Beschäftigtendatenschutz – Was die DSGVO für Personalabteilungen bedeutet

Das neue EU-Datenschutzrecht hat zuletzt viele Unternehmen und Verbraucher in Aufregung versetzt. Die Aufsichtsbehörden melden ein erhöhtes Anfrage- und Beschwerdeaufkommen. Die befürchtete Abmahnwelle blieb bisher aber aus. Nicht nur die Verbraucher profitieren von der DSGVO, auch die Rechte von Beschäftigten wurden mit der Verordnung gestärkt.

Smartphone mit Schlosssymbol

Datenschutz im Arbeitsverhältnis

Die personenbezogenen Daten der Beschäftigten werden an vielen Stellen im Unternehmen verarbeitet. Das sind z.B. einfache Stammdaten, wie sie in jeder Personalakte stehen, die für den Zweck der Beschäftigung erforderlich und daher selbstverständlich sind – etwa Name, Adresse, Kontoverbindung oder die Ausbildung und Qualifikation des Beschäftigten.

Im Arbeitsalltag kommen jedoch schnell einige Daten hinzu: bei der Zeiterfassung, bei der (privaten) Telefon- oder Internetnutzung, bei der mobilen Arbeit mit dem eigenem Smartphone oder dem Firmen-Laptop. In vielen Unternehmen sind digitale Tools und Software-Systeme für die Zusammenarbeit und Kommunikation im Einsatz. In all diesen Fällen ist die Lage komplexer und es besteht ein Regelungsbedarf, der z.B. über Betriebsvereinbarung zwischen dem Betriebsrat und dem Arbeitgeber zu klären ist.

Grundsatz zur Erhebung personenbezogener Daten von Beschäftigten

Bislang gibt es kein eigenes Beschäftigtendatenschutzgesetz, auch nicht mit der EU-DSGVO und dem neuen Bundesdatenschutzgesetz (BDSG-neu). Wichtigster Grundsatz ist und bleibt daher das Verbot mit Erlaubnisvorbehalt – der Arbeitgeber benötigt eine Erlaubnis für die Datenerhebung.

Diese ist gegeben im Fall:  

  1. einer datenschutzrechtlichen Einwilligung des Beschäftigten
    Die Legitimierung der Datenerhebung über die Einwilligung der Mitarbeitenden gab es bereits. Neu ist hingegen, dass diese laut DSGVO absolut freiwillig und schriftlich erfolgen muss, ein Widerruf jederzeit möglich zu sein hat und der Mitarbeitende über sein Recht auf Widerruf informiert werden muss. Außerdem ist der Zweck der Datenverarbeitung präzise zu benennen (Art. 7 DSGVO).
     
  2. einer gültigen Betriebsvereinbarung
    Auch für Betriebsvereinbarungen gibt es seit Ende Mai strengere Anforderungen. Für sie gelten nun die Grundsätze der „Transparenz“ und der „Verhältnismäßigkeit“. Anders als zuvor muss auch hier der Zweck der Datenverarbeitung konkret beschrieben werden.
     
  3. zur Aufdeckung einer Straftat
    Daten von Mitarbeitenden dürfen verarbeitet werden, wenn konkrete Anhaltspunkte dafür vorliegen, dass die konkrete Person im Beschäftigungsverhältnis eine Straftat begangen hat und die Daten zur Aufdeckung dieser Tat erforderlich sind. Dabei muss das Aufklärungsinteresse das schutzwürdigen Interesse der betroffenen Person überwiegen.
Darüber hinaus hat der Arbeitgeber die allgemeinen Grundsätze für die Verarbeitung personenbezogener Daten (Art. 7 DSGVO) z.B. der Rechtmäßigkeit, der Datenminimierung, der Vertraulichkeit sowie die Rechte der betroffenen Personen (Art. 12-23 DSGVO) z.B. deren Auskunftsrecht, das Recht auf Löschung oder das Widerspruchsrecht zu beachten.

Arbeitshilfen, Informationen und Seminar

Eine vergleichende Einschätzung zu den Änderungen zwischen der alten Rechtslage und den neuen Datenschutzgesetzen bieten die unabhängigen Datenschutzbehörden des Bundes und der Länder in ihrem Kurzpapier Nr. 14 Beschäftigtendatenschutz.

Weitere Informationen zum Beschäftigtendatenschutz und der DSGVO finden Sie z.B. bei der IHK München und Oberbayern oder als Trainingsinhalt in unserem neuen Kompaktseminar: Beschäftigtendatenschutz – Fallstricke vermeiden.

Bei Fragen berät Sie gern:

Bettina Winter
E-Mail: b.winter@ard-zdf-medienakademie.de
Telefon: +49 911 9619-458


Autor: Sven Dütz