Datenschutz im Arbeitsverhältnis

Personenbezogene Daten

Arbeitgeber müssen für die Duchführung eines Beschäftigungsverhältnisses personenbezogene Daten des Mitarbeiters erheben und speichern. Andernfalls könnte eine Personalakte nicht geführt und auch keine monatliche Lohn- bzw. Gehaltsabrechnung vorgenommen werden.
Für die Verarbeitung personenbezogener Daten von Beschäftigten benötigt der Arbeitgeber eine rechtliche Erlaubnis. Zentrale Rechtsgrundlage hierfür ist § 26 Abs. 1 Bundesdatenschutzgesetz (BDSG). Danach ist die Datenverarbeitung erforderlich
  • für Zwecke des Beschäftigungsverhältnisses, § 26 Abs. 1 S. 1 BDSG
  • zur Aufdeckung von konkreten Anhaltspunkten einer betriebsbezogenen Straftat, oder zur Aufdeckung von Pflichtverstößen im Arbeitsverhältnis, § 26 Abs. 1 S. 2 BDSG
Zu den Informationen, die üblicherweise vom Mitarbeiter erhoben werden, gehören, u.a.:
  • Name, Vorname, Anschrift, Geburtsdatum, Geburtsort, Familienstand, Religionszugehörigkeit, E-Mail-Adresse, Telefonnummer, Personalnummer,
  • Beschäftigungszeitpunkt, Arbeitszeit (Kommen/Gehen/Krankheit/Urlaub), Dienstreisen), Sozialversicherungsdaten
  • Höhe des Gehalts, Kontodaten (Bank, IBAN)
  • Beurteilungen (Beurteilungsbögen, Arbeitsergebnisse, Abmahnungen etc.), Schulungen
  • Arbeitsvertrag, Zeugnisse, Qualifikationen
  • Unterlagen zur Beendigung des Arbeitsverhältnisses (Kündigungserklärungen, Aufhebungsvereinbarungen).
Die Anwendbarkeit des Datenschutzrechts erstreckt sich auch auf die nichtautomatisierte Datenverarbeitung, § 26 Abs. 7 BDSG, d.h. Informationen über den Mitarbeiter, die durch Befragung oder Beobachtung gewonnen werden.

Ist eine Einwilligung im Arbeitsverhältnis “freiwillig”?

Die Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO) ist im Arbeitsverhältnis nur bedingt als Rechtsgrundlage tauglich. Eine pauschale Einwilligung in alle Datenverarbeitungen im Beschäftigtenverhältnis ist somit nicht möglich. Das Problem bei der Einwilligung im Arbeitsverhältnis ist das Abhängigkeitsverhältnis des Beschäftigten zum Arbeitgeber, wodurch der Beschäftigte seine Einwiligung in der Regel nicht freiwillig erteilen kann.
Falgruppen für eine Freiwilligkeit der Einwilligung:
  • Der Beschäftigte erlangt einen Vorteil
  • Es bestehen gleichgelagerte Interessen des Arbeitgebers und des Beschäftigten
Dies ist in der Regel der Fall bei Zusatzleistungen des Arbeitgebers, wie die private Nutzung von Internet/E-Mail bzw. Dienst-Kfz, die Einführung eines betrieblichen Gesundheitsmanagements zur Gesundheitsförderung, oder eine Aufnahme in Geburtstagslisten. Hier entstehen dem Mitarbeiter im Fall der Nichtinanspruchnahme in der Regel keine negativen Folgen. Daher kann er in diese Datenverarbeitungen freiwillig einwilligen. Bei Einholen der Einwilligung ist auf die Freiwilligkeit und die jederzeitige Möglichkeit des Widerrufs mit Wirkung für die Zukunft hinzuweisen. Außerdenm ist darüber zu informieren, dass der Mitarbeiter bei Verweigerung der Einwilligung keine Nachteile oder Sanktionen zu befürchten hat.

Ist der Mitarbeiter über die Verwendung seiner Daten zu informieren?

Der Mitarbeiter ist darüber zu informieren in welchem Umfang und für welche Zwecke seine Daten verarbeitet werden und welche Rechte er als Betroffener hat.
Der Arbeitgeber hat mitzuteilen:
  • Kontaktdaten des Arbeitgebers und des Datenschutzbeauftragten (sofern ein solcher bestellt werden muss, oder freiwillig bestellt ist)
  •  Rechtsgrundlage und Zweck der Verarbeitung (dies ist in der Regel §26 Abs. 1 S. 1 BDSG)
  • Speicherungsdauer der Bewerbungsunterlagen bzw. die Kriterien für die Aufbewahrungsdauer
  • Mögliche Empfänger der Bewerbung (zum Beispiel andere Niederlassungen oder Tochterfirmen innerhalb der Unternehmensgruppe)
  • Mögliche Drittstaatentransfers (zum Beispiel in die USA) und die hierfür verwendeten Datenschutz-Garantien (zum Beispiel sog. EU-Standardvertragsklauseln oder die Einwilligung des Bewerbers)
  • Beschwerderecht des Betroffenen bei der zuständigen Aufsichtsbehörde
  • Hinweis auf das Widerrufsrecht bei Einwilligung des Betroffenen
  • Belehrung über die Rechte des Betroffenen (Auskunftsrecht, Art. 15 DSGVO, Recht auf Datenberichtigung, Art. 16 DSGVO, Recht auf Löschung, Art. 17 DSGVO, Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO, Widerspruchsrecht, Art. 21 DSGVO, Recht auf Datenübertragbarkeit, Art. 20 DSGVO).
Diese Informationen können dem Mitarbeiter persönlich ausgehändigt werden (zum Beispiel als Anlage zum Arbeitsvertrag). Es bieten sich allerdings auch die im Unternehmen üblicherweise zur Verfügung stehenden Kanäle an, wie zum Beispiel Veröffentlichungen im Intranet, ein zentraler Aushang am schwarzen Brett oder eine entsprechende E-Mail an alle Mitarbeiter.

Darf der Mitarbeiter Internet und E-Mail am Arbeitsplatz privat nutzen?

Am Arbeitsplatz stellt sich häufig die Frage, ob der Arbeitnehmer das Internet privat nutzen darf und/oder private E-Mails über den betrieblichen E-Mail Account versenden darf.
Für den Arbeitgeber bedeutet dies gleichzeitig die Frage, ob er dann noch auf das E-Mail-Postfach der Beschäftigten zugreifen darf, und/oder, ob er die Internetnutzung kontrollieren darf. Entscheidend ist, ob die private Nutzung vom Arbeitgeber verboten oder zum Beispiel im Arbeitsvertrag oder mittels Betriebsvereinbarung erlaubt worden ist.

1. Die private Nutzung ist untersagt

Wenn die private Nutzung nicht erlaubt wurde, dürfen die betrieblichen Internet- und E-Mail-Dienste nur für die betriebliche Tätigkeit genutzt werden. Eine systematische und lückenlose Vollkontrolle durch den Arbeitgeber, ob sich der Mitarbeiter daran hält, ist unzulässig. Der Arbeitgeber kann stichprobenartig und zeitlich begrenzt kontrollieren (Logfiles und Internetserver), ob das „Surfverhalten“ betrieblichen Zwecken dient. Allerdings ohne Herstellung eines Personenbezugs, d.h. insbesondere auch ohne Einbeziehung der IP-Adresse und anderer Merkmale zur Identifizierung der einzelnen Beschäftigten. Zur Aufdeckung von Straftaten dürfen personenbezogene Daten der Beschäftigten im Einzelfall erhoben, verarbeitet oder genutzt werden, wenn tatsächlich konkrete Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat oder Pflichtverstöße im Arbeitsverhältnis begangen hat und die jeweilige Maßnahme zur Aufdeckung erforderlich ist. Ist die private Nutzung untersagt, dürfen ein- und ausgehenden dienstlichen E-Mails vom betrieblichen E-Mail-Account durch den Arbeitgeber eingesehen werden, da es sich   um rein dienstliche Korrespondenz handelt, auf die er Zugriff nehmen darf. E-Mails dürfen vom Arbeitgeber nicht weiter inhaltlich zur Kenntnis genommen werden, sobald ihr privater Charakter erkannt wurde.
Achtung: Wichtig ist, dass das Verbot der Privatnutzung auch tatsächlich kontrolliert wurde und nicht geduldet oder hingenommen worden ist. Ansonten ist es möglich, dass durch Kenntnis und Duldung  eine sog. “betriebliche Übung” entsteht und die Privatnutzung konkludent genehmigt worden ist.

2. Die private Nutzung ist erlaubt

Ist die Nutzung des Internets und des betrieblichen E-Mail-Postfachs zu privaten Zwecken erlaubt, wird der Arbeitgeber hinsichtlich der privaten Nutzung nach Aufassung der Datenschutzaufsichtsbehörden zum Diensteanbieter im Sinne des Telekommunikationsgesetzes und unterliegt den Datenschutzbestimmungen des Telemediengesetzes. Er ist daher grundsätzlich zur Wahrung des Fernmeldegeheimnisses verpflichtet (eine höchstrichterliche Klärung steht diesbzgl. noch aus). Ein Zugriff auf Daten, die dem Fernmeldegeheimnis unterliegen, ist dem Arbeitgeber grundsätzlich nur mit Einwilligung der Beschäftigten erlaubt. Dies betrifft die Daten, aus denen sich ergibt, welche Internetseiten welche Beschäftigten wann aufgerufen haben (Protokolldaten) und den privaten E-Mailverkehr auf betrieblichen Rechnern.
Der Arbeitgeber kann die Erlaubnis zur privaten Nutzung des betrieblichen E-Mail-Postfachs bzw. der privaten Internetnutzung von Bedingungen abhängig machen: In Betracht kommen Nutzungsregelungen und deren Kontrolle (insbesondere zum zeitlichen Umfang, Inhalt der Nutzung und Verhaltensregeln) und Zugriffsmöglichkeiten des Arbeitgebers. Hierfür ist allerdings eine Einwilligung der Beschäftigten einzuholen, die sich auf Art und Umfang der Kontrollen und Nutzungsregeln zu beziehen hat.
Sämtliche Fragen zur Privatnutzung – die Nutzungsregelungen (zeitlicher Umfang, Verhaltensregeln) und die Zugriffsmöglichkeiten (Informationen über geplante Kontrollen und Protokollierung von Daten) - sollten im Arbeitsvertrag oder mittels Betriebsvereinbarung geregelt  werden. Die Beschäftigten müssen vor Abgabe der Einwilligung Kenntnis von den aufgestellten Regeln haben. In der jeweiligen Vereinbarung sollte daher der Gegenstand der späteren, individuellen Einwilligungen beschrieben werden. Auf dieser Grundlage sollten die individuellen Einwilligungen der einzelnen Beschäftigten eingeholt werden. Die Einwilligung sollte mit gesondertem Dokument erklärt werden. Der Mitarbeiter ist darauf hinzuweisen, dass seine Einwilligung freiwillig ist und er diese jederzeit mit Wirkung für die Zukunft widerrufen kann. Allerdings entfällt dann auch das Recht zur privaten Nutzung.
Auf der Grundlage der Einwilligung des Beschäftigten darf eine jeweils anonyme Protokollierung der Internetnutzung und Auswertung der Protokolldaten vorgenommen werden. Eine ständig laufende und lückenlose Überwachung oder Speicherung der Daten ist nicht möglich. Daher sollte zunächst überprüft werden, ob überhaupt verbotene Internetinhalte von den Beschäftigten aufgerufen werden. Erst wenn sich sich Hinweise auf eine missbräuchliche Nutzung ergeben, sollte eine weitregehende Protokolierung und Auswertung erfolgen. Eine personenbezogene Auswertung von Protokolldaten oder Einsehen in das E-Mail-Postfach darf nur anlassbezogen bei einem konkreten Verdacht wegen einer Straftat, oder bei konkreten Anhaltspunkten für eine Arbeitspflichtverletzung in verhältnismäßigem Rahmen erfolgen.  So sollte die Kontrolle in Anwesenheit des Betroffenen und im Beisein des Datenschutzbeauftragten und/oder des Betriebsrates/Personalrates erfolgen. Das Lesen offensichtlich privater E-Mails ist ausgeschlossen, es sei denn, es bestehen konkrete Anhaltspunkte, dass sich die Straftat oder der Arbeitspflichtverstoß gerade aus dem Inhalt dieser privaten E-Mails ergibt.
Ist der private E-Mail-Verkehr vom betrieblichen E-Mail-Postfach erlaubt, sollte der Arbeitgeber klare Vorgaben machen, welche Einstellungen die Beschäftigten vorzunehmen haben, wenn sie - geplant oder nicht geplant – abwesend sind (zum Beispiel Abwesenheitsnotiz). Wurden diese Einstellungen nicht vorgenommen (etwa weil es bei einer ungeplanten Abwesenheit nicht möglich war oder weil es vergessen wurde), darf ein Zugriff auf das betriebliche E-Mail-Postfach der betroffenen Beschäftigten - soweit dies für betriebliche Zwecke erforderlich ist - nur mit vorab eingeholter Einwilligung des betroffenen Mitarbeiters erfolgen.
Ein Zugriff auf bereits vor der Abwesenheit der jeweiligen Beschäftigten eingegangenen E-Mails ist ebenfalls nur zulässig, soweit dieser für betriebliche Zwecke erforderlich ist und vorab die Einwilligung eingeholt wurde.
Tipp: Um die Problematik des Zugriffs auf betriebliche E-Mails bei erlaubter Privatnutzung zu vermeiden, sollten private E-Mails ausschließlich über private E-Mail-Postfächer gesendet und empfangen werden.
Wichtig für das Unternehmen: ein Anspruch auf private Nutzung von E-Mail- oder Internetzugang besteht nicht. Soweit der Arbeitgeber die private Nutzung ausnahmsweise gestattet, erfolgt dies in seinem freien Ermessen (es sei denn die private Nutzung wurde arbeitsvertraglich oder in einem Tarifvertrag zugesichert). Die Nutzungserlaubnis kann also wieder zurückgenommen werden. Ein Vorbehalt, die private Nutzung zu widerrufen, sollte daher in der Nutzungsvereinbarung aufgenommen werden.
Die Datenschutzaufsichtsbehörden der Länder und des Bundes (Deutsche Datenschutzkonferenz) haben zu diesem Themenkreis eine ausführliche Orientierungshilfe erstellt.
Das Unabhängige Landeszentrum für Datenschutzaufsicht Schleswig-Holstein stellt ein Stufenmodell für die private Internetnutzung bereit.

Was ist beim Outsourcing von Human Ressources (HR)-Aufgaben zu beachten?

Bestimmte HR-Prozesse werden von Unternehmen inzwischen vielfach an externe Dienstleister ausgelagert, d.h. personenbezogene Mitarbeiterdaten werden an diese übermittelt, oder sie erhalten Zugriff darauf. Beispiele: Bewerber-Management und Recruiting, Lohn- und Gehaltsabrechnungen,  oder Personalverwaltungsaufgaben wie die Anmeldung bei der Renten- und Sozialversicherungsstelle, Reisekostenabrechnung, Zeiterfassung, externer Aktenvernichter, externer IT-Support (Wartung und Pflege von IT-Systemen).
Mit externen Dienstleistern, die Aufgaben für den Arbeitgeber übernehmen und dabei Mitarbeiterdaten verarbeiten, oder denen Mitarbeiterdaten zur Kenntnis gelangen können, ist eine Vereinbarung über die Auftragsverarbeitung zu schließen. Auftragsverarbeitung bedeutet Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Dienstleister im Auftrag des Verantwortlichen (hier: Arbeitgeber) nach dessen Weisungen.
Der Katalog des notwendigen Inhalts von Auftragsverarbeitungsverträgen lässt sich Art. 28 DSGVO entnehmen. Ein Muster für einen Auftragsverarbeitungsvertrag stellt der Landesbeauftragte für den Datenschutz Baden-Württemberg zur Verfügung.
Ein spezielles Problem stellt sich, wenn die Beschäftigtendaten an einen externen Dritten, oder an eine Tochtergesellschaft, oder auch an das Mutterunternehmen in einem Drittstaat (zum Beispiel USA) transferiert werden. Dann müssen zusätzlich spezielle datenschutzrechtliche Garantien eingehalten werden. Mehr zum Umgang mit personenbezogenen Daten bei Auslagerung von Datenverarbeitungen in Drittlnder finden Sie im IHK-Artikel zum Datenschutz in der Cloud-Anwendung.

Was passiert mit den Daten bei Beendigung des Beschäftigungsverhältnisses?

Der Grundsatz der DSGVO lautet: personenbezogene Daten sind zu löschen, wenn sie nicht mehr erforderlich sind. Sind die Daten nach Beendigung des Beschäftigungsverhältnis (zum Beispiel durch Kündigung oder Aufhebungsvertrag) noch erforderlich, können Sie für einen Zeitraum danach noch gespeichert werden, zum Beispiel solange die Möglichkeit einer Kündigungsschutzklage besteht oder eine solche andauert, oder soweit Daten notwendig zur Erfüllung der nachträglichen Vertragspflichten sind, wie eine betriebliche Altersversorgung oder ein nachvertragliches Wettbewerbsverbot. Bestehen gesetzliche Aufbewahrungspflichten, sind die Daten erst nach Ablauf dieser gesetzlichen Frist zu löschen. Gesetzlich bestehen folgende Aufbewahrungsfristen im Beschäftigungsverhältnis (keine abschließende Aufzählung):   
  • Buchungsbelege (insb. Quittungen der bezahlten Arbeitslöhne, Spesenabrechnungen) gemäß §§ 257 HGB, 147 AO: 10 Jahre
  • Dokumente, die Ansprüche auf Leistungen aus der betrieblichen Altersvorsorge beinhalten gemäß § 18a BetrAVG: 30 Jahre
  • Meldungen an den Pensionssicherungsfonds über die Höhe des für die Beitragsbemessung maßgebenden Betrages nach § 11 Abs. 2 S. 1 BetrAVG: 6 Jahre
  • Entgeltunterlagen sind bis zum Ablauf des auf die letzte Betriebsprüfung folgenden Kalenderjahres aufzubewahren gemäß § 28f Abs. 1 i.V.m. § 28p SGB IV: 5 Jahre
  • Handelsbriefe (insb. Arbeitsverträge, Änderungsverträge, Gehaltszusagen, Zielvereinbarungen, Akkord-/Stundenlohn-/Schichtzettel, sonstige Lohnunterlagen mit steuerlicher Bedeutung; E-Mail-Korrespondenz) gemäß §§ 257 HGB, 147 AO: 6 Jahre
  • Geschäftsunterlagen im Rahmen der Arbeitnehmerüberlassung gemäß § 7 Abs. 2 AÜG: 3 Jahre
  • Aufzeichnungen des Entleihers zur Arbeitszeit eines Leiharbeitnehmers gemäß § 17c Abs. 1 AÜG: mindestens 2 Jahre
  • Arbeitszeitnachweise gemäß § 16 Abs. 2 ArbZG: 2 Jahre
  • Aufzeichnungen über Beginn, Ende und Dauer der täglichen Arbeitszeit der geringfügig Beschäftigten nach § 17 Abs. 1 MiLoG: 2 Jahre
  • Aufzeichnung über Beginn, Ende und Dauer der täglichen Arbeitszeit bei grenzüberschreitend entsandten oder regelmäßig im Inland beschäftigten Arbeitnehmern gemäß § 19 Abs. 1 AEntG: mindestens 2 Jahre ab Aufzeichnung
  • Informationen, die für Nachweise und Meldungen an den Unfallversicherungsträger erforderlich sind (Lohnnachweis) gemäß § 165 Ab. 4 SGB VII: mindestens 5 Jahre
  • Mutterschutz: diverse Unterlagen aus denen z.B. der Namen der schwangeren oder stillenden Frau, die Art und der zeitliche Umfang ihrer Beschäftigung, die Entgelte, die an sie gezahlt worden sind etc. ersichtlich sind gemäß § 27 Abs. 5 MuSchG: mindestens 2 Jahre nach der letzten Eintragung
  • Kopien des Aufenthaltstitels, der Aufenthaltserlaubnis, einer Bescheinigung über die Aufenthaltsgestattung oder die Aussetzung der Abschiebung eines ausländischen Beschäftigten nach § 4 Abs. 3 S. 5 AufenthG: bis zur Beendigung der Beschäftigung.
  • Arbeitszeugnisse sind solange aufzubewahren, wie Ansprüche vom ehemaligen Arbeitnehmer geltend gemacht werden können gemäß § 195 BGB: 3 Jahre (allgemeine Verjährungsfrist)
  • Abgelehnte Bewerberdaten nach spätestens 4 bis 6 Monaten (bei Einwilligung ist eine längere Speicherung möglich). Näheres hierzu im IHK-Artikel zum Datenschutz im Bewerbungsverfahren.
Weiterführende Informationen finden sich im Ratgeber zum Beschäftigtendatenschutz des Landesdatenschutzbeauftragten Baden-Württemberg.
Dieses Artikel soll – als Service Ihrer IHK Region Stuttgart – nur erste Hinweise geben und erhebt daher keinen Anspruch auf Vollständigkeit. Obwohl dieser Artikel mit größtmöglicher Sorgfalt erstellt wurde, kann eine Haftung für die inhaltliche Richtigkeit nicht übernommen werden.