In welchem Rahmen die Erhebung und Verarbeitung von Mitarbeiterdaten zulässig ist, regelt der Beschäftigtendatenschutz. Dieser Bereich des Datenschutzes ist größer und komplexer, als oft vermutet wird. Zugleich ist beim Umgang mit personenbezogenen Daten von Mitarbeitern erhöhte Vorsicht angebracht, da zahlreiche Stolpersteine existieren und bei Verstößen drakonische Strafen drohen.

Was ist Beschäftigtendatenschutz?

Zwischen Arbeitgeber und Arbeitnehmer besteht eine feste Beziehung, das Arbeitsverhältnis. Der Beschäftigtendatenschutz (auch: Arbeitnehmerdatenschutz oder Mitarbeiterdatenschutz) regelt die Details, die aus datenschutzrechtlicher Sicht für dieses Verhältnis von Relevanz sind.

Erhebung und Verarbeitung von Mitarbeiterdaten sind für Unternehmen aus organisatorischen Gründen notwendig. Der Arbeitnehmerdatenschutz verkörpert ein Rahmenwerk, das Grenzen definiert und somit festlegt, in welchen Fällen und in welchem Umfang der Arbeitgeber zur Verarbeitung personenbezogener Mitarbeiterdaten berechtigt ist. Dies geschieht zum Schutz des Arbeitnehmers, weil er im Arbeitsverhältnis eine schwächere Position einnimmt.

Die größten Herausforderungen für Arbeitgeber

Aus Unternehmenssicht geht die größte Herausforderung beim Beschäftigtendatenschutz mit der hohen Komplexität einher. Es drohen datenschutzrechtliche Fragestellungen aufzukommen, die mit eigenem Know-how nicht zu lösen sind. Für die hohe Komplexität sehen wir drei Gründe:

  • Breites Spektrum an Bereichen
    Der datenschutzkonforme Umgang mit Personaldaten ist ein breit gefächertes Thema, das viele Bereiche und Prozesse berührt.
  • Zahlreiche Rechtsvorschriften
    Nicht nur die Datenschutzgesetze sind zu berücksichtigen. Es gibt Überschneidungen mit weiteren Rechtsbereichen, wie zum Beispiel dem Gewerkschaftsrecht.
  • Hohe Dynamik
    Gesetzesänderungen, neue Technologien, Mitarbeiterfluktuation und weitere Einflussgrößen tragen zur hohen Komplexität im Datenschutz bei.

Eine weitere Herausforderung ist der Fokus im Tagesgeschäft der Human Resources Abteilungen. Die Kerntätigkeiten umfassen beispielsweise Personalplanung, Personalsteuerung und Personalentwicklung. Hingegen ist der Mitarbeiterdatenschutz oft nur Nebensache.

Hinzu kommt die Ausbildung der zuständigen Mitarbeiter. Bürokaufleute und BWL-Absolventen blicken meist auf fundierte Ausbildungen mit Schwerpunkt HR, jedoch wird der datenschutzkonforme Umgang mit personenbezogenen Daten im Rahmen dieser Ausbildungen nur gestreift. Als Folge mangelt es beim Datenschutzwissen oft an fachlicher Tiefe.

Diese Konsequenzen drohen bei einem Datenschutzvorfall

Unternehmen haben sicherzustellen, dass beim Mitarbeiterdatenschutz eine vollständige Einhaltung der gesetzlichen Vorgaben erfolgt. Andernfalls drohen Datenschutzvorfälle, die ernsthafte Konsequezen zur Folge haben.

Sollten personenbezogene Daten von Mitarbeitern oder Bewerbern auf unzulässige Weise verarbeitet werden, kann die zuständige Aufsichtsbehörde dem Arbeitgeber ein Bußgeld auferlegen. Bei einem Verstoß gegen die DSGVO drohen stattliche Strafzahlungen, die an den Unternehmensumsatz gekoppelt sind.

Bei Bekanntwerden eines Verstoßes droht darüber hinaus eine Schädigung der Reputation als Arbeitgeber. Gerade in Zeiten des Fachkräftemangels kann dies für Unternehmen eine deutlich erschwerte Gewinnung neuer Arbeitskräfte bedeuten.

Die größten Problemfelder beim Beschäftigtendatenschutz

Wie erwähnt, ist der datenschutzkonforme Umgang mit Bewerber- und Mitarbeiterdaten unter anderem wegen der großen thematischen Bandbreite so komplex. Nachfolgend stellen wir die häufigsten Problemfelder aus der Datenschutzpraxis vor.

  • Anlegen und Führen von Mitarbeiterakten
    Damit innerhalb des Unternehmens eindeutig nachzuvollziehen ist, welche Mitarbeiter beschäftigt sind, existieren Personalakten. Grundsätzlich ist das Anlegen von Personalakten gestattet, wobei jedoch klare Einschränkungen bestehen. So schreiben § 26 BDSG sowie Art. 88 DSGVO vor, dass Unternehmen personenbezogene Daten über Mitarbeiter nicht beliebig erheben und verarbeiten können. Die Verarbeitung personenbezogener Daten bedarf stets einer zulässigen Rechtsgrundlage, dies ist auch im Rahmen des Beschäftigtendatenschutzes stets zu berücksichtigen.
  • Gesundheitsdaten von Mitarbeitern
    Kommt es zu einer Erhebung oder Verarbeitung von besonders sensiblen Daten gemäß Art. 9 Abs. 1 DSGVO, wie beispielsweise im Rahmen von Krankmeldungen, BEM Verfahren oder Benefits in Form von Versicherungsangeboten für Mitarbeiter, sind die Maßnahmen zum Schutz der Daten sowie der Umfang und die Aufbewahrung dieser explizit zu prüfen. Eine generelle Erhebung von Gesundheitsdaten oder Führen von Statistiken verursachen im Zweifel ein hohes Risiko für den Datenschutz.
  • Personenbezogene Daten von Bewerbern
    Ein erheblicher Teil der Bewerberdaten gehört den personenbezogenen Daten an, wie beispielsweise Name, Alter und E-Mail-Adresse. Entsprechend sind bei der Verarbeitung von Bewerberdaten alle relevanten Rechtsvorschriften zu beachten.
  • Auskunftsansprüche
    Als Betroffene haben Mitarbeiter und Bewerber das Recht auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten. Arbeitgeber müssen auf derartige Anfragen Betroffener reagieren und die relevanten Informationen fristgerecht bereitstellen.
  • Datenübermittlung an Dritte
    Viele Betriebe leiten Mitarbeiterdaten an externe Dienstleister weiter. Besonders auffällig ist die zunehmende Nutzung von Webservices, die z.B. der Arbeitszeiterfassung dienen. Der Arbeitnehmerdatenschutz schränkt die Weitergabe solcher Daten ein und zugleich sind die Vorschriften der Auftragsverarbeitung zu berücksichtigen.
  • Überwachung der Mitarbeiterkommunikation
    Noch nie war es so leicht, die Kommunikation der Mitarbeiter (unternehmensintern sowie nach außen hin) zu überwachen. Zahlreiche Unternehmen nutzen Technologien, um beispielsweise den E-Mail-Verkehr vollständig zu dokumentieren und ebenso Gesprächsverbindungen festzuhalten. Ohne Vereinbarungen, in denen die Mitarbeiter ihre Zustimmung erteilen, können jedoch schwere Verstöße gegen den Arbeitnehmerdatenschutz begangen werden. Wichtig ist außerdem die Einbeziehung des Betriebsrates, wenn dieser im Unternehmen vorhanden ist. Grundsätzlich sollte bei Einführung solcher Mechanismen darauf geachtet werden, dass der Mitarbeiter keinem generellen Überwachungsdruck ausgesetzt wird.
  • Videoüberwachung
    Ein weiterer Bereich ist die Videoüberwachung von Mitarbeitern. Auch wenn beispielsweise die Sicherung von Verkaufsräumen im Vordergrund steht, ist solch eine Überwachung nicht ohne weiteres gestattet. Dasselbe gilt erstrecht für die verdeckte Überwachung, von der Mitarbeiter nichts wissen.
  • Veröffentlichung von Mitarbeiterdaten im Internet
    Einen vergleichsweise neuen Bereich, der in den Gesetzen kaum geregelt ist, verkörpert der Umgang mit Mitarbeiterdaten im Internet. So haben beispielsweise schon ehemalige Mitarbeiter mit ihren früheren Arbeitgebern darüber gestritten, wie mit Namen und weiteren Personaldaten zu verfahren ist, die auf Webseiten veröffentlicht wurden. Ebenso ob Mitarbeiter ihre Geschäftskontakte, die sie auf Linkedin, Xing oder ähnlichen Plattformen gesammelt haben, herausgeben müssen. Aufgrund der schwierigen Gesetzeslage kommt es vor, dass solche Fälle vor Gericht verhandelt werden.
  • Verankerung in mehreren Gesetzen
    Der Mitarbeiterdatenschutz ist nicht an zentraler Stelle im Gesetz verankert. Das Gesamtbild ergibt sich aus mehreren Gesetzen, wie der Datenschutz-Grundverordnung, dem Bundesdatenschutzgesetz, dem Betriebsverfassungsgesetz und dem Telemediengesetz.

So unterstützen wir Arbeitgeber beim Datenschutz

Wir unterstützen Unternehmen beim Beschäftigtendatenschutz. Dies kann im Rahmen unserer Datenschutzberatung erfolgen, indem wir uns konkreten Aufgabenstellungen widmen und geeignete Lösungen für Sie entwickeln. Ebenso ist eine Benennung als externer Datenschutzbeauftragter möglich.

Mit unserem Beratungsansatz verfolgen wir zwei entscheidende Ziele, nämlich eine hohe Rechtssicherheit sowie eine ausgeprägte Praxisorientierung. Dieser Ansatz führt zu Datenschutzlösungen, die datenschutzrechtliche Risiken auf das vereinbarte Minimum reduzieren und die zugleich für Ihr Unternehmen gut realisierbar sind. Gerne unterstützen wir Sie auch bei der Implementierung der Lösungen.

Wenn Sie mehr über die Möglichkeiten zur Absicherung in Ihrem Unternehmen erfahren möchten, nutzen Sie unsere kostenlose Erstberatung. Wir freuen uns auf Ihre Anfrage.