Datenschutz am Arbeitsplatz – was Unternehmen wissen müssen
Unternehmen sammeln und speichern personenbezogene Daten von Mitarbeiter:innen zu verschiedenen Zwecken – ohne diese Daten wäre es gar nicht möglich, ein Arbeitsverhältnis zu beginnen. Umso wichtiger ist der Datenschutz am Arbeitsplatz. Dieser Artikel gibt Ihnen einen Überblick über Regelungen, Pflichten und Maßnahmen in diesem Bereich.
Checkliste “Datenschutzanforderungen an HR” hier herunterladen.Was bedeutet Datenschutz für Mitarbeitende und Arbeitgeber?
Mit der Einführung der EU-weiten Datenschutzgrundverordnung (DSGVO) 2018 ist Datenschutz längst kein Thema mehr, das nur bei Datenlecks oder -klau auf den Tisch kommt. Die DSGVO brachte Datenschutz bei Unternehmen und in der breiten Öffentlichkeit aufs Tableau.
Worum geht es in der DSGVO? Sie vereinheitlicht die Regeln, wie Unternehmen und Behörden personenbezogene Daten sammeln und verarbeiten dürfen. Und das betrifft auch Daten, die am Arbeitsplatz erhoben werden.
Schon damit ein Arbeitsverhältnis entstehen kann, brauchen Firmen Daten von ihren künftigen Mitarbeiter:innen. Solche personenbezogene Daten dürfen nur verarbeitet werden, wenn es bestimmte Gründe gibt, die das rechtfertigen, oder wenn die betroffene Person eindeutig zugestimmt hat. So ein spezieller Grund ist laut DSGVO beispielsweise die Erstellung oder der Abschluss eines Vertrags – also auch eines Arbeitsvertrags.
Was müssen speziell Arbeitgeber beim Datenschutz am Arbeitsplatz bedenken?
Sie dürfen generell Daten ihrer Angestellten sammeln, verarbeiten und nutzen, wenn sie diese benötigen, um das Arbeitsverhältnis aufzunehmen, durchzuführen oder zu beenden. Diese Daten sind aber zweckgebunden. Das bedeutet, dass sie nur für den Zweck genutzt werden dürfen, für den sie erhoben wurden. Außerdem dürfen sie nur so viele Daten sammeln, wie für den jeweiligen Zweck nötig (Stichwort Datensparsamkeit).
Und was bedeutet es für Arbeitnehmer:innen? Wenn sie Daten verarbeiten, beispielsweise Mitarbeiter:innen im HR oder Kundenservice, müssen sie sich auch an die geltenden Datenschutzgrundsätze halten. Dazu müssen sie regelmäßig eine Schulung zum Thema Datenschutz absolvieren. Außerdem muss das Unternehmen sie über das Datengeheimnis belehren.
Welche Daten dürfen Arbeitgeber erheben?
Eine der häufigsten Fragen zum Datenschutz am Arbeitsplatz ist, welche Daten Unternehmen überhaupt von ihren Mitarbeiter:innen erheben dürfen.
Grundsätzlich sind dies nur Daten, die unbedingt für das Beschäftigungsverhältnis notwendig sind. Das sind personenbezogene Daten wie
Name
Geburtsdatum
Adresse
Staatsangehörigkeit
Kontoverbindung
Steuerinformationen wie Steuerklasse und -ID
Konfession (nötig zur Lohnabrechnung; engl.: Payroll)
Lebenslauf
In welchen Fällen dürfen Arbeitgeber diese Daten verarbeiten?
Damit Unternehmen entsprechende Daten erheben und nutzen können, muss eine der folgenden Voraussetzungen gegeben sein:
Sie sind gesetzlich dazu ermächtigt Daten, die nötig sind, um Personen einzustellen, ein Arbeitsverhältnis durchzuführen oder zu beenden sowie die Interessen von Arbeitnehmer:innen zu vertreten, dürfen Unternehmen nach Bundesdatenschutzgesetz (§ 26 BDSG) ohne Einwilligung der Mitarbeiter:innen verarbeiten. Das trifft auf die oben genannten Daten zu.
Die Angestellten haben eingewilligt Wenn Firmen darüber hinaus noch weitere Daten erfragen wollen, brauchen sie die Zustimmung der Arbeitnehmer:innen, beispielsweise über eine Betriebsvereinbarung. Die betroffenen Personen müssen freiwillig und schriftlich einwilligen.
Arbeitgeber müssen ihre Mitarbeiter:innen dann ausreichend darüber informieren, dass sie Daten verarbeiten, also:
welche Daten
in welchem Umfang
von wem
und zu welchem Zweck.
Das können die Beschäftigten zum Beispiel im Arbeitsvertrag oder in einem gesonderten Infoschreiben machen. Daraus muss auch hervorgehen, dass die Arbeitnehmer:innen ihre Einwilligung widerrufen können.
Beispiele: Was darf der Arbeitgeber noch erheben und was nicht?
Betriebe dürfen die Stammdaten von Mitarbeiter:innen erheben und speichern.
Arbeitszeiten können gespeichert werden.
Sie dürfen Krankheitstage aufnehmen und Atteste zur Krankschreibung verarbeiten, denn es liegt ein berechtigtes Interesse aufgrund der Lohnfortzahlung im Krankheitsfall vor. Gesundheitsdaten müssen jedoch besonders geschützt werden und dürfen nur dem den HR-Verantwortlichen und der direkten Führungskraft bekannt sein.
In Vorstellungsgesprächen dürfen Unternehmensvertreter nicht nach unzulässigen Daten wie Erkrankungen oder der sexuellen Orientierung fragen. Wie es darüber hinaus in Sachen Speicherung von Bewerberdaten aussieht, haben wir in diesem Artikel zusammengefasst.
Keylogger, die die Eingaben über die Tastatur speichern, sind nicht zulässig.
Unternehmen dürfen ihre Belegschaft nicht ohne ihre Zustimmung und ein berechtigtes Interesse kontrollieren. Beispielsweise dürfen sie keine generelle Videoüberwachung im Büro durchführen, ohne dass ein Verdacht für eine Straftat vorliegt. Nur wenn tatsächlich ein sog. verdachtsbezogener Anhaltspunkt gegeben ist, sind sie berechtigt, Daten zu erheben, die eine Straftat oder ein dienstliches Vergehen aufklären können.
Dürfen Unternehmen Mitarbeiterdaten an Dritte weitergeben?
Unternehmen leiten die erhobenen Daten oft an Lohnbuchhaltungsbüros oder Steuerberatungskanzleien weiter, die Lohn- und Gehaltsabrechnungen erstellen. Hier ist aber ein Auftragsverarbeitungsvertrag nötig. Zudem muss der Datentransfer DSGVO-konform erfolgen.
Welche Aspekte des Datenschutzes sind im Arbeitsbereich zu beachten?
Hinsichtlich Datenschutz am Arbeitsplatz gibt es darüber hinaus noch weitere Aspekte, die Unternehmen beachten müssen – bspw. Maßnahmen, die sie treffen müssen, oder Rechte, die ihre Angestellten haben.
Die Position des Datenschutzbeauftragten
Wenn mind. 20 Personen regelmäßig Tätigkeiten im Bereich Datenverarbeitung haben, müssen Unternehmen eine oder einen Datenschutzbeauftragte:n bestimmen (§ 38 BDSG). Diese Person überwacht die datenschutzrechtlichen Pflichten des Unternehmens, klärt über Pflichten im Bereich Datenschutz auf und ist in diesem Bereich Ansprechpartner:in für Mitarbeiter:innen, das Unternehmen selbst und Behörden. Sowohl Angestellte als auch externe Dienstleister können Datenschutzbeauftragte sein.
Sichere Datenspeicherung
Damit die Daten der Mitarbeiter:innen adäquat geschützt sind, müssen Arbeitgeber sie sicher speichern und vor unberechtigter Speicherung, Nutzung und Übermittlung schützen. Das bedeutet, dass sie genau regeln müssen, wer Zugangsrechte zu den Daten hat. Außerdem müssen Unternehmen eine Sicherheitssoftware nutzen, die vor Zugriff von außen schützt – das betrifft übrigens auch die Systeme Dritter (bspw. Server).
Informationspflichten
Unternehmen haben gegenüber ihren Mitarbeiter:innen umfangreiche Informationspflichten hinsichtlich der Erhebung und Nutzung von personenbezogenen Daten. Sie müssen ihnen beispielsweise mitteilen:
wie die oder der Datenschutzbeauftragte erreicht werden kann,
zu welchen Zwecken ihre Daten erhoben und verarbeitet werden und auf welcher Rechtsgrundlage dies passiert,
wer Einsicht in diese Daten hat,
ob die Daten ggf. an Dritte weitergegeben werden,
wie lange die Daten gespeichert werden,
welche Rechte sie als Arbeitnehmer:innen haben.
Hier erfahren Sie mehr über die Rechte der Mitarbeiter:innen in Sachen Datenschutz.
Dokumentations- und Meldepflichten
Welche Daten wie verarbeitet werden, müssen Unternehmen genau dokumentieren. Falls der Schutz der gespeicherten Daten verletzt wird, müssen sie sowohl Aufsichtsbehörden als auch die betroffenen Mitarbeiter:innen informieren (Art. 33 DSGVO & Art. 34 DSGVO).
Was passiert, wenn Mitarbeiter:innen gegen den Datenschutz am Arbeitsplatz verstoßen?
Wenn Mitarbeiter:innen gegen den Datenschutz verstoßen, haftet der Arbeitgeber, da er in diesem Moment der Verantwortliche ist. Aber: Bei grob fahrlässiger oder vorsätzlicher Handlung kann auch die betroffene Person haftbar gemacht werden.
