Beschäftigtendatenschutz DSGVO & BDSG: Was Sie wissen müssen
(6 Praxisbeispiele)

Der Beschäftigtendatenschutz (oder auch Arbeitnehmerdatenschutz) regelt den DSGVO-konformen Umgang mit Mitarbeiterdaten. Dabei steht jedes Unternehmen in der Pflicht, den Datenschutz und die Datensicherheit sicherzustellen.

Ob Konzern oder 2-Personen-Startup: Egal wie groß ein Unternehmen ist, Beschäftigtendaten fallen
immer an
. Dazu gehören persönliche Daten der Mitarbeitenden, Zeugnisse oder auch Daten für die Lohnabrechnung. Daten, die Rückschlüsse auf die Gesundheit von Mitarbeitenden oder ihre Familienverhältnisse ermöglichen, zählen ebenfalls hierzu. Dabei regelt der Beschäftigtendatenschutz neben dem Schutz der personenbezogenen Mitarbeiterdaten auch, dass die Beschäftigten geschäftsrelevante Informationen DSGVO-konform behandeln.

Dieser Blogbeitrag erläutert die gesetzlichen Grundlagen zum Beschäftigtendatenschutz bzw. Arbeitnehmerdatenschutz nach DSGVO und BDSG. Mit unseren 6 Praxisbeispielen erfahren Sie,
wie Sie die Datenschutzgrundlagen in Ihrem Berufsalltag anwenden.

Gesetzliche Grundlage zum Beschäftigtendatenschutz

Die DSGVO gibt keine einheitliche Regelung für den Beschäftigtendatenschutz vor. Über eine Öffnungsklausel überlässt die DSGVO (Art. 88) die inhaltlichen Regelungen dem nationalen Gesetzgeber. So besteht die Möglichkeit, zusätzliche Vorschriften im Datenschutz festzulegen. Mit den erweiterten landesspezifischen Vorschriften hat der Arbeitnehmerdatenschutz dabei weiterhin die grundsätzlichen Anforderungen der DSGVO zu erfüllen. In Deutschland sind die Vorschriften im §26 Bundesdatenschutzgesetz-neu geregelt. Ausnahme: Für Bedienstete des Bundes und der Länder gelten bundeslandspezifische Vorschriften, so dass §26 BDSG-neu hier nicht zur Geltung kommt. Darüber hinaus gibt es weitere gesetzliche Regelungen für den Arbeitnehmerdatenschutz, die sich in unterschiedlichen Gesetzestexten wiederfinden. Dazu zählt beispielsweise:
  • Verschwiegenheitspflicht von medizinischem Personal (Strafgesetzbuch)
  • Umgang mit Gesundheitsdaten bei Versicherungen (Sozialgesetzbuch V)
  • Briefgeheimnis (Postgesetz)
Eine der wichtigsten Regelungen des §26 BDSG-neu ist folgende:
Personenbezogene Daten dürfen in einem Beschäftigtenverhältnis nur dann verarbeitet werden, sofern dies für die Erfüllung, Aufnahme oder Beendigung des Arbeitsverhältnisses notwendig ist.

Dieser Grundsatz, das sogenannte „Verbot mit Erlaubnisvorbehalt“, ist als grundsätzliches Prinzip der Datenschutzverarbeitung in der DSGVO festgeschrieben.

Wer ist überhaupt Beschäftigter / Beschäftigte?

Welche Personen zählen eigentlich als beschäftigt? Diese Frage lohnt es sich genauer zu betrachten, bevor wir uns in diesem Blogbeitrag der Anwendung des Beschäftigtendatenschutz widmen. Im §26 BDSG-neu zählen im Sinne des Datenschutzes folgende Gruppen als Beschäftigte:

  • Arbeitnehmerinnen und Arbeitnehmer, einschließlich Leiharbeitnehmerinnen und Leiharbeitnehmer
    (im Verhältnis zum entleihenden Unternehmen)
  • Auszubildende
  • Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden)
  • Beschäftigte in anerkannten Werkstätten für Menschen mit Behinderungen
  • Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis
  • Freiwillige, die einen Jugend- oder Bundesfreiwilligendienst leisten
  • Personen, deren Beschäftigungsverhältnis bereits beendet ist
  • Arbeitnehmerähnliche Personen (z. B. Beschäftigte in Heimarbeit)
  • Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes sowie Soldatinnen und Soldaten

Durch die Definition wird klar, dass der Beschäftigtendatenschutz schon vor der Einstellung, nämlich mit einer Bewerbung beginnt. Im Rahmen eines Bewerbungsverfahrens gibt es klare datenschutzrechtliche Anforderungen an die Fragen, die in einem Vorstellungsgespräch gestellt werden dürfen.

Bestimmungen der DSGVO zum Beschäftigtendatenschutz

Neben den Regelung des §26 BDSG-neu, gilt es weiterhin die Vorgaben der DSGVO umzusetzen. Dies bedeutet, dass die definierten Grundsätze an die Verarbeitung von personenbezogenen Daten eingehalten werden müssen:

  • Rechtmäßigkeit der Verarbeitung
  • Prinzip der Zweckbindung
  • Datenminimierung (oder Datensparsamkeit)
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität & Vertraulichkeit
  • Rechenschaftspflicht

Auch die Betroffenenrechte müssen jederzeit berücksichtigt werden. Dazu gehören:

  • Recht auf Information
  • Recht auf Auskunft
  • Recht auf Berichtigung
  • Recht auf Datenlöschung („Recht auf Vergessenwerden“)
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit

Da es sich bei Mitarbeiterdaten um äußerst sensible Daten handelt, müssen außerdem die Anforderung an die Verarbeitung besonderer Kategorien personenbezogener Daten beachtet werden.

E-Learning-Kurs Datenschutz Personalwesen
Alle Prozesse im Personalwesen DSGVO-konform gestalten?
Bewerbungsunterlagen, Zeiterfassung, Lohnabrechnung und Co – lernen Sie Grundlagen und wichtige Praxisbeispiele in unserem E-Learning-Kurs zum Datenschutz für die Personalabteilung kennen.

Belehrungs- und Informationspflichten gemäß DSGVO

Der Arbeitgeber oder die Arbeitgeberin ist dazu verpflichtet, die Beschäftigten über den DSGVO-konformen Umgang mit personenbezogenen Daten zu unterweisen. Im besten Fall wird die Belehrung zu Dokumentationszwecken schriftlich bestätigt.

Verpflichtung auf das Datengeheimnis

Die meisten Beschäftigten kommen im Rahmen ihrer Arbeit mit der Verarbeitung von personenbezogenen Daten in Berührung. Häufig sind das Kundendaten oder Daten von anderen Beschäftigten. Diese Daten müssen vertrauensvoll behandelt und dürfen nur für zulässige und definierte Zwecke verarbeitet werden. Die Verpflichtung auf das Datengeheimnis hält Anweisungen zum rechtmäßigen Umgang mit personenbezogenen Daten fest.

In der DSGVO ist die explizite Verpflichtung auf das Datengeheimnis nicht festgeschrieben. Verantwortliche stehen allerdings in der Pflicht, die rechtmäßige Datenverarbeitung nachweisen zu können. Zur Verpflichtung auf das Datengeheimnis gehört nach Auffassung der Datenschutzbehörden auch eine Belehrung über die daraus resultierenden Pflichten. Aus diesem Grund ist es wichtig, Mitarbeitende im Umgang mit personenbezogenen Daten zu schulen: damit alle wissen, welche datenschutzrechtlichen Aspekte während der Arbeit beachtet werden müssen.

Sie suchen nach einem unkompliziertem Weg, Ihre Mitarbeiter und Mitarbeiterinnen rechtssicher im Datenschutz zu schulen? Werfen Sie einen Blick in unsere Schulung Datenschutz für Mitarbeiter. Unser Kompaktkurs vermittelt die Grundlagen der DSGVO und veranschaulicht, wie diese in der Praxis Anwendung finden. Zudem bietet unser E-Learning-Kurs Datenschutz im Personalwesen spezifische Ergänzungen, wie Sie Ihre Prozesse in der Personalabteilung DSGVO-konform umsetzen.

Informationspflichten gegenüber den Beschäftigten

Arbeitgebende sind dazu verpflichtet, ihre Beschäftigten darüber aufzuklären, in welchem Umfang und für welchen Zweck Beschäftigtendaten verarbeitet werden. Der Zweck muss den Anforderungen der DSGVO gerecht werden, damit eine Zulässigkeit der Verarbeitung gegeben ist.
Zu den Daten, die üblicherweise verarbeitet werden, gehören unter anderem: Name, Anschrift, Steuerklasse, Gehaltsdaten und Urlaubszeiten. Der Zweck der Verarbeitung kann dabei unterschiedlich sein. Im Rahmen eines Beschäftigungsverhältnis besteht in jedem Fall der Zweck der Lohnbuchhaltung und Entgeltauszahlung.

Zu den Informationspflichten gehört es auch, darüber zu informieren, wer die jeweiligen Daten empfängt. Alle Daten, über die informiert wird, müssen im Verzeichnis für Verarbeitungstätigkeiten stehen. Darüber hinaus müssen Arbeitgebende ihre Mitarbeitenden über ihre Rechte, insbesondere die Betroffenenrechte, aufklären.

Zulässigkeit der Verarbeitung von Beschäftigtendaten

Generell gilt, dass personenbezogene Daten im Rahmen eines Beschäftigungsverhältnis nur unter den folgenden Bedingungen verarbeitet werden dürfen:

Die Datenverarbeitung ist erforderlich

Zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnis dürfen personenbezogene Daten verarbeitet werden, sofern dies notwendig ist und die Verarbeitung einem zulässigen Zweck folgt. Voraussetzung hierfür ist, dass der Zweck nicht ohne die Datenverarbeitung erreicht werden kann. Ein Beispiel: Damit Arbeitgebende ihrer gesetzlichen Pflicht nachkommen können, die Kirchensteuer in der Lohnabrechnung abzuführen, ist es erforderlich, die Religionszugehörigkeit ihrer Mitarbeitenden abzufragen.
Alle Beschäftigtendaten werden in der Regel in einer analogen oder digitalen Personalakte gespeichert.

Die Beschäftigten haben für die Datenverarbeitung eingewilligt

Die Einwilligung von Arbeitnehmenden ist eine weitere Bedingung, unter der eine Verarbeitung stattfinden darf. Sie ist nur dann gültig, wenn sie schriftlich, informiert und freiwillig erfolgt. Dies bedeutet auch, dass Arbeitnehmenden durch eine Ablehnung der Datenverarbeitung kein Nachteil entstehen darf. Dieser Punkt ist in einem Beschäftigtenverhältnis sehr schwierig nachzuweisen.

Da Arbeitgebende gegenüber Arbeitnehmenden Weisungsbefugt sind, entstehen zwangsläufig unterschiedliche Machtverhältnisse. So befürchten Beschäftigte unter Umständen, dass ihre Ablehnung eine zukünftige Benachteiligung im Arbeitsverhältnis hervorruft. Da die Arbeitsstelle für Arbeitnehmende in der Regel von existenzieller Bedeutung ist, besteht somit die Gefahr, dass eine Zustimmung erfolgt, die eigentlich nicht gewollt ist.

Aus diesen Gründen ist die freiwillige Einwilligung in der Praxis schwer anwendbar. Nachvollziehbarer ist es, wenn den Beschäftigten durch ihre Einwilligung wirtschaftliche Vorteile entstehen. Das ist zum Beispiel der Fall, wenn Arbeitgebende ihre Beschäftigten zur besseren Erreichbarkeit mit Diensthandys ausstatten und gleichzeitig die private Nutzung der Geräte erlauben. Hierbei ist allerdings zu beachten, dass Arbeitgebende ihre Mitarbeitenden nur für den vorgesehenen und dokumentierten Zweck kontaktieren dürfen.

Es besteht Anlass zur Aufdeckung von Straftaten

Sofern ein begründeter Verdacht auf eine bereits begangene Straftat besteht, dürfen personenbezogene Daten verarbeitet werden. Es ist allerdings zu beachten, dass eine vorsorgliche Datenverarbeitung zur Vermeidung von Straftaten nicht zulässig ist. Dies gilt auch für Ordnungswidrigkeiten.

Es liegt ein „Berechtigtes Interesse“ vor

Im Rahmen des Beschäftigtendatenschutzes nicht geklärt ist die Zulässigkeit des berechtigten Interesses. Die Ursache hierzu liegt in ähnlichen Gründen, aus denen auch die freiwillige Einwilligung der Angestellten schwer zu gewährleisten ist.

Mitarbeitende in den rechtlichen Anforderungen der DSGVO schulen
Sorgen Sie mit VINYAs E-Learning-Kursen für transparente Richtlinien zum Datenschutz.

Praxisbeispiele Beschäftigtendatenschutz nach DSGVO

Der Arbeitnehmerdatenschutz ist sehr umfassend und findet Anwendung in unterschiedlichen unternehmensinternen Prozessen. Mit den folgenden Praxisbeispielen geben wir Ihnen einen Einblick in häufige datenschutzrechtliche Fragen, die das Verhältnis zwischen Arbeitgebenden und Arbeitnehmenden bestimmen.

Digitale Zeiterfassung

Unternehmen sind seit dem 14. Mai 2019 dazu verpflichtet die Arbeitszeiten ihrer Beschäftigen zu protokollieren. Für die Zeiterfassung kommen zwei Vorgehen in Frage:

  • Manuelle Zeiterfassung, z.B. über eine Excel Tabelle für jeden Mitarbeiter
  • Digitale Zeiterfassung durch Apps, Chipkarten oder Transponder

Bei der Zeiterfassung kann von einem beidseitigen berechtigten Interesse ausgegangen werden. Arbeitnehmende haben ein Interesse an einer genauen Zeiterfassung, die z. B. Überstunden korrekt erfasst und transparent macht. Daher ist in der Regel nicht von einer Verletzung der Persönlichkeitsrechte durch die Zeiterfassung auszugehen. Für Arbeitgebende liegt das Interesse an einer digitalen Zeiterfassung darin, ihren Pflichten auf einfache Weise nachzukommen.

Videoüberwachung

In §26 BDSG-neu werden explizite Vorschriften für die Videoüberwachung in Unternehmen getroffen. Generell ist eine Videoüberwachung in Unternehmen immer bedenklich. Die kontinuierliche Aufzeichnung und damit entstehende Möglichkeit, Mitarbeitende rund um die Uhr zu überwachen, ist datenschutzrechtlich nicht vereinbar. Das Interesse eines Unternehmens muss mit dem Interesse der Mitarbeitenden zum Schutz ihrer persönlichen Daten abgewogen werden. Die Videoüberwachung kann in zwei Kategorien eingeteilt werden:

  • Heimliche Videoüberwachung
  • Offene Videoüberwachung

Für beide Fälle existieren unterschiedliche gesetzliche Vorgaben, die für jedes Unternehmen hinsichtlich des Zwecks der Videoüberwachung zu prüfen sind. 

Private Handynummer

Die Verarbeitung der privaten Handynummer ist nur sehr schwer mit der DSGVO und dem BDSG vereinbar. Der Hauptgrund hierfür liegt im zuvor beschriebenen Beispiel der freiwilligen Einwilligung in die Datenverarbeitung. Durch das Verhältnis zwischen Arbeitgebenden und Beschäftigten ist die Freiwilligkeit sehr schwer sicherzustellen. Die privaten Handynummern von Angestellten zählen zu den personenbezogenen Daten. Sie bieten Arbeitgebenden die Möglichkeit, Angestellte rund um die Uhr zu erreichen. Ein Anspruch auf ständige Erreichbarkeit ist mit der DSGVO nicht vereinbar und damit nicht zulässig.
Das Landesarbeitsgericht Thüringen hat dies in einem Urteil bestätigt und zählt die freie Entscheidung, wann und für wen Mitarbeitende in ihrer Freizeit erreichbar sind, zu den Persönlichkeitsrechten.

Wenn mit der Einwilligung ein wirtschaftlicher Vorteil einhergeht, z. B. durch die erlaubte private Handynutzung, ist die Freiwilligkeit schon eher gegeben. Hier sollten Sie zur Sicherheit immer Ihre Datenschutzbeauftragen zu Rate ziehen.

Besonders verbreitet ist die Übermittlung der privaten Handynummer für die Rufbereitschaft und im Notdienst, damit Arbeitgebende ihr Personal schnellstmöglich erreichen können. Dabei ist zu beachten, dass sowohl Rufbereitschaft als auch Notdienst nur in einem vorab festgelegten Zeitraum in Frage kommen und die Erreichbarkeit nur in diesem Zeitraum gegeben sein muss. Da bei einer vergüteten Rufbereitschaft vom berechtigten Interesse des Arbeitnehmenden auszugehen ist, darf die Angabe der privaten Mobilfunknummer erforderlich sein. Diese darf ausschließlich für den vorgesehenen Zweck verwendet werden.

Teamfotos

Teamfotos von Firmenfeiern halten Erinnerungen fest und können interessantes Material für die eigene Webseite oder für die Veröffentlichung im Intra- und Internet bieten. Eine willkürliche Verwendung von Fotos verletzt allerdings die Persönlichkeitsrechte der abgebildeten Personen. Mit einer Einwilligungserklärung können sich Unternehmen für die Nutzung der Fotos absichern. Dafür gilt es, den Zweck der Nutzung zu dokumentieren, Mitarbeitende darüber zu informieren und über ihre Rechte aufzuklären. Willigen Mitarbeitende für die werbliche Nutzung der Fotos ein, ist ihre Nutzung für die definierten Zwecke abgesichert.

Geburtstagsliste

Das Führen von Geburtstagslisten in Unternehmen ist ein charmantes Hilfsmittel, um Mitarbeitenden zu gratulieren oder kleine Aufmerksamkeiten vorzubereiten. Aus Sicht der DSGVO ist eine Geburtstagsliste jedoch grundsätzlich nicht mit dem geltenden Recht vereinbar. Schließlich handelt es sich nicht um eine Datenverarbeitung, die für die Durchführung des Beschäftigtenverhältnisses notwendig ist. Damit stellt die Verwendung des Geburtsdatums zur Gratulation einen Verstoß gegen das Prinzip der Zweckbindung dar. Für Gratulation und Veröffentlichung einer Geburtstagsliste benötigen Arbeitgebende die Einwilligung der Beschäftigten.

Auch wenn dies befremdlich erscheinen mag, ist es eine Vorgabe der DSGVO. Für Hochzeiten oder Jubiläen gelten die gleichen Anforderungen wie bei einer Geburtstagsliste.

GPS in Firmenwagen

Eine GPS-Überwachung von Firmenfahrzeugen verfolgt in der Regel den Zweck der Diebstahlerkennung. Die Überwachung des Firmenwagens kann allerdings auch dafür verwendet werden, Mitarbeitende zu kontrollieren. So können beispielsweise Bewegungsprofile erstellt oder Pausenzeiten überwacht werden. Auch hier gilt: Die Verarbeitung ist nur dann zulässig, sofern diese zur Durchführung des Beschäftigungsverhältnisses erforderlich ist.

Beschäftigtendatenschutz nach Kündigung bzw. Austritt

Der Beschäftigtendatenschutz greift auch nach einer Kündigung. In erster Linie sind Arbeitgebende verpflichtet, die Daten entsprechend der gesetzlichen Fristen zu löschen und dem Recht auf Auskunft ehemaliger Mitarbeitender nachzukommen, sofern dieses in Anspruch genommen wird. Kündigen Arbeitgebende das Arbeitsverhältnis zu Mitarbeitenden, wird häufig die Möglichkeit einer Kündigungsschutzklage geprüft. Arbeitgebende dürfen dann ausschließlich Unterlagen einbringen, die gemäß der Datenschutzbestimmungen verarbeitet sind und für die es eine Legitimation zur Verarbeitung gibt.

Datenschutzfolgenabschätzung für Beschäftigtendaten

Datenschutzfolgen-Abschätzung für Beschäftigtendaten

In einer Datenschutzfolgenabschätzung werden Wahrscheinlichkeit und Schaden eines Datenschutzvorfalls bewertet und beschrieben. Da sensible Beschäftigtendaten verarbeitet werden, ist ein Schaden in der Regel als hoch anzusehen. Es gilt den Schaden individuell für jedes Unternehmen zu bewerten und nicht auf allgemeine Listen zurückzugreifen. Wichtig ist, dass die Datenschutzfolgenabschätzung in jedem Fall mit der Geschäftsführung abgesprochen und von dieser freigegeben wurde. Sofern der Schaden oder die Eintrittswahrscheinlichkeit als hoch einzustufen sind, ist es verpflichtend Maßnahmen zu ergreifen, die eine Datensicherheit maximal sicher umsetzen.

Fazit

Der Beschäftigtendatenschutz unterliegt der DSGVO und muss die daraus resultierenden Anforderungen an den Datenschutz umsetzen. Dazu kommt §26 BDSG-neu, der für Deutschland weitere Vorschriften vorgibt.

Grundsätzlich dürfen Mitarbeiterdaten nur im Rahmen des Beschäftigungsverhältnis verwendet werden. Die Verarbeitungszwecke sind gemäß DSGVO entsprechend im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.

Indem die Zulässigkeit der Verarbeitung klar definiert wird, zielt der Beschäftigtendatenschutz auf den Schutz von Mitarbeitenden ab. In der Praxis ergeben sich beispielsweise für die Themen Videoüberwachung, GPS-Überwachung von Firmenwagen oder für die Zeiterfassung datenschutzrechtliche Fragen, die innerhalb des Unternehmen in Absprache mit dem oder der Datenschutzbeauftragten geklärt werden sollten.

Hinweis: Unsere Autoren und Autorinnen arbeiten mit größter Sorgfalt an den Inhalten dieser Website und des Magazins. Die gewissenhafte Recherche ist dabei selbstverständlich. Dennoch übernehmen wir (sowohl interne als auch externe Autoren und Autorinnen) keine Haftung für die Aktualität, Richtigkeit oder Vollständigkeit der hier dargestellten Inhalte. Die Inhalte stellen keine Rechtsberatung dar und ersetzen diese nicht. Bitte lassen Sie sich bei rechtlichen Fragen zusätzlich anwaltlich beraten. Wir übernehmen keine Haftung durch mittelbare oder unmittelbare Schäden, die sich durch jedweden Rechtsgrund aus der Nutzung dieser Inhalte oder der Website ergeben. 

  • Weitere spannende Beiträge
    Über den Autor
    Manuel Schrenk VINYA
    Manuel Schrenk

    Manuel ist Gründer und Geschäftsführer von VINYA. Mit mehrjähriger Erfahrung im Management und strategischem Produktmanagement in der Softwareentwicklung beschäftigt Manuel sich mit den Chancen und Herausforderungen digitaler Arbeit. Ganz vorne stehen für ihn dabei die Themen Datenschutz und IT-Sicherheit.

    Manuel finden Sie auch hier:

    Jetzt zum Newsletter anmelden!
    Ihre Anmeldung konnte nicht gespeichert werden. Bitte versuchen Sie es erneut.
    Vielen Dank! Wir senden Ihnen eine E-Mail, mit der Sie Ihre Anmeldung bestätigen können.