DSGVO und das Arbeitsumfeld

Seit dem 25. Mai 2018 gilt die Datenschutzgrundverordnung der Europäischen Union, kurz DSGVO. Diese dient in erster Linie dem Schutz natürlicher Personen beim Umgang mit deren personenbezogenen Daten. Gesonderte Regelungen bestehen für besondere Arten personenbezogener Daten – darunter fallen zum Beispiel Beschäftigte.

DSGVO im Arbeitsverhältnis

Öffnungsklausel für den Beschäftigtendatenschutz

Für die Verarbeitung personenbezogener Daten von Beschäftigten sieht Art. 88 EU-DSGVO eine Öffnungsklausel vor, die es den Mitgliedsstaaten der Europäischen Union gestattet, Regelungen zur Datenverarbeitung zum Zwecke des Beschäftigtenverhältnisses auf jeweils nationaler Ebene zu treffen. In Deutschland betrifft dies den vom Gesetzgeber aufgestellten Paragrafen 26 des Bundesdatenschutzgesetztes (neu). Für die Bewertung der Datenschutzkonformität der Verarbeitung personenbezogener Daten von Beschäftigten ist also in erster Linie § 26 BDSG (neu) maßgeblich, wobei stets auch die generellen Grundsätze der DSGVO hinsichtlich der Verarbeitung personenbezogener Daten im Allgemeinen zu beachten sind.

Personenbezogene Daten im Bewerbungsverfahren

Arbeitgeber dürfen zur Begründung eines Beschäftigungsverhältnisses prinzipiell nur solche Daten abfragen, die zur Wahrnehmung der ausgeschriebenen Stelle erforderlich sind. Diese sind:

-Qualifikation
-beruflicher und schulischer Werdegang
-(Arbeits-)Zeugnisse

Je nach Art der ausgeschriebenen Stelle können aber auch andere Datenabfragen erlaubt sein – es muss aber stets ein konkreter Zusammenhang erkennbar sein. So sind unter Umständen erlaubt:

Fragen zu Vorstrafen: Kassierer und Buchhalter dürfen zum Beispiel nach früheren Vermögensdelikten befragt werden, nicht aber nach Vorstrafen wegen Körperverletzung.

Überblickend lässt sich also sagen, dass die Frage nach der Vorlage eines Führungszeugnisses meist unzulässig ist.

Fragen zur Gesundheit: Je nach Kern der Frage und dem Zusammenhang mit der auszuübenden Tätigkeit sind erlaubt:
Fragen zu chronischen Erkrankungen, sofern schwere körperliche Arbeit gefordert wird
Fragen zu akut ansteckenden Krankheiten, sofern das Umfeld gefährdet ist
Fragen zu Abhängigkeiten, sofern für die Tätigkeit das Führen eines Kfz vorausgesetzt ist

Ist eine Bewerbung nicht erfolgreich, muss eine datenschutzkonforme Vernichtung der Daten spätestens sechs Monate nach dem Zeitpunkt der Absage erfolgen.

Übersicht verschiedener Arten personenbezogener Daten im Rahmen eines Arbeitsverhältnisses

-Stammdaten: Grundsätzlich zulässig, von einer Erfassung privater Informationen wie etwa Hobbies ist jedoch abzuraten.
-Ausweis- und Führerscheinkopien: Nicht zulässig, die protokollierte Sichtung der Dokumente ist bereits ausreichend.
-Arbeitszeit: Da die Arbeitszeit grundsätzlich die Grundlage für die Vergütung von Arbeitnehmern darstellt, hat das Unternehmen regelmäßig ein berechtigtes Interesse, die Arbeitszeiten der Beschäftigten festzuhalten. Bei der Gestaltung der Arbeitszeiterfassung hat das Arbeitgeber im Wesentlichen freie Hand: Stechuhr, Chipkarte oder klassisch auf Papier ist dabei denkbar. Unzulässig wird in der Regel die Erfassung der Arbeitszeit mittels biometrischer Daten wie einem Fingerabdruck- oder Iris-Scan sein. Wichtig ist, diese Daten nur so lange zu speichert, wie dies zur Durchführung des Beschäftigtenverhältnisses relevant ist. Eine Aufbewahrung ist jedoch stets zulässig, wenn die Daten zur Durchsetzung oder zur Abwehr von eigenen Ansprüchen oder zur Durchführung eines Kündigungsverfahrens benötigt werden. In der Regel kann dabei eine Aufbewahrungszeit von zwei Jahren als gerechtfertigt angesehen werden.
-Gesundheitszustand: Aufgrund der Entgeltfortzahlung im Krankheitsfall hat das Unternehmen ein berechtigtes Interesse an diesen Daten und darf diese daher verarbeiten. Bei der Verarbeitung ist darauf zu achten, dass diese Daten ausschließlich der Personalabteilung und dem Vorgesetzten bekannt gegeben werden dürfen. Unzulässig ist daher der häufig in Unternehmen aufzufindende "Krankheitskalender", in dem alle Krankheitstage der Beschäftigten einer Abteilung eingetragen werden. Statt eines Krankheitskalenders kann ein Abwesenheitskalender geführt werden. Dort können alle Abwesenheiten (Krankheit, Urlaub, Fortbildung) unter dem Sammelmerkmal "abwesend" eingetragen werden. Somit kann (zumindest rückwirkend) kein Schluss auf den Grund der Abwesenheit getroffen werden.

betrieblichen Altersvorsorge: Die Übermittlung personenbezogener Daten an Versicherung, den Makler oder andere Beteiligte bedarf einer Einwilligung des Beschäftigten.
Besondere Arten personenbezogener Daten von Beschäftigten
Häufig sind Beschäftigtendaten auch besondere Arten personenbezogener Daten. Bei der Lohnabrechnung beispielsweise muss vom Arbeitgeber aus steuerlichen Gründen die Konfession der Arbeitnehmer erhoben und verarbeitet werden. Auch eine Krankmeldung gilt als besondere Art personenbezogener Daten – und zwar als Gesundheitsdatum.

Beendigung des Beschäftigtenverhältnisses:

Die allgemeine Verwahrungsfrist ist nur für bestimmte Teile der Personalakte gesetzlich geregelt. So müssen Lohnunterlangen nach § 257 HGB über einen Zeitraum von sechs Jahren aufbewahrt werden. Danach sollten Personalakten umgehend datenschutzkonform vernichtet werden.

Freiwilligkeit der Einwilligung bei Arbeitnehmern

Prinzipiell besteht zwischen Arbeitnehmer und Arbeitgeber ein Machtungleichgewicht – für Arbeitgeber bedeutet dies, dass sie beim Einholen der Einwilligung ihrer Arbeitnehmer strengere Maßstäbe einzuhalten haben, vor allem hinsichtlich der Freiwilligkeit dieser Einwilligungen. Dabei regelt § 26 Abs. 2 BDSG (neu), wie genau eine solche Freiwilligkeit beurteilt wird. Diesbezüglich ist eine Einwilligung als freiwillig anzusehen, wenn: entweder für die/den Beschäftigte/n ein Vorteil – rechtlich oder wirtschaftlich – erreicht wird – oder beide Parteien, also Arbeitgeber und Arbeitnehmer, gleichen Interessen folgen.

Die Gesetzesbegründung für das BDSG (neu) liefert weiterführend auch konkrete Beispiele, wann eine Einwilligung in der Regel als freiwillig beurteilt werden kann.

Diese sind:

-ein zur Gesundheitsförderung eingeführtes Gesundheitsmanagement
-erlaubte private Nutzung betrieblicher IT-Infrastruktur und -Systeme
-Aufnahme in eine Geburtstagsliste mit Namen und Geburtsdatum
-Nutzung von Fotoaufnahmen für das Intranet
-Arbeitnehmer aufklären und schulen

Zunächst einmal müssen Arbeitgeber ihre Arbeitnehmer aufklären – so kommen sie ihrer Informationspflicht nach. Dies kann erfolgen über entsprechende Passagen im Arbeitsvertrag oder aber auch über ein gesondertes Dokument als Anhang zu einem bestehenden Arbeitsvertrag. Arbeitnehmer müssen allerdings auch geschult werden. Das bloße Verfassen und Bereitstellen einer Policy genügt für Arbeitgeber nicht.

DSGVO im Personalwesen
Personenbezogene Daten im Rahmen der Personalverwaltung

In der Personalabteilung kommt es zur Erhebung, Speicherung und Verarbeitung folgender Arten personenbezogener Daten:

Name
Personalnummer
Geburtsdatum
Gehalt
Bankverbindung
Religionszugehörigkeit
Staatsangehörigkeit
beruflicher und schulischer Hintergrund
Abmahnungen

Bildaufnahmen

Unter Umständen können auch andere Daten als personenbezogen gelten. So sind zwar Umsatzzahlen eines Unternehmens erst einmal nicht personenbezogen, da sie nicht auf einen einzelnen Mitarbeiter zurückzuführen sind. Anders könnte es aber beispielsweise bei den Umsatzzahlen einer Außenstelle sein, an der nur ein Mitarbeiter tätig ist. Da der Umsatz unmittelbar mit seiner Arbeit verknüpft ist, wäre der Außenstellenumsatz ein personenbezogenes Datum.
Personenbezogene Daten in der Personalakte
Eine Personalakte beinhaltet regelmäßig den gesamten dienstlich relevanten Lebensablauf eines Mitarbeiters, belegt und ergänzt durch weitere Dokumente. So sammeln sich in der Akte regelmäßig höchst sensible Daten über den jeweiligen Beschäftigten, die einen entsprechenden Schutz verdienen. Grundsätze hierzu sind:

Grundsatz der Vertraulichkeit:

Personalakten sind grundsätzlich vertraulich zu behandeln. Der Zugriff auf die Akten sollte daher nur der Geschäftsführung sowie Mitgliedern der Personalabteilung möglich sein.
Grundsatz der Richtigkeit: Arbeitnehmer haben einen grundsätzlichen Anspruch, dass alle Angaben in der Personalakte richtig sind.
Grundsatz der Vollständigkeit: Die Personalakte muss zudem vollständig sein.
Grundsatz der Transparenz: Die Akte muss transparent geführt werden, was dem Arbeitnehmer ein Recht auf Einsicht einräumt.
Neben dem für die Personalverwaltung bisher geltendem und weiterhin gültigem § 83 Abs. 1 BetrVG regelt nun auch §15 EU-DSGVO das Auskunftsrecht einer betroffenen Person im Allgemeinen.

DSGVO zum Beschäftigtendatenschutz im Rahmen von IT-Services

Bewerberrecherche in Social Media
Nachdem es keine speziellen Regelungen in der DSGVO oder im BDSG zum Umgang mit Daten in sozialen Netzwerken gibt, stellt sich die Frage der momentanen rechtlichen Zulässigkeit solcher Recherchen. § 26 BDSG enthält zwar eine Erhebungsbefugnis für Daten, die zur Begründung des Beschäftigtenverhältnisses erforderlich sind, Recherchen im Internet dürften jedoch nicht erforderlich sein. Aus diesem Grund sollten diese nunmehr unterbleiben.

E-Mail-Konten im Betrieb

Gestattet ein Arbeitgeber seinen Mitarbeitern, das betriebliche E-Mail-Konto auch privat zu nutzen, so sollten alle Mitarbeiter eine individuelle Einwilligung in die Kontrolle auch ihrer privaten E-Mails unterschreiben. Eine Betriebsvereinbarung für eine Art kollektiver Einwilligung ist nicht ausreichend. Außerdem sollte die Formulierung der Einwilligung auch Datenschutzbelange Berücksichtigung finden. Die Kontrolle sollte nur im Vier-Augen-Prinzip stattfinden und sowohl Betriebsrat als auch Datenschutzbeauftragte sollten beteiligt sein. Offensichtlich privaten E-Mails sollte bei der Überprüfung dann keine weitere Aufmerksamkeit gewidmet werden. Arbeitgeber sollten weiterhin darauf aufmerksam machen, dass die Erlaubnis der privaten Nutzung geschäftlicher E-Mail-Konten jederzeit widerrufen und keine Rechtsansprüche auf eine künftige private Nutzung begründet werden können.

Datenschutzregelungen im Zusammenhang mit Wearables

Der Arbeitgeber sollte beim Einsatz von Wearables zwei Fälle unterscheiden: Zum einen, ob Gesundheitsdaten erhoben werden sollen, zum anderen, wenn Gesundheitsdaten gerade nicht erhoben werden sollen. Diese Entscheidung ist grundlegend, da der Großteil der Wearables technisch dazu im Stande ist, Gesundheitsdaten zu erfassen.

Wenn Gesundheitsdaten explizit nicht erfasst werden sollen, obliegt dem Arbeitgeber die Pflicht, dafür Sorge zu tragen, dass eine Erfassung solcher Daten technisch nicht möglich ist. Ist dies nicht umsetzbar, so ist eine unternehmensinterne Richtlinie zu erlassen und bekannt zu machen. Sie sollte den Arbeitnehmern untersagen, entsprechende Funktionen der Wearables zu nutzen und eventuell anfallende Daten umgehend zu löschen.

Gemäß § 26 BDSG ist eine Erfassung von Gesundheitsdaten in der Regel nicht erforderlich, weswegen eine gesetzliche Rechtsgrundlage fehlt. Aus diesem Grund wird stets eine Einwilligung des betroffenen Arbeitnehmers benötigt.

Messenger-Apps im Unternehmen

Aufgrund einfacher Bedienbarkeit und hoher Nutzerzahlen werden häufig auch betriebliche Daten wie Schichtpläne, Krankmeldungen oder Termineinladungen über Messenger-Apps versendet. Allerdings bestehen – bedingt durch die technische Funktionsweise solcher Dienste – erhebliche datenschutzrechtliche Bedenken bei deren dienstlicher Nutzung. Für die Verwendung einiger Messenger-Apps ist es zwingend erforderlich, das gesamte Telefonbuch an den Apphersteller zu übertragen. Dies stellt jedoch eine Übermittlung personenbezogener Daten dar, die nicht durch eine Rechtsgrundlage gedeckt ist. So scheidet in der Regel sogar eine Einwilligung an dieser Stelle als Grundlage aus, da diese kaum von allen Personen, die der App-Nutzer im Telefonbuch eingetragen hat, eingeholt werden kann. Es kann Arbeitgebern daher nur geraten werden, die Nutzung solcher Dienste durch die Mitarbeiter zu unterbinden.