Seit dem 25. Mai 2018 gelten die Regelungen der europäischen Datenschutz-Grundverordnung (DSGVO). Sie schafft erstmals europaweit einen einheitlichen Rechtsrahmen für den Datenschutz. Die Verordnung regelt umfassend, wie Unternehmen und Behörden mit Daten umgehen dürfen, die sie von Personen digital oder in einem strukturierten Dateisystem in Papierform erheben, verwenden oder speichern. Sie legt Rechte fest und sieht Mechanismen vor, mit denen das Datenschutzrecht wirksam durchgesetzt werden soll. Leider fehlen spezifische Vorschriften zum Beschäftigtendatenschutz völlig; dessen Regelung überlässt die DSGVO den Mitgliedsstaaten. Der deutsche Gesetzgeber hat deshalb auch das Bundesdatenschutzgesetz (BDSG) neu gefasst.
Artikel 88 DSGVO sieht angemessene nationale Regelungen und besondere Maßnahmen zur Wahrung der berechtigten Interessen und der Grundrechte der betroffenen Person vor. Dies gilt insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben sowie die Überwachungssysteme am Arbeitsplatz.
Selbstverständlich müssen die nach DSGVO festgelegten Informationspflichten und die Betroffenenrechte beachtet werden. In Paragraf 26 BDSG finden sich daher spezielle Bestimmungen zum Beschäftigtendatenschutz. Er regelt, welche Personen Arbeitnehmer sind, zu welchen Zwecken und unter welchen Bedingungen personenbezogene Daten vor, im und nach Beendigung des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies für Zwecke des Beschäftigungsverhältnisses erforderlich ist.
Beschäftigter im Sinne des Datenschutzgesetzes sind unter anderem:
Personenbezogenen Daten, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, sind: Name, Geburtsdatum, Anschrift, Familienstand, E-Mail-Adresse, Telefonnummer, Kontodaten, Steuer-Identifikationsnummer, Religions- und Gewerkschaftszugehörigkeit. Aber auch Bewerbungen, erbrachte Arbeitszeiten, Krankheits- und Urlaubstage sind personenbezogene Daten.
Anders als von der DSGVO vorausgesetzt, schreibt das BDSG vor, dass eine Einwilligung des Beschäftigten schriftlich erfolgen muss, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Des weiteren hat der Arbeitgeber die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht in Textform aufzuklären.
Arbeitsverhältnisse sind durch eine gewisse Abhängigkeit vom Arbeitgeber gekennzeichnet. Diese Abhängigkeit könnte der Freiwilligkeit entgegenstehen. Nach dem Willen des Gesetzgebers ist von Freiwilligkeit insbesondere dann auszugehen, wenn sich für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil ergibt oder Arbeitgeber und Arbeitnehmer gleichgelagerte Interessen verfolgen.
Ein rechtlicher oder wirtschaftlicher Vorteil liegt beispielsweise bei der Erlaubnis der dienstlichen Informations- und Kommunikationstechnologie zur privaten Nutzung. Von der Verfolgung gleichgelagerter Interessen kann insbesondere bei der Durchführung eines betrieblichen Eingliederungsmanagements ausgegangen werden.
Die Beschäftigten müssen auch darüber informiert werden, dass sie nach der DSGVO das Recht auf
Plant der Arbeitgeber, Fotos von Beschäftigten auf der Homepage, in Broschüren oder in Werbeaufnahmen des Unternehmens zu veröffentlichen, braucht er dazu regelmäßig die schriftliche Einwillung des Arbeitnehmers. Denn: Abbilder eines Menschen sind personenbezogene Daten. Viele Arbeitsverträge enthalten keine Abmachung über die Verwendung von Beschäftigtenbildern. Willigt ein Arbeitnehmer ein, dass sein Foto auf der Internetseite des Unternehmens veröffentlicht werden darf, muss der Arbeitgeber ihn in Textform auf die jederzeitige Widerrufsmöglichkeit hinweisen.
Zur Aufdeckung von Straftaten dürfen Daten dann verarbeitet werden, wenn dokumentierbare, tatsächliche Anhaltspunkte vorliegen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das Interesse der oder des Beschäftigen an dem Ausschluss der Verarbeitung nicht überwiegt. Dabei ist eine Verhältnismäßigkeitsprüfung anzustellen.
Zwei Besonderheiten sind dabei zu beachten: Verarbeitet der Arbeitgeber Daten von Beschäftigten, die nicht mit dem konkreten Arbeitsverhältnis verknüpft sind, darf er dies nur, wenn er zum Beispiel Pflichten nach dem Geldwäschegesetz oder Anti-Terror-Gesetzen nachzukommen hat. Das hat mit dem einzelnen Beschäftigungsverhältnis nichts zu tun.
Werden Beschäftigte rechtswidrig überwacht, kann das für den Arbeitgeber weitreichende Folgen haben. Dazu gehören zum einen Unterlassungs- und Schadenersatzansprüche des Beschäftigten gegen den Arbeitgeber aufgrund der Verstöße gegen das allgemeine Persönlichkeitsrecht und das Recht auf informationelle Selbstbestimmung. Darüber hinaus handelt es sich bei einem solchen Vorgehen um einen Datenschutzverstoß, der nach der DSGVO ebenfalls mit einem Bußgeld belegt ist.
Zu den besonderen Kategorien personenbezogener Daten gehört die Verarbeitung von Daten, aus denen die kulturelle und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Die Verarbeitung dieser sowie von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung sind grundsätzlich untersagt.
Die Verarbeitung ist nur dann zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist oder Betriebs- und Tarifvereinbarungen dies erlauben. Wenn der Arbeitgeber für seinen Arbeitnehmer also Kirchensteuer abführen, eine tarifgerechte Bezahlung einhalten, das Entgelt wegen Arbeitsunfähigkeit zahlen oder den Schutz von Schwerbehinderten einhalten muss, darf er diese sensiblen Daten verarbeiten.
Arbeitgeber dürfen personenbezogene Daten ihrer Arbeitnehmer auch dann, wenn sie ursprünglich zu Recht erhoben und verarbeitet wurden, nicht zeitlich unbegrenzt speichern und aufbewahren. Diese Daten müssen vielmehr in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
Ist das Bewerbungsverfahren für die Stelle beendet, muss der Arbeitgeber Unterlagen oder Daten der abgelehnten Bewerber zurückschicken, löschen oder vernichten. Hier greifen die Grundsätze Zweckbindung, Datenminimierung und Speicherbegrenzung. Schließlich ist die Nutzung der Daten jetzt überflüssig.
Allerdings kommt es manchmal zu Klagen abgelehnter Bewerber, etwa nach dem Antidiskriminierungsgesetz. Deshalb ist es erlaubt, Bewerberdaten mindestens vier, aber maximal sechs Monate aufzuheben. Länger darf nur mit Zustimmung der jeweiligen Person gespeichert werden. Das heißt, der Arbeitgeber muss das schriftliche Einverständnis des Kandidaten einholen. Auf frei zugänglichen sozialen Netzwerken wie Xing, LinkedIn, eigene Website des Bewerbers, Quellen, die die Person in ihrer Bewerbung angegeben hat, ist es Arbeitgebern erlaubt, Informationen über den Kandidaten einzuholen.
Versucht der Arbeitgeber allerdings, auf geschlossenen Plattformen mit eigenem Benutzerzugang Beschäftigte auszuspionieren, handelt es sich um eine unzulässige Datenerhebung. Zudem fehlt es bei Plattformen wie Facebook, Instagram und Twitter in der Regel an einem gezielten Bezug zur beruflichen Tätigkeit.
Ist ein Bewerber der Ansicht, dass ein potenzieller Arbeitgeber gegen seinen Bewerberdatenschutz verstoßen hat, kann er die zuständigen Aufsichtsbehörden einschalten. Kommt es zu einem Rechtsstreit vor dem Arbeitsgericht, muss der Arbeitgeber nachweisen, dass er alle erforderlichen Maßnahmen getroffen hat um den Schutz der personenbezogenen Daten zu gewährleisten.
Durch die Datenschutzvorschriften werden personenbezogene Daten im Unternehmen nicht nur als Wirtschaftsgut des Unternehmens geschützt. Vor allem die Personen, deren Daten verarbeitet werden, sollen geschützt sein.
Unternehmen müssen daher für den gesetzeskonformen Umgang mit personenbezogenen Daten sorgen. Wer im Rahmen seiner Tätigkeit zum Beispiel Kundendaten verarbeitet, muss über datenschutzgerechtes Verhalten belehrt und auf das Datengeheimnis verpflichtet werden.
Möglich sind neben Einzelanweisungen der Vorgesetzten auch Betriebsvereinbarungen. Es ist daher arbeitsvertragliche Nebenpflicht, sowohl die Informationen über natürliche Personen als auch vertrauliche betriebliche Informationen vor unerlaubter Weitergabe, Kenntnisnahme und Verfälschung zu schützen.
Zudem ist darauf zu achten, dass die Weitergabe, wenn sie erforderlich ist, sicher erfolgt. Datenschutzverstöße durch Mitarbeiter im Unternehmen können Schadensersatzpflichten und Bußgelder nach sich ziehen, im Extremfall sogar strafrechtliche Verurteilungen.
Der Arbeitgeber muss kontrollieren, ob die Datenschutzvorschriften von den Beschäftigten eingehalten werden. Bei schwerwiegenden Verstößen müssen Arbeitnehmerinnen und Arbeitnehmer mit arbeitsrechtlichen Konsequenzen rechnen.