Beschäftigtendatenschutz

Seit dem 25. Mai 2018 gelten die Regelungen der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Spezifische Regelungen zum Beschäftigtendatenschutz finden sich in § 26 BDSG, der sich inhaltlich jedoch weitgehend mit dem bisherigen § 32 BDSG deckt. Wir haben Ihnen Antworten auf Fragen zum Beschäftigtendatenschutz und eine Reihe von Praxishilfen zusammengestellt.

1. Für wen gelten die Regelungen?

Die DSGVO und der § 26 BDSG gelten für alle Verarbeitungen personenbezogener Daten von Beschäftigungsverhältnissen – unabhängig von der Größe des Unternehmens.
Die Verarbeitung umfasst unter anderem die Erhebung, Speicherung, Veränderung, Auslesen, Verwendung, Bereitstellung bis hin zur Löschung und Vernichtung. Dabei spielt es keine Rolle, ob diese Prozesse computergestützt sind oder in Papierform erfolgen (vgl. § 26 Abs. 7 BDSG).

2. Wer gilt als Beschäftigte*r?

Beschäftigte im Sinne des § 26 Abs. 8 BDSG sind nicht nur Arbeitnehmer einschließlich Leiharbeitnehmer, sondern auch zur Berufsbildung Beschäftigte und Personen, die wegen ihrer wirtschaftlichen Unselbstständigkeit als arbeitnehmerähnliche Personen anzusehen sind. Auch Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, gelten als Beschäftigte.

3. Wann ist die Verarbeitung von Beschäftigtendaten zulässig?

Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies in der Bewerbungsphase oder oder anschließend für die Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.
Darüber hinaus dürfen Daten zur Aufdeckung von Straftaten gespeichert werden, wenn tatsächliche zu dokumentierende Anhaltspunkte einen Verdacht begründen, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten nicht überwiegt.

4. Welche Daten darf ich erheben?

§ 26 Abs. 1 S. 1 BDSG erlaubt die Verarbeitung aller personenbezogenen Daten, solange sie Zwecken wie Begründung, Durchführung oder Beendigung erforderlich ist. An die Erforderlichkeit sind im Zweifel enge Voraussetzungen zu stellen. Ob eine Verarbeitung erforderlich ist, muss objektiv anhand des konkreten Zwecks im Rahmen einer Interessenabwägung bestimmt werden. Im Fall eines Beschäftigungsverhältnisses lauten die Fragen oft: „Brauche ich diese Daten zwingend zur ordnungsgemäßen Durchführung der Beschäftigung?“ (z.B. Erhebung von Name, Geburtsdatum und Anschrift für die Personalverwaltung oder Verwendung der Stammdaten auf der Website) oder: „Bin ich per Gesetz verpflichtet, diese Daten zu verarbeiten?“ (z.B. steuer- und sozialrechtliche Pflichten).
Wenn das Unternehmen 250 und mehr Mitarbeiter beschäftigt, besondere Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO verarbeitet werden (z.B. Konfession oder Gesundheitsdaten) oder wenn die Verarbeitung ein Risiko für Recht und Freiheiten der betroffenen Person birgt, müssen Arbeitgeber*innen ein Verzeichnis von Verarbeitungstätigkeiten führen. Dieses Verzeichnis muss alle Vorgänge für Zwecke des Beschäftigungsverhältnisses enthalten.
Nach § 26 Abs. 3 BDSG ist auch die Verarbeitung besonderer Kategorien von Daten nach Art. 9 Absatz 1 DSGVO wie z.B. Religionszugehörigkeit und Gesundheitsdaten zulässig, wenn sie zur Ausübung oder Erfüllung der rechtlichen Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person überwiegt. Das umfasst z.B. die Erfassung der Religionszugehörigkeit zur Abführung der Kirchensteuer und die Verarbeitung von Gesundheitsdaten im Einzelfall (z.B. Krankmeldungen, betriebliche Wiedereingliederung). Hierzu hat der Arbeitgeber für jeden Fall eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen.

5. Wann benötige ich eine Einwilligung von Beschäftigten?

Wenn die Verarbeitung personenbezogener Daten eines Beschäftigten nicht nach bestimmten Zwecken erforderlich ist, benötigen Sie dafür die Einwilligung des Beschäftigten (z.B. Verwendung des Geburtsdatums im Geburtstagskalender, betriebliche Altersvorsorge, Veröffentlichung des Portraitfotos auf der Website). Da der Beschäftigte zu Ihnen in einem Abhängigkeitsverhältnis steht, erfordert § 26 Abs. 2 BDSG, dass die Einwilligung, damit sie als freiwillig gilt, dem Beschäftigten entweder einen rechtlichen oder wirtschaftlichen Vorteil bringt oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.
Die Einwilligung des Beschäftigten bedarf der Schriftform, soweit wegen anderer Umstände eine andere Form nicht angemessen ist. Das bedeutet, dass im Regelfall eine Einwilligung in Textform (z.B. per E-Mail) nicht ausreicht. Darüber hinaus hat der Arbeitgeber die Person über den Zweck der Verarbeitung und über ihr Widerrufsrecht nach Art. 7 Abs. 3 DSGVO in Textform aufzuklären.

6. Datentransfer im Konzern

Die Übermittlung von Personaldaten innerhalb eines Konzerns z. B. an die Tochter oder an die Konzernmutter, die die gesamte Personalverwaltung durchführt, kann auf Art. 6 Abs. 1 Buchstabe f DSGVO gestützt werden, wenn die Erforderlichkeit für den Transfer dargelegt werden kann. Damit wäre auch eine Übermittlung von Daten in Drittstaaten zulässig, wenn das angemessene Datenschutzniveau nach den Mechanismen der Art. 44 ff. DSGVO nachgewiesen werden kann.

7. Wie lange darf ich Beschäftigtendaten verarbeiten?

Die Daten dürfen nur solange gespeichert werden, bis der ursprüngliche Zweck ihrer Verarbeitung erfüllt ist oder solange die Speicherung der Daten per Gesetz vorgeschrieben ist. Das ist im Beschäftigtenverhältnis zum Beispiel der Fall, sobald ein Anspruch (Gehalt, Urlaub etc.) erfüllt oder die Frist einer vertraglichen Ausschlussklausel oder die gesetzliche Verjährungsfrist abgelaufen ist. Wenn der Arbeitgeber per Gesetz verpflichtet ist, Daten für einen gewissen Zeitraum vorzuhalten (z.B. im Steuer- oder Sozialrecht), gelten die Enden dieser Zeiträume gleichzeitig als Löschfristen, wenn die gespeicherten Daten nicht für einen anderen Zweck weiterhin erforderlich sind.
Achtung: Die Aufbewahrung, zu der der Arbeitgeber verpflichtet ist, berechtigt nicht zu einer Nutzung zu einem anderen Zweck während des Speicherzeitraums, sondern ist auf die notwendigen Vorgänge zu beschränken. So dürfen zum Beispiel steuerrechtlich gespeicherte Daten eines Beschäftigten nicht zu anderen Zwecken wie z. B. zur Datenanalyse verwendet werden. Ebenso wenig dürften Daten, die zur Auslagenerstattung eines Bewerbers gespeichert wurden, zur werblichen Nutzung verwendet werden.

8. Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erfordert eine umfassende Risikobewertung schon vor der Verarbeitung in Fällen, in denen voraussichtlich durch Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Da zur Erfüllung z. B. der Verpflichtung zur Abführung der Kirchensteuer die Religionszugehörigkeit erfasst werden muss, muss für die Verarbeitung der Personalstammdaten eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt werden. Das gilt auch bei der Verarbeitung von Gesundheitsdaten (z. B. Krankmeldungen, betriebliches Wiedereingliederungsmanagement) oder automatisierte Personalentscheidungen.
Die Folgenabschätzung erfolgt in einem zweistufigen Verfahren – zunächst muss der Verantwortliche intern abwägen, ob ein vermutetes hohes Risiko nach Art. 35 Abs. 1 DSGVO besteht. Das ist z.B. der Fall bei sensitiven Daten, umfangreichen Datenmengen oder einer automatischen Verarbeitung. Gibt es im Unternehmen einen Datenschutzbeauftragten, ist sein Rat einzuholen. Liegt nach interner Abschätzung ein vermutetes hohes Risiko vor, muss im zweiten Schritt die Aufsichtsbehörde nach Art. 36 Abs. 1 konsultiert werden. Die Folgenabschätzung enthält gemäß Abs. 7 zumindest eine systemische Beschreibung der geplanten Verarbeitungsvorgänge und Zwecke der Verarbeitung, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit in Bezug auf den Zweck, eine Bewertung der Risiken für Rechte und Freiheiten der betroffenen Personen und die geplanten Abhilfemaßnahmen einschließlich Garantien und Sicherheitsvorkehrungen.
Kommt der Verantwortliche zum Ergebnis, dass ein vermutetes hohes Risiko vorliegt, hat er die erforderlichen technisch-organisatorischen Maßnahmen zum Schutz dieser Daten zu treffen. Das können u.a. sein:
  • Zugriffskontrolle und –dokumentierung
  • Schutz per physischer Zugangskontrolle, Passwort und/oder Verschlüsselung
  • Gewährleistung der Wiederherstellbarkeit und Datenintegrität (z.B. Backup-Strategie)
  • Sicherstellen der Zuverlässigkeit und Erreichbarkeit der Systeme
Der Katalog des § 64 Abs. 3 BDSG bietet Verantwortlichen eine gute Orientierung über mögliche Maßnahmen.

9. Anpassung von Kollektivvereinbarungen

Bisherige Betriebs- oder Dienstvereinbarungen müssen ebenfalls auf ihre Übereinstimmung mit der DSGVO überprüft werden. Dabei geht es insbesondere um die erhöhten Transparenzplichten nach Art. 13 und 14 DSGVO, also die Informationspflichten gegenüber der betroffenen Person, hier den Beschäftigten. Die Informationspflichten betreffen insbesondere den genauen Datenkranz, der verarbeitet wird, die Zwecke sowie die Angaben, an wen die Daten übermittelt werden. Davon umfasst ist auch der Hinweis auf etwaige Übermittlungen in Drittstaaten. Die Beschäftigten müssen auch über ihre Rechte nach Art. 12 DSGVO informiert werden:
  • Auskunftsrecht, Art. 15 DSGVO
  • Recht auf Berichtigung der Daten, Art. 16 DSGVO
  • Recht auf Löschung von Daten, Art. 17 DSGVO
  • Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO
  • Recht auf Datenübertragbarkeit, Art. 20 DSGVO
Um Ihre Betriebsvereinbarungen zu überprüfen, können Sie unser  Prüfschema nutzen.

10. Praxisbeispiel 1: Veröffentlichung von Beschäftigtendaten und Fotos

Auf modernen Online-Unternehmensauftritten im Internet oder in sozialen Medien veröffentlichen Unternehmen gerne Beschäftigtendaten und Fotos ihrer Mitarbeiter. Das wird auch in Zukunft möglich sein, wenn Sie folgende einfache Grundsätze beachten:
Da die Verarbeitung von Daten über die Durchführung eines Beschäftigungsverhältnisses hinaus immer der Zustimmung der betroffenen Person bedarf (Grundsatz des Verbots mit Einwilligungsvorbehalt), ist zuerst zu prüfen, ob eine Veröffentlichung zur Durchführung des Beschäftigungsverhältnisses erforderlich ist. Das ist zum Beispiel anzunehmen, wenn es sich bei den Personen, für die Sie Beschäftigtendaten veröffentlichen wollen, um Funktionsträger handelt (z.B. Kundenbetreuer, Beschwerdeabteilung, Geschäftsführer). In diesem Fall ist die Veröffentlichung der Basiskommunikationsdaten (Name, Funktions-/Tätigkeitsbereich, Dienstanschrift, E-Mail-Adresse, Telefon-/Faxnummer) auch ohne Einwilligung möglich.
Handelt es sich nicht um Funktionsträger oder wollen Sie zusätzliche Daten wie z.B. Konfession, Geburtsdatum oder Berufsabschluss veröffentlichen, müssen Sie stets die Einwilligung des Beschäftigten einholen.
Auch Fotos dürfen gemäß § 22 S. 1 Kunsturhebergesetz (KunstUrhG) nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Auch veröffentlichte Beschäftigtendaten und Fotos der Mitarbeiter sind nach deren Ausscheiden zu entfernen, wenn der erforderliche Zweck erreicht wurde. Bei einwilligungspflichtigen Daten hat die Löschung  sofort nach Beendigung des Beschäftigungsverhältnisses zu erfolgen. Fotos dürfen nach Prüfung des Einzelfalles weiterverwendet werden, wenn ihnen ein ausschließlich illustrierender Charakter beizumessen ist und kein auf die individuelle Person Bezug nehmender Inhalt transportiert wird.

11. Praxisbeispiel 2: Dienstlicher E-Mail-Account

Nach Beendigung des Beschäftigungsverhältnisses stellt sich dem Arbeitgeber die Frage, ob er den dienstlichen E-Mail-Account sofort löschen kann oder ob der Beschäftigte auch nach Beschäftigungsende zumindest für einen gewissen Zeitraum noch ein Recht auf Zugriff oder Nutzung hat.
Gestattet der Arbeitgeber auch die private Nutzung des E-Mail-Accounts, ist von einer Löschung solange abzusehen, bis geklärt wurde, ob der Beschäftigte an den Datenbeständen kein Interesse mehr hat. In diesem Fall sollte der Arbeitgeber dem Beschäftigten nach Beendigung oder kurz davor die Möglichkeit der Sicherung seiner privaten E-Mail-Daten geben, um sich nicht schadensersatzpflichtig zu machen.
Ist die private Nutzung des betrieblichen E-Mail-Accounts ausgeschlossen, handelt es sich nur um ein Arbeitsmittel des Arbeitgebers. In diesem Fall kann der Arbeitgeber alle dienstlichen und auch unbefugt privat versandten/empfangenen E-Mails löschen, ohne sich der Gefahr von Rechtsansprüchen auszusetzen.

12. Praxisbeispiel 3: Mobiles Arbeiten / Home Office

Erlaubt der Arbeitgeber seinen Beschäftigten, Arbeitsleistungen unterwegs und/oder zu Hause zu erledigen, hat er sicherzustellen, dass Betriebsdaten, auf die der Beschäftigte zugreift, ausschließlich über geeignete Autorisierung und Verschlüsselung der Übertragung über das Internet abrufbar sind (z.B. ausschließlich per VPN). Auf der anderen Seite hat er den Beschäftigten zu verpflichten, bei der Verwendung und Speicherung der betrieblichen Daten verantwortungsvoll und nach dem Stand der Technik vorzugehen (z.B. aktualisiertes Betriebssystem, Virenschutz, Verschlüsselung für besonders sensitive Daten). Als Vorlage können Sie unser Beispiel für datenschutzrechtliche Regelungen beim mobilen Arbeiten / Home Office nutzen.