Datenschutz im Arbeitsverhältnis – Wann dürfen Arbeitgeber Daten verarbeiten?
Erfolgreiche Unternehmensführung des Arbeitgebers vs. Recht auf informationelle Selbstbestimmung des Beschäftigten: Beim Thema Datenschutz im Arbeitsverhältnis gilt es, gerade diese Interessen in Einklang zu bringen. Inwiefern dies durch die gesetzlichen Regelugen in der DSGVO und dem neuen BDSG gelingt, beleuchtet der folgende Artikel.
Seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 gelten neue Vorschriften zum Datenschutz im Arbeitsverhältnis. Dies wirft für Arbeitgeber Herausforderungen beim Umgang mit den Daten der Beschäftigten auf:
- Darf ich Bewerber für eine ausgeschriebene Stelle in sozialen Netzwerken kontaktieren?
- Darf ich Fotos von Arbeitnehmern auf Betriebsfeiern machen?
- Darf ich eine Geburtstagsliste mit den Geburtstagen meiner Beschäftigten veröffentlichen?
- Wie sollte ich meine Beschäftigten am besten über die Verarbeitung ihrer personenbezogenen Daten informieren?
Bzgl. dieser und weiterer Fragen sind Arbeitgeber gehalten, falls erforderlich Anpassungen an ihrer Unternehmenspolitik vorzunehmen. Dieser Artikel beantwortet alle Ihre aktuellen Fragen zum Thema Beschäftigtendatenschutz und gibt einen Leitfaden für diese Anpassungen.
Für wen gelten die Regelungen zum Beschäftigtendatenschutz?
Die relevanten Regelungen zum Beschäftigtendatenschutz finden sich in Art. 88 DSGVO und § 26 BDSG neue Fassung (n. F.). Grundsätzlich sind die Vorschriften der DSGVO bei Rechtsfragen zum Beschäftigtendatenschutz direkt anwendbar. Die DSGVO gibt den nationalen Gesetzgebern der EU-Mitgliedstaaten jedoch durch so genannte Öffnungsklauseln die Möglichkeit, ihre Regelungen zu konkretisieren. Im Bereich des Beschäftigtendatenschutzes erfolgt eine Konkretisierung durch § 26 BDSG. Nach § 26 Abs. 8 BDSG fallen Arbeitnehmerinnen und Arbeitnehmer, zu ihrer Berufsbildung Beschäftigte, Beamtinnen und Beamte sowie Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis unter den Beschäftigtenbegriff. Der Arbeitgeber muss also bereits die datenschutzrechtlichen Interessen von Bewerbern in seinem Unternehmen beachten.
Unternehmer, Freelancer & Selbstständige aufgepasst:
Ab sofort gibt es unseren beliebten Newsletter zu aktuellen Entscheidungen, anstehenden Rechtsänderungen und hilfreichen Rechtstipps auch speziell für Unternehmen.
Egal ob wichtige Änderungen für Kennzeichnungspflichten, Anmeldungen einer Marke, rechtssichere Datenschutzerklärungen oder wegweisende Änderungen im Arbeitsrecht – wir stehen an Ihrer Seite und Sie bleiben immer auf dem Laufenden.
In welchen Situationen sind die Regelungen anwendbar?
§ 26 BDSG gilt grundsätzlich gemäß § 1 BDSG für die Verarbeitung personenbezogener Daten durch öffentliche oder nicht öffentliche Stellen im Beschäftigungskontext. Öffentliche Stellen sind solche, welche zur Vollziehung der Gesetze verpflichtet sind, also zum Beispiel Behörden. Unter nicht-öffentlichen Stellen sind vor allem private Unternehmen zu verstehen. Wichtig zu wissen ist, dass die maßgeblichen Vorschriften in der DSGVO und im BDSG zum Beschäftigtendatenschutz sich nicht nur auf die Verarbeitung von Daten beziehen, die in einem Dateisystem gespeichert werden sollen. Unter einem Dateisystem versteht man nach Art. 4 Nr. 6 DSGVO
„(…) jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob die Sammlung, zentral, dezentral oder funktionalen oder geografischen Gesichtspunkten zugeordnet geführt wird. Damit sind etwa Akten, Aktensysteme oder Deckblätter erfasst“.
Die Regelungen zum Beschäftigtendatenschutz gelten schon, wenn ein Beschäftigter nur angehört, befragt oder beobachtet wird, ohne dass die entsprechenden Ergebnisse in einem Dateisystem, zum Beispiel in einer Personalakte, gespeichert werden.
In welchen Fällen ist eine Datenverarbeitung im Beschäftigungskontext erlaubt?
§ 26 BDSG sowie Art. 6 DSGVO enthalten unterschiedliche Erlaubnistatbestände, bei deren Erfüllung eine Datenverarbeitung zulässig ist.
Die Datenverarbeitung kann zum Beispiel zulässig sein, wenn:
- sie Zwecken des Beschäftigungsverhältnisses (§ 26 Abs.1 S. 1 BDSG) dient.
- der Aufdeckung von Straftaten dient (§ 26 Abs. 1 S. 2 BDSG).
- auf der Grundlage einer Einwilligung (Art. 6 Abs. 1 lit a DSGVO, § 26 Abs. 2 BDSG) erfolgt.
- bei der Verarbeitung besonderer Kategorien personenbezogener Daten weitere besondere Voraussetzungen erfüllt sind (§ 26 Abs. 3 BDSG).
- sonstige Erlaubnistatbestände erfüllt sind (Art. 6 Abs. 1 lit. c-f DSGVO).
Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses (§ 26 Abs. 1 S. 1 BDSG)
Nach § 26 Abs. 1 S.1 BDSG dient die Datenverarbeitung den Zwecken des Beschäftigungsverhältnisses, wenn sie
„für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses, (…) für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der (…) Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist“.
Zentrale Bedeutung hat hier das Merkmal der Erforderlichkeit. Wird eine Maßnahme der Datenverarbeitung durch den Arbeitgeber am Maßstab der Erforderlichkeit überprüft, müssen die widerstreitenden Interessen und Grundrechtspositionen von Arbeitgeber und Beschäftigtem gegeneinander abgewogen und in einen angemessenen Ausgleich gebracht werden.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Datenverarbeitung im Bewerbungsprozess
Schon im Bewerbungsprozess kann es zu datenschutzrechtlich problematischen Situationen kommen.
Sucht ein Arbeitgeber in sozialen Netzwerken nach potenziellen Bewerbern für eine ausgeschriebene Stelle und kontaktiert diese daraufhin, stellt sich schon die Frage der Erforderlichkeit der Datenerhebung. Zugunsten des Arbeitgebers kann argumentiert werden, dass das Profil des Bewerbers im Internet in der Regel durch eine breite Öffentlichkeit einsehbar ist. Natürlich ist hier zu differenzieren, ob der kontaktierte Bewerber sein Profil für die Öffentlichkeit tatsächlich zugänglich gemacht hat oder durch die Privatsphäre-Einstellungen nur ihm bekannten Nutzern die Einsicht in sein Profil ermöglicht. Im Falle von berufsorientierten sozialen Netzwerken spricht wiederum für die Erforderlichkeit der Datenerhebung, dass die Nutzer sich ihre Profile darin gerade deshalb anlegen, um sich gegenüber interessierten Arbeitgebern zu präsentieren.
Wird ein Bewerber nach dem Bewerbungsprocedere eingestellt, kann die weitere Speicherung seiner Daten damit gerechtfertigt werden, dass sie für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Wie sollte der Arbeitgeber jedoch mit den Daten abgelehnter Bewerber verfahren? Verständlich ist sicherlich, dass der Arbeitgeber deren Daten nicht unmittelbar nach dem Vertragsschluss mit dem erfolgreichen Bewerber löschen muss. Die Bewerbungsunterlagen dürfen innerhalb einer sich daran anschließenden angemessenen Frist vom Arbeitgeber aufbewahrt werden, da es immer noch zu überraschenden Verhinderungsfällen beim erfolgreichen Bewerber kommen kann. Außerdem muss der Arbeitgeber bei einem sich anbahnenden Rechtsstreit nach dem Allgemeinen Gleichbehandlungsgesetz die Möglichkeit haben, seine Auswahlentscheidung mithilfe der Bewerbungsunterlagen zu rechtfertigen. Allgemein wird vertreten, dass die Daten eines abgelehnten Bewerbers spätestens 6 Monate nach der Ablehnung zu löschen sind.
Will der Arbeitgeber sich die Möglichkeit offen halten, den abgelehnten Bewerber zu einem späteren Zeitpunkt nochmals zu kontaktieren, ist dies nur zulässig, wenn er abgelehnte Bewerber einer Aufnahme in den Talentpool zugestimmt hat. Dabei muss er im Zusammenhang mit der Einwilligung auch über Dauer der Speicherung und über sein jederzeitiges Widerrufsrecht informiert werden.
Datenverarbeitung während oder zur Beendigung des Arbeitsverhältnisses
Erforderlich ist die Datenverarbeitung während des Beschäftigungsverhältnisses zum Beispiel, wenn der Arbeitgeber Daten seines Beschäftigten verarbeitet, um für ihn Sozialversicherungsbeiträge abzuführen. Hier muss das Grundrecht der informationellen Selbstbestimmung des Arbeitnehmers eindeutig hinter dem Zweck zurückstehen, diese Beiträge zur sozialen und gesundheitlichen Versorgung des Beschäftigten abzuführen.
Weitaus problematischer ist die Frage, ob der Arbeitgeber eine Geburtstagsliste mit den Geburtstagen seiner Beschäftigten betriebsintern veröffentlichen darf. Sollte ein Beschäftigter in die betriebsinterne Weitergabe seiner Geburtsdaten nicht eingewilligt haben, wird es schwierig diese Praxis zu rechtfertigen. Das Grundrecht der informationellen Selbstbestimmung überwiegt hier grundsätzlich gegenüber dem Informationsinteresse des Arbeitgebers selbst sowie der Mitarbeiter, so dass der Eintrag auf der Geburtstagsliste der Einwilligung des jeweiligen Mitarbeiters bedarf.
Fotos, die von Mitarbeitern auf einer Betriebsfeier gemacht und dann ins Intranet gestellt werden, sind ein ebenso bekanntes Problem. Auch hier wird eine Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses nicht bejaht werden können. Stattdessen ist auf die Erlaubnistatbestände der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder aber – zumindest bzgl. des Fotografierens für interne Zwecke – eines berechtigten Interesses des Arbeitgebers (Art. 6 Abs. 1 lit. f DSGVO) zurückzugreifen. Für Fotos von Mitarbeitern, die auf der Homepage des Unternehmens veröffentlicht werden, ist aber sicherlich die Einwilligung des Mitarbeiters einzuholen und zwar separat vom Arbeitsvertrag. Die immer noch anzufindende Praxis, die Einwilligung schon im Arbeitsvertrag einzuholen, dürfte nicht mehr zulässig sein, da die Freiwilligkeit einer solchen Einwilligung regelmäßig nicht mehr gegeben sein dürfte.
Sie fragen sich als Unternehmer, ob die Verarbeitung von Daten Ihrer Beschäftigten oder Jobbewerber zulässig ist? Kein Problem! Unser erfahrenes Team von Rechtsanwälten im Datenschutzrecht und Arbeitsrecht hilft Ihnen gerne weiter. Rufen Sie uns unter 0221 / 951 563 0 (Beratung bundesweit) an.
Datenverarbeitung zur Ausübung oder Erfüllung der Rechte und Pflichten der Interessenvertretung des Berechtigten
Dieser Erlaubnistatbestand gewährleistet die Weitergabe von Arbeitnehmerdaten an den Betriebsrat, damit dieser seinen Aufgaben nachkommen kann. Für die Erforderlichkeit der Datenverarbeitung muss zumindest ein Bezug der Daten zu den Aufgaben der Beschäftigteninteressenvertretung bestehen.
Datenverarbeitung aufgrund von Kollektivvereinbarungen
In Übereinstimmung mit der Öffnungsklausel in Art. 88 DSGVO sieht § 26 Abs. 4 BDSG vor, dass eine Datenverarbeitung aufgrund von speziellen Regelungen in Kollektivvereinbarungen zulässig sein kann. Die Inhalte dieser können auch zum Nachteil des Beschäftigten von den Normen der DSGVO und des BDSG abweichen. Wie § 26 Abs. 4 BDSG ausdrücklich erwähnt, müssen die Vertragsparteien beim Erstellen der Kollektivvereinbarungen jedoch stets Art. 88 Abs. 2 DSGVO und damit die menschliche Würde, Grundrechte und berechtigten Interessen der von der Datenverarbeitung betroffenen Person beachten.
Datenverarbeitung zur Aufdeckung von Straftaten, § 26 Abs. 1 S. 2 BDSG
Die Datenverarbeitung des Arbeitgebers, um mögliche Straftaten des Beschäftigten aufzudecken, ist an strenge Voraussetzungen geknüpft. Zum einen muss der Arbeitgeber den begründeten Verdacht haben, dass der Beschäftigte eine Straftat begangen hat. Zum anderen muss die Datenverarbeitung zur Aufdeckung der Straftat erforderlich sein, wobei schutzwürdige Interessen des Beschäftigten nicht überwiegen dürfen. Zu differenzieren ist, dass die Datenverarbeitung nach § 26 Abs. 1 S. 2 BDSG nicht auf eine Verhinderung zukünftiger Straftaten ausgerichtet sein darf.
Von dem Begriff der Straftat sind auch Tatbestände außerhalb des Strafrechts, wie zum Beispiel, Ordnungswidrigkeiten erfasst. Unter dem Merkmal des Verdachts versteht man, dass tatsächliche Anhaltspunkte für die Straftatbegehung durch den Beschäftigten vorliegen müssen. Hier ist der Arbeitgeber gut beraten, diese verdachtsbegründenden Anhaltspunkte vor der Datenverarbeitung zu dokumentieren.
Nach § 26 Abs. 1 S. 2 BDSG kann zum Beispiel eine offene oder verdeckte Videoüberwachung des Beschäftigten in den Geschäftsräumen gerechtfertigt sein.
Datenverarbeitung besonderer Kategorien personenbezogener Daten, § 26 Abs. 3 BDSG
Der Begriff der besonderen Kategorien personenbezogener Daten ist in Art. 9 Abs. 1 DSGVO definiert.
Davon sind personenbezogene Daten umfasst, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Zudem sind genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person inbegriffen.
Grundsätzlich untersagt Art. 9 Abs. 1 DSGVO die Verarbeitung besonderer Kategorien personenbezogener Daten. Art. 9 Abs. 2 lit. b DSGVO enthält diesbezüglich jedoch eine Öffnungsklausel. Im deutschen Recht wird sie im Hinblick auf den Beschäftigtendatenschutz durch § 26 Abs. 3 BDSG konkretisiert. Die Datenverarbeitung besonderer Kategorien personenbezogener Daten muss entsprechend § 26 Abs. 1 S. 1 dem Zweck des Beschäftigungsverhältnisses dienen. Außerdem muss die Datenverarbeitung für die Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit oder des Sozialschutzes erforderlich sein. Auch hier darf ein schutzwürdiges Interesse der betroffenen Person an dem Ausschluss der Datenverarbeitung nicht überwiegen.
Ein praktischer Fall könnte sein, dass biometrische Daten des Beschäftigten im Wege eines Authentifizierungsverfahrens beim Zugang zum Firmengelände erhoben werden. Der Arbeitgeber kann hier mit seiner Pflicht zur Gewährleistung der Sicherheit am Arbeitsplatz argumentieren, die die Datenverarbeitung erforderlich macht.
Verarbeitung personenbezogener Daten auf der Grundlage einer Einwilligung
Bei der Datenverarbeitung im Arbeitskontext werden besondere Anforderungen an den Erlaubnistatbestand der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO gestellt. Die Anforderungen ergeben sich aus § 26 Abs. 2 BDSG. Grundsätzlich gilt, dass eine Einwilligung nur als Rechtfertigung für eine Datenverarbeitung angesehen werden kann, wenn sie freiwillig, informiert, auf einen konkreten Fall bezogen und unmissverständlich erklärt wurde. § 26 Abs. 2 BDSG regelt, dass bei der Beurteilung der Freiwilligkeit die im Beschäftigungsverhältnis bestehenden Abhängigkeit der beschäftigten Person und die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen sind. Von der Freiwilligkeit ist etwa auszugehen, wenn dem Arbeitnehmer rechtliche oder wirtschaftliche Vorteile durch die Datenverarbeitung erwachsen oder der Arbeitgeber und die beschäftigte Person gleich gelagerte Interessen verfolgen. Als Beispiele für Vorteile des Beschäftigten wären die Einführung eines betrieblichen Gesundheitsmanagements zur Gesundheitsförderung oder die Erlaubnis zur Privatnutzung betrieblicher IT-Systeme denkbar.
Die Einwilligung ist in Schriftform zu erteilen soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Dies betrifft Unternehmen, in denen nur noch auf elektronischem Wege kommuniziert wird. Die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten muss nach § 26 Abs. 3 S. 2 BDSG ausdrücklich erfolgen.
Der Arbeitnehmer hat die Möglichkeit seine Einwilligung zu widerrufen. Über sein Widerrufsrecht sowie den Zweck der Datenverarbeitung muss er gemäß Art. 7 Abs. 3 DSGVO durch den Arbeitgeber belehrt werden.
Sonstige Erlaubnistatbestände in Art. 6 Abs. 1 lit. c-f DSGVO
Als weitere Erlaubnistatbestände sind auch im Arbeitsverhältnis die Tatbestände in Art. 6 Abs. 1 lit. c-f DSGVO denkbar. Hier kommen zum Beispiel rechtliche Verpflichtungen oder ein individuelles Interesse des Arbeitgebers in Betracht, das im Einzelfall gegenüber den Interessen, Grundrechten oder Grundfreiheiten des Beschäftigten überwiegt. Der Arbeitgeber ist angehalten, eine Interessensabwägung zu seinen Gunsten zu dokumentieren.
Informationspflichten des Arbeitgebers
Gemäß Art. 12, 13 DSGVO müssen die Arbeitnehmer darüber informiert werden, dass und wie ihre Daten verarbeitet werden. Hierzu bietet sich eine Rahmenbetriebsvereinbarung mit dem Betriebsrat an, die die Informationspflichten im Allgemeinen bestimmt. Einzelne Betriebsvereinbarungen zu unterschiedlichen Themen können danach auf die Rahmenbetriebsvereinbarung Bezug nehmen und die Informationspflichten in speziellen Datenverarbeitungssituationen konkretisieren. Den Informationspflichten kann der Arbeitgeber aber auch durch Zusätze zu Arbeitsverträgen, Aushänge am Schwarzen Brett oder im Intranet nachkommen. Im Zuge dessen muss der Beschäftigte auch über seine Betroffenenrechte nach Art. 15 ff DSGVO aufgeklärt werden. Wie jeder von der Datenverarbeitung Betroffene hat er u. a. ein Auskunftsrecht bzgl. der Datenverarbeitung, ein Recht auf Löschung oder ein Recht auf Berichtigung seiner Daten.
Wie WBS Ihnen helfen kann
Bei der Prüfung von Sachverhalten zum Beschäftigtendatenschutz ist stets die Verzahnung der Normen aus BDSG und DSGVO zu beachten. Das macht die Materie sehr komplex. Gleichzeitig drohen bei Verstößen gegen die DSGVO hohe Bußgelder und Schadensersatzforderungen.
Jedem Unternehmen ist daher eine Bestandsanalyse unternehmensinterner Prozesse zu empfehlen, um den tatsächlichen Anpassungsbedarf an die Vorschriften zum Beschäftigtendatenschutz festzustellen. Am besten kann Ihnen dabei ein erfahrener Anwalt helfen.
Die Kanzlei WILDE BEUGER SOLMECKE verfügt über ein erfahrenes Expertenteam von Rechtsanwälten für Datenschutz und Arbeitsrecht. Wir helfen Ihnen gern bei der Anpassung Ihrer internen Prozesse an die noch jungen Regelungen.
Rufen Sie uns unter 0221 / 951 563 0 (Beratung bundesweit) an.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.