Arbeitnehmer müssen viele persönliche Daten hinterlegen, wenn sie ein Arbeitsverhältnis begründen
Dazu zählen nicht nur die Wohnanschrift und das Geburtsdatum, sondern auch die Bankverbindung. Spätestens seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Jahr 2018 ist der Datenschutz am Arbeitsplatz ein wichtiges Thema für Arbeitnehmer und Arbeitgeber geworden. Arbeitgeber können und müssen die Daten ihrer Mitarbeiter speichern. Sie werden zum Führen von Personalakten sowie für die Lohn- und Gehaltsabrechnung benötigt. Dabei kommt es darauf an, dass Arbeitgeber nur so viele Daten wie nötig sammeln und speichern und die Daten vor unberechtigtem Zugriff schützen.
Welche Rechte haben Arbeitnehmer in Bezug auf Datenschutz am Arbeitsplatz?
Arbeitgeber müssen Arbeitnehmerdaten sammeln und verarbeiten, um den Arbeitsvertrag zu erfüllen. Das Datenrecht sieht ein Verbot der Verarbeitung von personenbezogenen Daten vor, doch Ausnahmen gelten bei speziellen Erlaubnis- und Rechtfertigungsgründen. Eine solche Ausnahme ist gemäß DSGVO die Nutzung der Daten zur Erfüllung eines Vertrags.
Die Mitarbeiter haben in Bezug auf den Datenschutz am Arbeitsplatz laut DSGVO einige Rechte. Dazu gehören:
-
Widerspruchsrecht
-
Recht auf Löschung der Daten
-
Recht auf Datenübertragbarkeit
-
Recht auf Berichtigung der Daten
Arbeitnehmer haben ein Recht auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten. Das betrifft auch die Daten, die in der Personalakte hinterlegt sind. Mitarbeiter haben stets das Recht, ihre eigene Personalakte einzusehen. Unrechtmäßig gespeicherte Daten zu ihrer Person dürfen Mitarbeiter löschen lassen.
Mitarbeiter haben ein Recht auf Auskunft,
-
welche Daten verarbeitet werden
-
über den Zweck der Datenverarbeitung
-
über Personen, die Einsicht in diese Daten haben
-
über voraussichtliche Dauer der Datenspeicherung
-
wie der Arbeitgeber trotz Datenschutz an die Daten gelangt, wenn der Mitarbeiter diese Daten nicht selbst bekannt gegeben hat
-
ob auf der Grundlage der Daten eine automatische Entscheidungsfindung erfolgt
Tipp: Mitarbeiter müssen ihren Arbeitgeber zwar über eine Krankmeldung informieren, sind jedoch nicht verpflichtet, eine genaue Auskunft über die Erkrankung zu geben. Der Arbeitgeber kann auch nicht ohne Einwilligung des Mitarbeiters eine Auskunft beim Arzt über die Erkrankung erhalten, da für den Arzt Schweigepflicht gilt.
Welche Pflichten haben Arbeitgeber im Umgang mit Arbeitnehmerdaten?
Unternehmen, in denen mindestens zehn Mitarbeiter regelmäßig mit Tätigkeiten zur Datenverarbeitung beschäftigt sind, ist der Arbeitgeber zur Ernennung eines Datenschutzbeauftragten verpflichtet. Der Datenschutzbeauftragte muss für den angemessenen Datenschutz im Unternehmen sorgen. Mit einer Dienstanweisung zum Datenschutz muss der Arbeitgeber die Beschäftigten über den Umgang mit den personenbezogenen Daten aufklären.
Arbeitgeber sind verpflichtet, das Persönlichkeitsrecht ihrer Mitarbeiter zu wahren. Sie dürfen ihre Mitarbeiter nicht generell überwachen, ohne dass hinreichende Verdachtsmomente vorliegen. Nur dann, wenn eine schwere Pflichtverletzung oder der Verdacht auf eine Straftat vorliegen, ist eine generelle Überwachung möglich. Ein Beispiel dafür ist die Überwachung von Mitarbeitern mit einem Keylogger-Programm am PC, mit dem alle Tastatureingaben aufgezeichnet und regelmäßig Screenshots angefertigt werden. Einem Mitarbeiter, der privat im Internet gesurft hatte, wurde fristlos gekündigt. Da sich die Beweise nur auf das Keylogger-Programm stützten, erklärte das Bundesarbeitsgericht die Kündigung für unzulässig (2 AZR 681/16).
Grundsätzlich darf der Arbeitgeber von seinen Mitarbeitern nur Daten erheben, die für das Arbeitsverhältnis relevant sind. Bei der Verarbeitung von mitarbeiterbezogenen Daten müssen Arbeitgeber die folgenden Grundsätze beachten:
-
Rechtmäßigkeit der Datenverarbeitung auf Basis der DSGVO als Rechtsgrundlage
-
Transparenz der Datenverarbeitung unter Beachtung von Treu und Glauben
-
Zweckbindung der Datenverarbeitung für festgelegte, eindeutige und legitime Zwecke
-
Datenminimierung, sodass die Daten auf ein angemessenes Maß beschränkt sind
-
zeitliche Begrenzung der Datenspeicherung, nur solange, wie die Daten für die Datenverarbeitung benötigt werden
-
Integrität und Vertraulichkeit
-
Rechenschaftspflicht den Mitarbeitern gegenüber
Welche Arten von personenbezogenen Daten dürfen Arbeitgeber verarbeiten?
Das Bundesdatenschutzgesetz (BDSG) legt in Paragraf 26 fest, dass Arbeitgeber von ihren Mitarbeitern nur die personenbezogenen Daten speichern dürfen, die zur Aufnahme, Durchführung und Beendigung des Arbeitsverhältnisses notwendig sind. Die Daten sind immer dann personenbezogen, wenn eine direkte und konkrete Verbindung zum Arbeitnehmer herstellbar ist.
In der Personalakte dürfen die folgenden Daten gespeichert werden:
-
Stammdaten der Mitarbeiter, darunter Name, Vorname, Anschrift, Telefonnummer, E-Mail-Adresse, Geburtsdatum, Geschlecht, Staatsangehörigkeit und Eintrittsdatum
-
Zeugnisse von vorherigen Arbeitgebern
-
Informationen zu berufsrelevanten Qualifikationen wie Examenszeugnisse, Gesellenbriefe oder Diplome
-
lohnsteuerrechtliche Merkmale, darunter Religionszugehörigkeit, Unterhaltspflichten, Mitgliedschaft in einer Krankenkasse, Sozialversicherungsnummer und Steueridentifikationsnummer
-
Entgeltregelung
-
Bankverbindung
-
laufende Lohnabrechnungen
-
Arbeitsanweisungen
-
dienstliche Beurteilungen, darunter Ermahnungen, Abmahnungen und Auszeichnungen, Zwischenzeugnisse
-
sozialversicherungsrechtliche Meldungen wie Beitragsmeldungen zu Krankenkassen
-
vom Arbeitnehmer erbrachte Leistungen, darunter Umsätze
-
Informationen über krankheitsbedingte Fehlzeiten, Urlaub und Überstunden
-
Unterlagen zur Beendigung des Arbeitsverhältnisses wie Kündigung, Aufhebungsvereinbarung oder Abwicklungsvereinbarung
Bewerbungsunterlagen und Bewerberdaten der Mitarbeiter dürfen aufbewahrt und gespeichert werden. Dazu gehört auch die Entscheidung über die Begründung des Arbeitsverhältnisses.
Wann ist eine Einwilligung des Arbeitnehmers zur Datenverarbeitung erforderlich?
Eine Einwilligung des Arbeitnehmers zur Datenverarbeitung ist immer dann erforderlich, wenn keine andere Rechtsgrundlage gilt. Beispiele dafür sind die Verwendung von Fotos der Mitarbeiter auf der Unternehmenswebseite oder für Marketing-Material.
Mitarbeiter müssen die Einwilligung zur Verarbeitung ihrer personenbezogenen Daten dem Arbeitgeber gegenüber freiwillig und schriftlich erteilen. Die Einwilligung ist dann freiwillig, wenn für den Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil entsteht oder wenn Arbeitgeber und Mitarbeiter die gleichen Interessen verfolgen. Werden die Daten zur Anbahnung oder Erfüllung eines Arbeitsverhältnisses benötigt, ist keine Einwilligung erforderlich.