Beschäftigtendatenschutz

personenbezogene Daten von Beschäftigten
Stand: August 2017

I. Beschäftigtendatenschutz

  1. Beschäftigtendatenschutz
    1. Was ist bisher erlaubt?
    2. Was ändert sich durch die DS-GVO?
    3. Was müssen Arbeitgeber bei der Datenverarbeitung beachten?
    4. Welche Besonderheiten sind bei der Einwilligung von Beschäftigten zu beachten?
    5. Praxisbeispiele zum Beschäftigtendatenschutz
  2. Unsere Leistung für Sie

Ist die Überwachung meines Arbeitsplatzes zulässig? Wer darf meine erfassten Arbeitszeiten einsehen? Inwieweit darf ich mein betriebliches Handy auch privat nutzen? Was passiert mit meinen E-Mails nach Beendigung meines Arbeitsverhältnisses? Mit Begründung, Durchführung und Beendigung von Arbeitsverhältnissen gehen eine Vielzahl datenschutzrechtlicher Probleme einher, deren Umsetzung und Einhaltung nicht nur Aufgabe des Arbeitgebers ist, sondern auch zu den Arbeitnehmerpflichten zählt. Mit der neuen EU-Datenschutzgrundverordnung (DSGVO), die zum 25.05.2018 im gesamten EU-Beitrittsgebiet verbindlich wirksam wird, wird auch der Beschäftigtendatenschutz eine neue Rechtsgrundlage finden, denn der deutsche Gesetzgeber hat bereits von der Öffnungsklausel in Art. 88 DSGVO Gebrauch gemacht und eine neue Regelung zum Beschäftigtendatenschutz im neuen Bundesdatenschutzschutzgesetz (BDSG-neu) geschaffen. Wir geben Ihnen bereits vorab einen Überblick, welche wichtigen Neuerungen auf Sie zukommen.

1. Was ist bisher erlaubt?

Der Beschäftigtendatenschutz ist derzeit noch in § 32 BDSG (2003) geregelt. Danach ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten von Beschäftigten erlaubt, wenn:

  • dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist und/oder

  • wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat und das schutzwürdige Interesse des Beschäftigten nicht überwiegt.

Die Verarbeitung von Beschäftigtendaten bedarf insoweit stets einer umfassenden Abwägung im Einzelfall zwischen den berechtigten Interessen des Arbeitgebers und den schutzwürdigen Interessen des Beschäftigten (BAG Urt. v. 03.06.2003).

2. Was ändert sich durch die DS-GVO?

Gemäß Art. 88 Abs. 1 und 2 DSGVO haben die Mitgliedsstaaten der EU den Auftrag, im nationalen Recht Regelungen zum Beschäftigtendatenschutz zu treffen, die insbesondere im Hinblick auf die Transparenz der Verarbeitung und die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe den Schutz der menschlichen Würde, die berechtigten Interessen und die Grundrechte der Beschäftigten angemessen berücksichtigen sollen.

Der deutsche Gesetzgeber hat von der Öffnungsklausel bereits Gebrauch und gemacht und mit § 26 BDSG-neu sich im Wesentlichen an der bisherigen Regelungen des § 32 BDSG-2003 orientiert. Neu hinzugekommen ist allerdings die Erlaubnis, personenbezogene Daten der Beschäftigten für Zwecke des Beschäftigungsverhältnisses auch dann verarbeiten zu dürfen, wenn

  • dies zur Erfüllung oder Ausübung von sich aus Gesetz, Tarifvertrag oder Betriebsvereinbarung (Kollektivvereinbarung) ergebenden Rechten und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist und/oder

  • dies zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt

  • der Beschäftigte in die Verarbeitung einwilligt.

Auch wurde der Anwendungsbereich des Beschäftigtendatenschutzes erweitert. Neben den klassischen Arbeitnehmern zählen nunmehr gemäß § 26 Abs. 8 BDSG-neu ausdrücklich auch Leiharbeiter, Heimarbeiter, Auszubildende, Bewerber sowie Beamte, Richter und Soldaten zum Kreis der Beschäftigten. Der Datenschutz gilt zudem auch bei Verarbeitung nicht-automatisierter Beschäftigtendaten, z.B. bei der Personalakte in Papierform (§ 26 Abs. 7 BDSG-neu).

3. Was müssen Arbeitgeber bei der Datenverarbeitung beachten?

Gemäß § 26 Abs.5 BDSG-neu sind die zwingenden Grundsätze der Verarbeitung nach Art. 5 DSGVO zu beachten. Die Verarbeitung personenbezogener Beschäftigtendaten darf insoweit nur für eindeutige und legitime Zwecke erfolgten. Sie ist außerdem auf das notwendige Maß zu beschränken und muss auf nachvollziehbare Weise vollzogen werden.

Die „Art. 29-Datenschutzgruppe“ legt dem Arbeitgeber insoweit folgende vier Grundregeln für alle Verarbeitungen personenbezogener Daten im Beschäftigtenverhältnis zugrunde:

  • Erforderlichkeit
  • Fairness
  • Angemessenheit
  • Transparenz

Die Einhaltung der Grundregeln hat der Arbeitgeber nachzuweisen. Diesem wird daher eine umfassende Dokumentation, insbesondere der technischen und organisatorischen Maßnahmen (TOMs) zur Gewährleistung der Sicherheit der Beschäftigtendaten, obliegen. Ebenfalls kann eine Risikofolgenabschätzung erforderlich werden, wenn aufgrund der Art, der Umstände oder dem Zweck der Verarbeitung ein hohes Risiko für die Arbeitnehmerrechte besteht.

Die Zulässigkeit des jeweiligen Verarbeitungsprozesses ist somit, wie bereits nach derzeitiger Rechtslage, im Einzelfall zu entscheiden.

4. Welche Besonderheiten sind bei der Einwilligung von Beschäftigten zu beachten?

Der Arbeitgeber muss sicherstellen, dass die Einwilligung trotz Abhängigkeitsverhältnis freiwillig abgegeben wird. Für die Beurteilung der Freiwilligkeit sind die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen (§ 26 Abs. 2 Satz 1 BDSG-neu). Die Gesetzesbegründung stellt hierbei maßgebend auf die Art der Verarbeitung, die Eingriffstiefe und den Zeitpunkt der Einwilligungserteilung ab.

Eine Freiwilligkeit kann nach der Intention des Gesetzgebers insbesondere dann angenommen werden, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen (§ 26 Abs. 2 Satz 2 BDSG-neu). Dies sei beispielsweise bei privater Nutzung von IT-Systemen, Aufbau eines betrieblichen Gesundheitsmanagements oder der Erhebung von Geburtstagslisten und Fotos für das Intranet anzunehmen.

Darüber hinaus ist die Einwilligung regelmäßig schriftlich einzuholen; die Verarbeitungszwecke verständlich zu benennen und der Beschäftigte über sein Widerrufsrecht aufzuklären (§ 26 Abs. 2 Satz 3 und 4 BDSG-neu).

5. Praxisbeispiele zum Beschäftigtendatenschutz

  • Überwachung des Arbeitnehmer-Fahrzeugs (GPS-Tracking):
    Ortungssysteme, die eine dauerhafte Kontrolle des Beschäftigten ermöglichen, sind grundsätzlich unzulässig. Der Einsatz des Ortungssystems kann insbesondere nicht auf eine Einwilligung des Beschäftigten gestützt werden, da nicht von einer Freiwilligkeit der Einwilligung ausgegangen werden kann. Eine gezielte Überwachung kann ausnahmsweise jedoch zulässig sein, wenn begründete und klar dokumentierte Anhaltspunkte dafür vorliegen, dass der Beschäftigte eine Straftat begangen hat, die mittels Ortungstechnik beweisbar wird.

  • Zeiterfassung:
    Die Zulässigkeit des Einsatzes von Zeiterfassungssystemen wird teilweise bereits in Spezialgesetzen, insbesondere der Arbeitszeitverordnung (ArbZVO), geregelt. Darüber hinaus sind die datenschutzrechtlichen Bestimmungen zu beachten. Danach dürfen die erhobenen Daten grundsätzlich nur für Zwecke der Personalverwaltung oder Personalwirtschaft genutzt werden. Ebenso ist ein umfangreiches Löschungskonzept auszuarbeiten. Beides muss auf Verlangen des Betroffenen nachgewiesen werden.

  • Bewerbungen:
    Bereits bei Veröffentlichung der Anzeige sollen Hinweise zum konkreten Bewerbungsverfahren und den hierbei anfallenden Datenverarbeitungen erfolgen. Beabsichtigt das Unternehmen eine längere Aufbewahrung der Bewerbungsunterlagen, kann im Einzelfall eine schriftliche Einverständniserklärung des Bewerbers erforderlich werden. Zudem hat das Unternehmen technische Maßnahmen zu treffen, um die Daten vor unberechtigtem Zugriff zu schützen (z.B. durch Passwort-Zugang).

II. Unsere Leistung für Sie

Wir unterstützen Sie bei der rechtskonformen Umsetzung des Beschäftigtendatenschutzes in Ihrem Unternehmen. Zu unserem Leistungsangebot zählt die Erstellung, Überprüfung und Anpassung datenschutzkonformer Betriebsvereinbarungen, Tarifverträge und weiterer Kollektivvereinbarungen. Ferner bieten wir regelmäßig Schulungen für Arbeitgeber, Betriebsräte und Mitarbeiter an, in denen wir unsere Teilnehmer für die Themen Datenschutz und Arbeitsrecht sensibilisieren, damit auch in Zukunft das Risiko von Datenschutzverstößen in den Unternehmen minimiert werden kann.

Diese Webseite verwendet Cookies und zur fortlaufenden Verbesserung unserer Webseite setzen wir Google Analytics ein. Sie können die Cookie-Einstellung jederzeit für die Zukunft ändern und eine erteilte Einwilligung widerrufen. Weitere Informationen erhalten Sie in der Datenschutzerklärung.