Recht und Steuern
Datenschutz im Arbeitsverhältnis
Personenbezogene Daten im Beschäftigungsverhältnis
Arbeitgeber müssen für die Durchführung eines Beschäftigungsverhältnisses personenbezogene Daten der Beschäftigten erheben und verarbeiten. Dies ist erforderlich, um die Personalakte zu führen, die Lohn- und Gehaltsabrechnung vorzunehmen und weitere arbeitsrechtliche Pflichten zu erfüllen. Die Verarbeitung ist nur zulässig, wenn eine Rechtsgrundlage besteht. Zentrale Rechtsgrundlage ist § 26 Abs. 1 BDSG: Die Verarbeitung ist erlaubt, wenn sie für die Entscheidung über die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Zur Aufdeckung von Straftaten oder Pflichtverstößen dürfen personenbezogene Daten nur bei dokumentierten Verdachtsmomenten und unter strengen Voraussetzungen verarbeitet werden (§ 26 Abs. 1 S. 2 BDSG).
Zu den typischerweise erhobenen Daten gehören insbesondere: Name, Vorname, Anschrift, Geburtsdatum, Geburtsort, Familienstand, Religionszugehörigkeit, E-Mail-Adresse, Telefonnummer, Personalnummer, Beschäftigungszeitpunkt, Arbeitszeit, Dienstreisen, Sozialversicherungsdaten, Gehalt, Kontodaten, Beurteilungen, Schulungen, Arbeitsvertrag, Zeugnisse, Qualifikationen und Unterlagen zur Beendigung des Arbeitsverhältnisses.
Das Datenschutzrecht gilt auch für nichtautomatisierte Datenverarbeitung (§ 26 Abs. 7 BDSG), also auch für manuell erhobene Informationen durch Befragung oder Beobachtung.
Zu den typischerweise erhobenen Daten gehören insbesondere: Name, Vorname, Anschrift, Geburtsdatum, Geburtsort, Familienstand, Religionszugehörigkeit, E-Mail-Adresse, Telefonnummer, Personalnummer, Beschäftigungszeitpunkt, Arbeitszeit, Dienstreisen, Sozialversicherungsdaten, Gehalt, Kontodaten, Beurteilungen, Schulungen, Arbeitsvertrag, Zeugnisse, Qualifikationen und Unterlagen zur Beendigung des Arbeitsverhältnisses.
Das Datenschutzrecht gilt auch für nichtautomatisierte Datenverarbeitung (§ 26 Abs. 7 BDSG), also auch für manuell erhobene Informationen durch Befragung oder Beobachtung.
Einwilligung im Arbeitsverhältnis
Die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 26 Abs. 2 BDSG ist im Arbeitsverhältnis nur eingeschränkt als Rechtsgrundlage tauglich, da das Abhängigkeitsverhältnis die Freiwilligkeit regelmäßig infrage stellt. Freiwilligkeit kann insbesondere vorliegen, wenn für den Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil entsteht oder gleichgelagerte Interessen bestehen, z. B. bei Zusatzleistungen wie privater Internetnutzung, Gesundheitsmanagement oder Geburtstagslisten. Die Einwilligung muss schriftlich oder elektronisch erfolgen und jederzeit widerrufbar sein; über den Widerruf ist zu informieren.
Informationspflichten des Arbeitgebers
Der Arbeitgeber muss Beschäftigte umfassend über die Verarbeitung ihrer Daten informieren, insbesondere über:
Kontaktdaten des Verantwortlichen und ggf. des Datenschutzbeauftragten
- Zwecke und Rechtsgrundlagen der Verarbeitung
- Speicherdauer bzw. Kriterien für die Aufbewahrung
- Empfänger der Daten, Drittstaatentransfers und eingesetzte Garantien (z. B. EU-Standardvertragsklauseln)
- Rechte der Betroffenen (Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch, Datenübertragbarkeit)
- Beschwerderecht bei der zuständigen Aufsichtsbehörde
- Hinweis auf das Widerrufsrecht bei Einwilligung.
Die Information kann schriftlich, elektronisch oder über übliche betriebliche Kommunikationswege erfolgen.
Private Nutzung von Internet und E-Mail am Arbeitsplatz
Die Zulässigkeit der privaten Nutzung hängt von der ausdrücklichen Gestattung durch den Arbeitgeber ab (Arbeitsvertrag, Betriebsvereinbarung). Ist die Privatnutzung untersagt, sind personenbezogene Vollkontrollen unzulässig; stichprobenartige, anlassbezogene Kontrollen sind zulässig, sofern kein Personenbezug hergestellt wird. Bei erlaubter Privatnutzung unterliegt der Arbeitgeber dem Fernmeldegeheimnis und darf nur mit Einwilligung auf private Kommunikationsdaten zugreifen; die Einwilligung muss freiwillig und widerrufbar sein. Kontrollen sind nur bei konkretem Verdacht und unter Wahrung der Verhältnismäßigkeit zulässig.
Outsourcing von HR-Aufgaben
Bei Auslagerung von HR-Prozessen an externe Dienstleister ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich, der die datenschutzrechtlichen Anforderungen und Weisungsgebundenheit des Dienstleisters regelt. Bei Datenübermittlung in Drittstaaten sind zusätzliche Garantien (z. B. EU-Standardvertragsklauseln) nötig.
Löschung und Aufbewahrung von Beschäftigtendaten
Personenbezogene Daten sind nach Beendigung des Beschäftigungsverhältnisses zu löschen, sobald sie nicht mehr erforderlich sind (Art. 17 DSGVO, § 26 BDSG). Gesetzliche Aufbewahrungsfristen müssen beachtet werden. Die nachfolgende Aufzählung ist nicht abschließend; insbesondere können folgende Unterlagen betroffen sein:
1. Entgeltabrechnungen und Lohnkonten:
- Entgeltabrechnungen: 6 Jahre (§ 257 Abs. 1, 4 HGB).
- Lohnkonten: 6 Jahre ab dem Ende des Kalenderjahres der letzten Eintragung (§ 41 Abs. 1 S. 9 EStG).
2. Entgeltunterlagen für Sozialversicherung:
- Bis zum Ablauf des auf die letzte sozialversicherungsrechtliche Prüfung folgenden Kalenderjahres, mindestens 5 Jahre (§ 28f Abs. 1 SGB IV).
3. Arbeitszeitnachweise:
- Überstunden und Arbeitszeitverlängerungen: 2 Jahre (§ 16 Abs. 2 ArbZG)
- Arbeitszeitaufzeichnungen für geringfügig Beschäftigte und nach Mindestlohngesetz: 2 Jahre (§ 17 MiLoG).
4. Unterlagen zur Arbeitnehmerüberlassung:
- Aufzeichnungen zur Arbeitszeit von Leiharbeitnehmern: 2 Jahre (§ 17c AÜG).
5. Unfallversicherungsrelevante Unterlagen:
- Lohnnachweise und andere relevante Dokumente: 5 Jahre (§ 165 Abs. 4 SGB VII).
6. Mutterschutzunterlagen:
- Unterlagen zu schwangeren/stillenden Beschäftigten: 2 Jahre nach der letzten Eintragung (§ 27 Abs. 5 MuSchG).
7. Handels- und steuerrechtliche Unterlagen:
- Buchungsbelege, Inventare, Jahresabschlüsse, Arbeitsanweisungen: 10 Jahre (§ 257 Abs. 1, 4 HGB; § 147 AO).
- Handelsbriefe, Reisekostenabrechnungen, Fahrtenbücher, Rechnungsbelege: 6 Jahre (§ 257 Abs. 1, 4 HGB; § 147 AO).
8. Bewerberdaten:
- Nach Abschluss des Auswahlverfahrens spätestens nach 4–6 Monaten zu löschen, sofern keine Einwilligung für längere Speicherung vorliegt.
9. Allgemeine Verjährungsfrist für arbeitsrechtliche Ansprüche:
- Arbeitszeugnisse und Unterlagen zu Ansprüchen aus dem Arbeitsverhältnis: 3 Jahre (§ 195 BGB).
Beginn der Frist:
Die Aufbewahrungsfrist beginnt jeweils mit dem Schluss des Kalenderjahres, in dem die jeweilige Unterlage entstanden ist bzw. die letzte Eintragung erfolgte (§ 257 Abs. 5 HGB).
Die Aufbewahrungsfrist beginnt jeweils mit dem Schluss des Kalenderjahres, in dem die jeweilige Unterlage entstanden ist bzw. die letzte Eintragung erfolgte (§ 257 Abs. 5 HGB).
Datenschutzrechtlicher Rahmen:
Nach Ablauf der gesetzlichen Aufbewahrungsfristen sind personenbezogene Beschäftigungsdaten unverzüglich zu löschen, sofern keine berechtigten Interessen oder weitere gesetzliche Pflichten entgegenstehen (Art. 17 DSGVO, § 35 BDSG).
Nach Ablauf der gesetzlichen Aufbewahrungsfristen sind personenbezogene Beschäftigungsdaten unverzüglich zu löschen, sofern keine berechtigten Interessen oder weitere gesetzliche Pflichten entgegenstehen (Art. 17 DSGVO, § 35 BDSG).