Der betriebliche Datenschutz wird oft vorrangig mit Vertrieb oder Kundenservice in Verbindung gebracht. Doch es gibt weitere Unternehmensbereiche, in denen personenbezogene Daten verarbeitet werden und es somit erforderlich ist, geltende Datenschutzbestimmungen zu beachten. Dies trifft speziell für die Erhebung und Verarbeitung von Mitarbeiterdaten zu. Das Rahmenwerk, welches hierbei zu beachten ist, definiert der Arbeitnehmerdatenschutz, der auch Beschäftigtendatenschutz genannt wird.

Was ist Arbeitnehmerdatenschutz?

Zwischen dem Unternehmen und dem einzelnen Mitarbeiter besteht eine feste Beziehung, das Arbeitsverhältnis. Der Mitarbeiterdatenschutz regelt die Details, die aus datenschutzrechtlicher Sicht für dieses Verhältnis von Relevanz sind.

Insgesamt ist der Datenschutz für Arbeitnehmer ein komplexes Thema. Grund ist die große Bandbreite an Bereichen, in denen Daten über Mitarbeiter erhoben werden. Oft ist dies unvermeidbar, da Erhebung und Verarbeitung von Mitarbeiterdaten aus organisatorischen Gründen notwendig sind.

Der Arbeitnehmerdatenschutz verkörpert ein Rahmenwerk, das Grenzen definiert und somit festlegt, wo und in welchem Umfang der Arbeitgeber zur Erhebung und Verarbeitung von Mitarbeiterdaten berechtigt ist. All dies geschieht zum Schutz des Arbeitnehmers, weil er im Arbeitsverhältnis die schwächere Position einnimmt.

Was muss der Arbeitgeber beim Mitarbeiter Datenschutz beachten?

Für Unternehmen ist ein wesentlicher Punkt von Bedeutung. Es ist sicherzustellen, dass eine vollständige Einhaltung der gesetzlichen Vorgaben im Hinblick auf den Datenschutz für Arbeitnehmer erfolgt. Diese Verfahrensweise ist ungemein wichtig, da bei Verstößen ernsthafte Konsequenzen drohen.

Die praktische Umsetzung ist anspruchsvoll. Eine der größten Herausforderungen besteht darin, die zahlreichen Bereiche zu erfassen, in denen Mitarbeiterdaten erfasst und verarbeitet werden. Je nach Branche können unterschiedliche Bereiche betroffen sein, deren Anzahl nicht zu unterschätzen ist. Erschwerend kommt hinzu, dass nicht nur die Datenschutzgesetze zu berücksichtigen sind. Es gibt Überschneidungen mit weiteren Rechtsbereichen, wie zum Beispiel dem Gewerkschaftsrecht.

Was sind praxisrelevante Problemfelder im Unternehmen?

In der folgenden Übersicht stellen wir dar, wie breit das Spektrum der relevanten Bereiche ist. Es werden die häufigsten Problemfelder vorgestellt und erläutert.

  • Anlegen und Führen von Mitarbeiterakten: Damit innerhalb des Unternehmens eindeutig nachzuvollziehen ist, welche Mitarbeiter beschäftigt sind, existieren Mitarbeiterakten. Grundsätzlich ist das Anlegen von Personalakten gestattet, wobei jedoch klare Einschränkungen bestehen. So schreiben § 26 BDSG n.F. sowie Art. 88 DSGVO vor, dass Unternehmen personenbezogene Daten über Mitarbeiter nicht beliebig erheben und verarbeiten können. Es gilt sich bei Personaldaten auf die wesentlichen Kerndaten zu beschränken und außerdem zu gewährleisten, dass eine sorgfältige Aufbewahrung der Akten erfolgt und die Inhalte geschützt sind.
  • Gesundheitsdaten der Mitarbeiter: In zahlreichen Unternehmen ist es üblich, Gesundheitsdaten der Mitarbeitern zu erheben. Die Daten werden unterschiedlich genutzt, beispielsweise um auf Basis von krankheitsbedingten Fehltagen zu ermitteln, in welchem Umfang ein Mitarbeiter im Jahr tatsächlich arbeitet. Hierbei handelt es sich jedoch um sensible bzw. besondere personenbezogene Daten (Art. 9 Abs. 1 DSGVO), weshalb es der Gesetzgeber nicht gestattet, diese innerhalb der Personalakte festzuhalten. Es hat eine getrennte Verwahrung der Gesundheitsdaten zu erfolgen.
  • Persönliche Daten von Bewerbern: Bei der Verarbeitung von Bewerberdaten sind gesetzliche Vorschriften zu berücksichtigen, um die Rechte der Bewerber zu wahren.
  • Weitergabe von Daten an Dritte: Viele Betriebe leiten Mitarbeiterdaten an externe Dienstleister weiter. Sehr verbreitet ist die Datenweitergabe an Lohnbuchhalter, die wiederum die Erstellung von Lohn- und Gehaltsabrechnungen übernehmen. Der Arbeitnehmerdatenschutz schränkt die Weitergabe solcher Daten ein und zugleich sind die Vorschriften der Auftragsverarbeitung zu berücksichtigen.
  • Überwachung der Mitarbeiterkommunikation: Noch nie war es so leicht, die Kommunikation der Mitarbeiter (unternehmensintern sowie nach außen hin) zu überwachen. Zahlreiche Unternehmen nutzen diese Möglichkeiten, um beispielsweise den E-Mail-Verkehr vollständig zu dokumentieren und ebenso Gesprächsverbindungen festzuhalten. Ohne Vereinbarungen, in denen die Mitarbeiter ihre Zustimmung erteilen, können jedoch schwere Verstöße gegen den Arbeitnehmer Datenschutz begangen werden. Wichtig ist außerdem die stetige Einbeziehung des Betriebsrates, wenn dieser im Unternehmen vorhanden ist.
  • Videoüberwachung: Ein weiterer Bereich ist die Videoüberwachung von Mitarbeitern. Es kann natürlich sein, dass gar nicht die Überwachung der Mitarbeiter im Vordergrund steht, sondern beispielsweise die Sicherung von Verkaufsräumen – die Mitarbeiter werden eher beiläufig aufgezeichnet. Dennoch ist solch eine Überwachung nicht ohne weiteres gestattet. Dasselbe gilt erstrecht für die verdeckte Überwachung, was letztlich bedeutet, dass Mitarbeiter nicht von der Überwachung wissen.
  • Umgang mit Daten im Internet: Einen vergleichsweise neuen Bereich, der in den Gesetzen kaum geregelt ist, verkörpert der Umgang mit Mitarbeiterdaten im Internet. So haben beispielsweise schon ehemalige Mitarbeiter mit ihren früheren Arbeitgebern darüber gestritten, wie mit Namen und weiteren Personaldaten zu verfahren ist, die auf Webseiten veröffentlicht wurden oder ob Mitarbeiter ihre Geschäftskontakte, die sie auf Xing oder ähnlichen Plattformen gesammelt haben, herausgeben müssen. Aufgrund der schwierigen Gesetzeslage kommt es daher häufiger vor, dass solche Fälle vor Gericht verhandelt werden.

Wie sieht die Zukunft des Beschäftigtendatenschutzes aus?

Der Mitarbeiterdatenschutz ist im Gesetz nicht an zentraler Stelle verankert. Das Gesamtbild ergibt sich aus einer Vielzahl an verschiedenen Gesetzen, wie der DSGVO, dem Bundesdatenschutzgesetz, dem Betriebsverfassungsgesetz und dem Telemediengesetz. Zur Schaffung besserer Verhältnisse hat der Bundestag im Jahr 2010 einen Entwurf zum Gesetz zur Regelung des Beschäftigtendatenschutzes beschlossen. Allerdings ist aus dem Entwurf noch kein Gesetz hervorgegangen, weshalb die Rechtslage (vorerst) im Vergleich zu anderen Datenschutzthemen kompliziert bleibt.

Ein weiteres Thema ist die noch fehlende Sensibilisierung innerhalb der Unternehmen zum Arbeitnehmerdatenschutz. In zahlreichen Betrieben werden immer noch Verstöße begangen, oftmals sogar unbewusst. Dies hält die zuständigen Aufsichtsbehörden jedoch nicht davon ab, Bußgelder zu verhängen.

In Zukunft wird sich der Mitarbeiterdatenschutz noch stärker auf die Informationstechnologie konzentrieren. Nie zuvor wurden Mitarbeiterdaten so häufig in Geschäftsprozesse einbezogen, weshalb es erforderlich wird, den Gesetzesrahmen noch präziser abzustecken.

Was kann ein externer Datenschutzbeauftragter tun?

Aufgrund der vielen potentiellen Problemfälle beim Datenschutz ist zunächst zu prüfen, welche einzelnen Bereiche innerhalb des Unternehmens betroffen sind. Ein externer Datenschutzbeauftragter ermittelt diese Bereiche und prüft daraufhin, ob und wo Verstöße begangen werden, um im Anschluss maßgeschneiderte Datenschutzlösungen zu entwickeln, die Rechtssicherheit versprechen.

Wenn auch Sie mehr über die Möglichkeiten zur Absicherung in Ihrem Unternehmen erfahren möchten, nehmen Sie bitte Kontakt auf. Wir freuen uns auf Ihre Anfrage.