigten immer über den Zweck der Datenverarbeitung und auch über ihr Widerrufsrecht schriftlich, z. B. im Arbeitsvertrag, aufklären. Zu Beginn des Beschäftigungsverhältnisses wird im Rahmen der Einstellung auch eine Datenschutzerklärung von den Mitarbeitenden unterschrieben. Diese regelt im Normalfall weiterhin auch den Umgang mit Kundendaten und auch Verschwiegenheitspflichten und den Umgang mit Betriebsgeheimnissen.

Der Arbeitnehmerdatenschutz kommt auch dann ins Spiel, wenn Unternehmen ihre Mitarbeitenden anhand von Videoaufzeichnungen am Arbeitsplatz kontrollieren. Dies ist laut BDSG nicht zulässig. Gleiches gilt auch für das Abhören von Telefongesprächen über Diensthandy oder Festnetz sowie für das Mitlesen von Mails oder Messenger-Diensten auf dem Arbeitslaptop oder Arbeitstablet. Informieren Sie als HR Ihre Mitarbeitenden unbedingt darüber, dass die private Nutzung dieser Arbeitsgeräte untersagt ist (wenn das Ihre Unternehmensregel ist). Bei Missbrauch der Arbeitsgeräte kann den Mitarbeitenden eine Abmahnung ausgesprochen werden.

Die Digitalisierung bringt die HR-Arbeit auf ein neues Level. Achten Sie darauf, dass die Speicherung und Verarbeitung personenbezogener Daten in der digitalen Personalakte Ihrer HR-Software auf jeden Fall den Vorgaben des BSDG und auch der DSGVO folgt. Bei einigen Anbietern profitieren Sie davon, dass die Software bei gesetzlichen Neuerungen entsprechend angepasst wird und Sie als HR immer auf dem aktuellen Stand in Sachen Arbeitnehmerdatenschutz sind.

In Sachen Arbeitnehmerdatenschutz spielt der Datenschutzbeauftragte eines Unternehmens eine zentrale Rolle. Er ist eine unabhängige und weisungsfreie Kontaktperson für alle Seiten – den Arbeitgeber, die Mitarbeitenden, den Betriebsrat (falls vorhanden), Kunden und externe Dienstleister. Das Unternehmen ist verpflichtet, die Kontaktdaten des Datenschutzbeauftragten an die Aufsichtsbehörde zu melden.

Zu den Hauptaufgaben eines Datenschutzbeauftragten zählen die Beratung und Unterrichtung der für den Datenschutz eines Unternehmens verantwortlichen Personen. Dafür benötigt der Datenschutzbeauftragte ein breites und tiefes Fachwissen. Er trifft keine datenschutzbezogenen Entscheidungen und ist demnach auch nicht verantwortlich für die Einhaltung unternehmerischer Pflichten in puncto Datenschutz. Er spricht Empfehlungen zum Thema Datenschutz im Unternehmen aus.

Neben Beratung und Unterrichtung des Unternehmens ist er gleichzeitig Ansprechpartner der zuständigen Aufsichtsbehörde für Datenschutz. Er überwacht in dieser Funktion, ob das Unternehmen die datenschutzrechtlichen Vorschriften einhält. So überprüft er z. B., ob wichtige Zuständigkeiten zugewiesen wurden, ob die Mitarbeitenden entsprechend fachlich geschult sind. In der praktischen Arbeit sollten Datenschutzbeauftragte auch vor Ort Kontrollen durchführen und diese entsprechend dokumentieren.

Da die Arbeit des Datenschutzbeauftragten umfangreich, komplex und herausfordernd ist, greifen viele Unternehmen auf externe Datenschutzbeauftragte wie z.B. Anwaltskanzleien zurück.