Beitrag teilen
HOME
/
blog
/
Arbeitnehmerdatenschutz: Grundlagen, Rechte und heikle Verarbeitungen

Arbeitnehmerdatenschutz: Grundlagen, Rechte und heikle Verarbeitungen

Daniel Lösch

Senior Privacy Expert & Product Owner

November 6, 2023

10 min

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Key Takeaways

Die Verarbeitung persönlicher Daten von Arbeitnehmern erfordert eine rechtliche Grundlage gemäß § 26 BDSG.

Die Zustimmung des Arbeitnehmers kann die Zulässigkeit für die Datenverarbeitung bieten, jedoch muss diese Zustimmung freiwillig und aufgeklärt sein.

Arbeitgeber müssen ihre Mitarbeiter über die Verarbeitung ihrer persönlichen Daten informieren.

Heikle Bereiche wie Videoüberwachung, Mitarbeiterortung und private Nutzung von Geschäftsemails erfordern besondere Datenschutzmaßnahmen.

Was ist eigentlich der Arbeitnehmerdatenschutz?

In diesem Artikel lesen Sie:

  • wie der Arbeitnehmerdatenschutz definiert ist
  • welche rechtlichen Grundlagen dem Arbeitnehmerdatenschutz zugrunde liegen
  • welche datenschutzrechtlichen Pflichten in einem Arbeitsverhältnis gelten
  • welche goldene Regel im Arbeitnehmerdatenschutz gilt

Werden personenbezogene Daten eines Arbeitnehmers als betroffener Person (vgl. Art. 4 Nr. 1 DSGVO) von dem Arbeitgeber als Verantwortlichem (Art. 4 Nr. 7 DSGVO) verarbeitet, befinden wir uns in einem sehr spezifischen rechtlichen Verhältnis. In dieser Konstellation gilt der sogenannte Arbeitnehmerdatenschutz oder Beschäftigtendatenschutz.

Ein eigenständiges Gesetz wie etwa ein „Arbeitnehmerdatenschutzgesetz“, welches arbeitnehmerdatenschutzrechtliche Spezifika regelt, gibt es jedoch nicht. Vielmehr ergeben sich die datenschutzrechtlichen Regelungen für das Arbeitsverhältnis aus den allgemeinen Bestimmungen der DSGVO und des BDSG (Bundesdatenschutzgesetz) und werden durch verschiedene weitere – häufig nationale – Gesetze ergänzt.

Arbeitnehmerdatenschutz: Rechtliche Grundlagen für die Verarbeitung

Wie in jedem Bereich des Datenschutzes, so gilt auch beim Arbeitnehmerdatenschutz, dass wenn personenbezogene Daten eines Arbeitnehmers als betroffener Person (vgl. Art. 4 Nr. 1 DSGVO) von dem Arbeitgeber als Verantwortlichem (Art. 4 Nr. 7 DSGVO) verarbeitet werden, wir uns in einem sehr spezifischen rechtlichen Verhältnis befinden.

In dieser Konstellation gilt der sogenannte Arbeitnehmerdatenschutz und es bedarf einer rechtlichen Grundlage für die Verarbeitung personenbezogener Daten. Über die bereichsspezifische Öffnungsklausel des Art. 88 DSGVO gelangt man zu § 26 BDSG, einer sehr wichtigen Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Rahmen von Arbeitsverhältnissen.

Dem Grundsatz nach darf der Arbeitgeber personenbezogene Daten der Arbeitnehmer verarbeiten, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist (§ 26 Abs. 1 S. 1 BDSG).

  • Eine Datenverarbeitung für die Begründung des Beschäftigungsverhältnisses liegt etwa dann vor, wenn personenbezogene Daten, beispielsweise aus der Bewerbungsmappe, für die Durchführung eines Bewerbungsverfahrens verarbeitet werden. Hierbei ist darauf zu achten, dass nur eine Verarbeitung solcher Daten erfolgt, die für das Arbeitsverhältnis erforderlich sind. Eine Frage bezüglich einer möglichen Schwangerschaft wäre demnach etwa unzulässig. Ferner sollte stets eine Direkterhebung der erforderlichen Daten beim Bewerber vorgenommen werden und nicht aus einer dritten Quelle.
  • Eine Datenverarbeitung für die Durchführung des Beschäftigungsverhältnisses ist beispielsweise die Führung von Personalakten, das Verfassen von Arbeitsplänen oder auch die Durchführung von Arbeitssicherheitsmaßnahmen. Insbesondere bei der Führung von Personalakten ist darauf zu achten, dass keine unzulässige Vorratsdatenspeicherung stattfindet, sondern hier nur solche Daten abgelegt werden, die richtig und nicht leistungsfremd sind. Im Beschäftigungsverhältnis können dann auch besonders sensible Daten (Art. 9 DSGVO), wie Angaben über eine Schwangerschaft, verarbeitet werden, jedoch nur mit dem Zweck, den Verpflichtungen gemäß dem Mutterschutzgesetz nachzukommen.
  • Eine Datenverarbeitung für/nach Beendigung des Beschäftigungsverhältnisses liegt beispielsweise vor, wenn der Arbeitgeber eine Sozialauswahl gemäß § 1 KSchG treffen musste.

Neben der Erforderlichkeit der Datenverarbeitung für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses kann sich die Zulässigkeit einer Verarbeitung von personenbezogenen Daten auch aus der Einwilligung des Arbeitnehmers ergeben. Hierbei ist neben der Widerruflichkeit insbesondere auch auf die Umstände der Einwilligung zu achten.

Goldene Regel für den Arbeitnehmerdatenschutz

Der Arbeitnehmer muss über die Datenverarbeitung aufgeklärt/informiert sein.

Zudem muss die Einwilligung freiwillig erfolgen. An das Kriterium der Freiwilligkeit werden besondere Anforderungen gestellt, da grundsätzlich von einer gewissen „Über-/Unterordnung“ im Beschäftigungsverhältnis ausgegangen wird. Es ist daher stets eine Einzelfallbetrachtung erforderlich, bei der die konkreten Umstände sowie Vor- und Nachteile, die sich für den Arbeitnehmer aus der Verarbeitung seiner personenbezogenen Daten ergeben könnten, mit einbezogen werden.

Allgemeine datenschutzrechtliche Pflichten im Arbeitsverhältnis

Darüber hinaus sind, wie bereits eingangs erwähnt, die allgemeinen datenschutzrechtlichen Pflichten für den Verantwortlichen zu beachten.

So ist etwa nicht nur eine Datenschutzerklärung auf der Website erforderlich, um die Webseitenbesucher über die Verarbeitung ihrer personenbezogenen Daten auf der Website zu informieren, sondern vielmehr müssen auch die Beschäftigten über die Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext informiert werden. Hierbei gelten die Art. 13 ff. DSGVO.

Das bedeutet, dass der Arbeitgeber den Arbeitnehmer etwa darüber zu informieren hat, an welche Dritte (Art. 4 Nr. 10 DSGVO) seine Daten weitergegeben werden, wie lange eine Speicherung etwa in Systemen erfolgt und ob hierbei eine Übermittlung von personenbezogenen Daten in Drittländer (nicht EU oder EWR) stattfindet.

Arbeitnehmerdatenschutz: Das raten unsere Experten

Tipp: Grundsätzlich sollten Einwilligungen schriftlich festgehalten werden, um etwaigen Nachweispflichten nachkommen zu können. Das Gesetz verlangt in § 26 Abs. 2 S. 3 BDSG explizit die Einholung der Einwilligung in schriftlicher oder elektronischer Form, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.

Zuletzt ist eine Datenverarbeitung im Beschäftigungsverhältnis auf Grundlage von Kollektivvereinbarungen möglich, § 26 Abs. 4 S. 2 BDSG. Hierbei sind die Grundsätze der Verarbeitung gem. Art. 5 DSGVO zu wahren. Diese lauten: Rechtmäßigkeit der Verarbeitung, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.

3 heikle Verarbeitungen im Arbeitnehmerdatenschutz

Hier müssen Sie aufpassen: Im Beschäftigungsverhältnis gibt es typische Verarbeitungen von personenbezogenen Daten, auf deren Datenschutzkonformität ein Unternehmen besonders achten sollte.

Im Folgende einige Beispiele:

  • Videoüberwachung am Werksgelände: Bei einer Videoüberwachung am Werksgelände wird in das Recht am eigenen Bild eingegriffen. Daher gilt, dass eine permanente Überwachung der Mitarbeiter bei der Arbeit grundsätzlich nicht zulässig ist. Gleiches gilt auch für die heimliche Überwachung. Achten Sie daher, wenn eine Videoüberwachung am Werksgelände erforderlich ist, darauf, dass entsprechende Hinweisschilder angebracht sind, Sie nur gezielte und zulässige Bereiche überwachen und die Aufnahmen auch entsprechend gelöscht werden. (Achtung: geringe Speicherdauer) Außerdem ist in der Regel die vorherige Durchführung einer Datenschutz-Folgenabschätzung erforderlich.
  • Ortung von Beschäftigten: Auch die mögliche Ortung/Überwachung von Beschäftigten via GPS ist nur unter engen Voraussetzungen möglich (lesen Sie hierzu gerne unseren Artikel „Ist die umfassende GPS-Überwachung von Beschäftigten DSGVO-konform?“)
  • Private Nutzung der geschäftlichen E-Mail-Adresse: Obwohl fast jeder Arbeitnehmer über einen privaten E-Mail-Account verfügt, erlauben oder dulden noch immer Arbeitgeber die private Nutzung der geschäftlichen E-Mail-Accounts durch den Arbeitnehmer. Aus datenschutz- aber auch arbeitsrechtlicher Sicht ist hiervon dringend abzuraten. In der Praxis ergeben sich hieraus häufig rechtliche Probleme, wie etwa hinsichtlich des Umgangs mit dem Postfach eines ausgeschiedenen Mitarbeiters.

Arbeitnehmerdatenschutz: Oft ist professioneller Rat gefragt

Zahlreiche Fallstricke erwarten Arbeitgeber im Bereich des Datenschutzes. SECJUR unterstützt Sie hier gerne mit großer Expertise und der gehörigen Portion Pragmatismus.

Daniel Lösch

Daniel ist ein erfahrener Senior Privacy Expert und Product Owner. Er ist zudem Volljurist mit einem LL.M. in Legal Tech von der Universität Regensburg. Seine fundierte Expertise umfasst neben dem Datenschutzrecht auch die Gestaltung und Weiterentwicklung von Legal-Tech-Produkten.

Über SECJUR

SECJUR steht für eine Welt, in der Unternehmen immer compliant sind, aber nie an Compliance denken müssen. Mit dem Digital Compliance Office automatisieren Unternehmen aufwändige Arbeitsschritte und erlangen Compliance-Standards wie DSGVO, ISO 27001 oder TISAX® bis zu 50% schneller.

Compliance, completed

Automatisieren Sie Ihre Compliance Prozesse mit dem Digital Compliance Office

Mehr erfahren

Frequently asked questions

Everything you need to know about the product and billing.

Weiterlesen

June 6, 2023
8 min
Datenpanne: Was ist zu tun im Datenschutznotfall?

Datenpannen sind mittlerweile ein alltägliches Thema in den Nachrichten und verursachen hohe Kosten für Unternehmen. Laut einer Studie der „IBM“ hat allein eine einzige Datenpanne im Jahr 2018 ein deutsches Unternehmen bereits 4,25 Millionen Euro gekostet. Die durchschnittlichen Kosten für ein gestohlenes Datenset belaufen sich auf 172 Euro pro Unternehmen, was im Vergleich zum Vorjahr einen Anstieg von 9,1 % bedeutet. Leider werden Datenpannen aufgrund der steigenden Menge an verarbeiteten Daten und des Interesses daran auch in Zukunft eher zu- als abnehmen. Wie geht man also am besten mit Datenpannen um?

Lesen
June 6, 2023
4 min
Was sind sensible Daten nach DSGVO? Definition & Erklärung

Wie allgemein bekannt ist, stellt der Schutz von Daten in unserer Zeit der „Big Data“ eine große Herausforderung dar. Daten sind nicht gleich Daten. Manche sind ganz besonders schützenswert. Namentlich Daten, die zur Diskriminierung führen können. Daten, die über die Einstellung eines potenziellen neuen Mitarbeiters entscheiden können. Daten, die die Gesundheitsgeschichte eines Menschen umreißen. Gerade auf diese Daten sollte niemand unbefugt Zugriff haben. Doch genau solche Daten lagen über Jahre hinweg für jedermann offen im Internet.

Lesen
March 7, 2024
6 Minuten
Informationssicherheit kurz erklärt: Definition, Ziele und Maßnahmen

Informationssicherheit leicht gemacht: Übersicht, Ziele und Maßnahmen erklären wir in diesem Beitrag.

Lesen
TO TOP