Mitarbeiterdatenschutz
Auch die eigenen Beschäftigten eines Unternehmens sind Betroffene im Sinne des Datenschutzes. Denn Arbeitgeber müssen für die Durchführung eines Beschäftigungsverhältnisses personenbezogene Daten der Mitarbeitenden erheben, verarbeiten und speichern. Andernfalls könnte eine Personalakte nicht geführt und auch keine monatliche Lohn- bzw. Gehaltsabrechnung vorgenommen werden. Die Arbeitgeber müssen damit auch gegenüber ihren Mitarbeitenden sicherstellen, dass die Vorgaben der DSGVO und des BDSG eingehalten werden.
Für die Verarbeitung der Beschäftigtendaten benötigen Arbeitgeber, wie immer im Datenschutz, eine Rechtsgrundlage. Zentrale Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO zusammen mit dem Arbeitsvertrag.
Zu den personenbezogenen Daten, die typischerweise von Mitarbeitenden erhoben werden, gehören u. a.
- Name, Vorname, Anschrift, Geburtsdatum, Geburtsort, Familienstand, Religionszugehörigkeit, E-Mail-Adresse, Telefonnummer, Personalnummer,
- Beschäftigungszeitpunkt, Arbeitszeit (Kommen/Gehen/Krankheit/Urlaub), Dienstreisen, Sozialversicherungsdaten
- Höhe des Gehalts, Kontodaten (Bank, IBAN)
- Beurteilungen (Beurteilungsbögen, Arbeitsergebnisse, Abmahnungen etc.), Schulungen
- Arbeitsvertrag, Zeugnisse, Qualifikationen, Bewerbungsunterlagen
- Unterlagen zur Beendigung des Arbeitsverhältnisses (Kündigungserklärungen, Aufhebungsvereinbarungen).
Besonders sensibel sind Gesundheitsdaten, die nur unter strengen Voraussetzungen verarbeitet werden dürfen.
Datenschutzinformation für Beschäftigte
Arbeitgeber müssen auch ihre Beschäftigten darüber informieren, zu welchen Zwecken die Daten der Beschäftigten verarbeitet werden und welche Recht der Arbeitnehmende als Betroffener hat.
Mitzuteilen sind insbesondere:
- Die Kontaktdaten des Arbeitgebers und des Datenschutzbeauftragten (sofern vorhanden),
- Die Kategorien von personenbezogenen Daten die verarbeitet werden,
- Die Zwecke für die die Daten erhoben werden,
- Die Rechtsgrundlage für die Datenverarbeitung,
- Die Speicherdauer/Löschfristen
- Mögliche Empfänger der Beschäftigtendaten (z. B. andere Konzernunternehmen oder der Betriebsrat),
- Informationen, wo die Daten verarbeitet werden (deutsche/europäische Server oder Transfer in Drittländer wie die USA)
- Die Betroffenenrechte
- Das Beschwerderecht bei der Datenschutzaufsichtsbehörde
Diese Informationen müssen den Beschäftigten in einer betriebsüblichen Variante bekannt gemacht werden. Dies kann eine Anlage zum Arbeitsvertrag sein, eine Veröffentlichung im Intranet oder ein zentraler Aushang am schwarzen Brett.
Betriebliches Eingliederungsmanagement
Ist ein Arbeitnehmer länger als 6 Wochen innerhalb eines Jahres erkrankt, ist ein sogenanntes betriebliches Eingliederungsmanagement (BEM) durchzuführen. Mit dem BEM soll den Ursachen von Arbeitsunfähigkeitszeiten nachgegangen und nach Möglichkeiten gesucht werden, künftig Arbeitsunfähigkeitszeiten zu vermeiden oder zumindest zu verringern.
Damit werden beim BEM insbesondere besonders sensible und besonders geschützte Gesundheitsdaten des Beschäftigten verarbeitet. Es empfiehlt sich daher vor der Durchführung eines BEM besondere Gedanken über den Umgang mit den im Rahmen des BEM erhobenen Daten zu machen. Dies sollte dokumentiert und dem betroffenen Mitarbeiter auch mitgeteilt werden.
Soll ein BEM durchgeführt werden ist nicht nur die ausdrückliche Zustimmung des Beschäftigten in das BEM selbst erforderlich. Im Hinblick auf den Datenschutz ist zudem eine Einwilligung in die Datenerhebung und Datenverarbeitung im Rahmen des BEM nötig.
Daten, die im Rahmen eines BEM erhoben werden, dürfen nur zum Zweck der Durchführung des BEM verwendet werden. Soweit BEM-Daten in der Personalakte gespeichert werden sollen, sind sie unter einem besonderen Zugriffsschutz getrennt von den übrigen Personaldaten aufzubewahren. In der Personalakte selbst wird nur vermerkt, ob ein BEM eingeleitet, abgeschlossen, nicht zustande gekommen, abgebrochen oder unterbrochen worden ist.
Bewerberdaten
Daten von Bewerberinnen und Bewerbern unterfallen ebenfalls der DSGVO. Auch sie sind über die Verarbeitung ihrer Daten entsprechend zu informieren. Die Aufbewahrungsfrist für Bewerberdaten beträgt üblicherweise 6 Monate. Jedenfalls wenn sie nicht eingestellt werden. Denn dann wird die Bewerbung Teil der Personalakte. Sollen Bewerbungen in einen Bewerberpool aufgenommen werden, ist eine Einwilligung erforderlich.
Beendigung des Arbeitsverhältnisses
Ist das Arbeitsverhältnis beendet stellt sich die Frage der Löschung der Mitarbeiterdaten. Aufgrund von gesetzlichen Aufbewahrungsfristen etwa aus dem Steuer- oder Sozialversicherungsrecht können sich lange Aufbewahrungsfristen ergeben. Aber auch aus dem Arbeitsrecht ergeben sich einige Löschfristen. Dies führt dazu, dass für ganz unterschiedliche Daten, die im Laufe eines Arbeitsverhältnisses gesammelt werden, ganz unterschiedliche Löschfristen gelten. Dabei können die Löschfristen nach Beendigung des Arbeitsverhältnisses noch Jahre laufen.
Stand: 27. März 2025