Datenschutz

Datenschutz im Beschäftigungsverhältnis

Art. 88 DSGVO
§ 26 BDSG-neu
bisher: § 32 BDSG

Bisher ist der Beschäftigtendatenschutz (oder auch Arbeitnehmerdatenschutz) in § 32 BDSG geregelt.
In der DSGVO gibt es keine eigenen Regelungen zum Datenschutz im Arbeitsverhältnis. Vielmehr enthält Art. 88 DSGVO eine so genannte Öffnungsklausel, mit der den EU-Mitgliedstaaten die Möglichkeit gegeben wird, eigene (nationale) Regelungen zum Datenschutz im Beschäftigungsverhältnis zu treffen.

Der deutsche Gesetzgeber hat von dieser Möglichkeit in § 26 BDSG-neu Gebrauch gemacht. Die Regelungen entsprechen weitestgehend den bisherigen Regelungen aus § 32 BDSG. Dennoch gibt es auch einige Neuerungen.

Erhalten bleibt zunächst die Grundregel, dass die Verarbeitung von Beschäftigtendaten zulässig ist, wenn dies zur Erfüllung gesetzlicher Pflichten oder für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder für dessen Durchführung oder Beendigung erforderlich ist. Auch bleibt die Datenverarbeitung zur Aufdeckung von Straftaten unter besonderen Voraussetzungen zulässig.

Im Einzelnen ist die Verarbeitung von Beschäftigtendaten durch den Arbeitgeber nach § 26 BDSG-neu zulässig,

• wenn die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses erfolgt, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigtenverhältnisses erforderlich ist,
• zur Aufdeckung von Straftaten, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind,
• wenn die Datenverarbeitung zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist,
• wenn der Beschäftigte in die Datenverarbeitung eingewilligt hat.

Die ersten drei Punkte knüpfen an die Erforderlichkeit der Datenverarbeitung zu den genannten Zwecken an. Wann genau die Datenverarbeitung „erforderlich“ ist, sagt das Gesetz nicht.

In der Gesetzesbegründung gibt es jedoch folgenden Hinweis: „Im Rahmen der Erforderlichkeitsprüfung sind die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen. Dabei sind die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessen möglichst weitgehend berücksichtigt.”

Die Verarbeitung von Daten der Arbeitnehmer ist damit erlaubt, wenn sie für Zwecke des Beschäftigungsverhältnisses geeignet ist, das mildeste aller dem Arbeitgeber zur Verfügung stehenden gleich effektiven Mittel ist und schutzwürdige Interessen des Beschäftigten nicht überwiegen.

Unstreitig dürfen Arbeitgeber danach alle Stammdaten der Mitarbeiter erheben und verarbeiten. Dazu gehören insbesondere: Name, Adresse, Kontoverbindung, Ausbildung, Qualifikationen, Arbeitszeiterfassung.

Sofern die Datenverarbeitung somit erforderlich ist, um das Beschäftigungsverhältnis überhaupt entstehen zu lassen oder durchführen zu können oder um gesetzlichen Pflichten nachzukommen, muss der Arbeitgeber keine gesonderte Einwilligung von seinen Mitarbeitern einholen.

Möchte er allerdings mehr Daten erfassen, speichern und verarbeiten, als für die genannten Zwecke erforderlich sind, bspw. Angaben zu Hobbies und Interessen des Mitarbeiters, benötigt er dafür eine schriftliche Einwilligung des Mitarbeiters.

Erfolgt die Datenverarbeitung auf der Grundlage einer Einwilligung des Beschäftigten, sind die besonderen Anforderungen aus § 26 Abs. 2 BDSG-neu zu beachten.

Eine Einwilligung ist nur wirksam, wenn sie freiwillig erfolgt ist. Insoweit ist bereits nach der aktuellen Rechtslage umstritten, ob Arbeitnehmer überhaupt rechtswirksam in die Verarbeitung ihrer personenbezogenen Daten einwilligen können. Diskutiert wird insoweit, ob wegen des Abhängigkeitsverhältnisses, das naturgemäß zum Arbeitgeber besteht, Einwilligungen überhaupt freiwillig abgeben werden können.

§ 26 BDSG-neu stellt jedoch klar, dass Arbeitnehmer unter bestimmten Umständen durchaus wirksam in die Verarbeitung ihrer Daten durch den Arbeitgeber einwilligen können.

Freiwilligkeit kann danach insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder beide Arbeitsvertragsparteien gleich gelagerte Interessen verfolgen. 

Als Beispiele für die Erreichung eines Vorteils sind in der Gesetzesbegründung die Einführung eines betrieblichen Gesundheitsmanagements zur Gesundheitsförderung und die Erlaubnis zur Privatnutzung der betrieblichen IT-Systeme genannt.
Beispiele für die Verfolgung gleichgelagerter Interessen sind nach der Gesetzesbegründung die Aufnahme von Name und Geburtsdatum in eine Geburtstagsliste oder die Nutzung von Fotos für das Intranet, bei der Arbeitgeber und Beschäftigte im Sinne eines betrieblichen Miteinanders zusammenwirken.

Im Ergebnis bleibt aber auch nach der Neuregelung ein Beurteilungsspielraum, so dass die Problematik, inwieweit eine Einwilligung im Beschäftigungsverhältnis freiwillig erfolgen kann, voraussichtlich auch in Zukunft bestehen bleiben wird.

Grundsätzlich gilt, dass der Beschäftigte eine echte Wahlmöglichkeit haben muss, ob er in die Verarbeitung seiner Daten einwilligt. Ihm darf durch die Nicht-Erteilung der Einwilligung oder einen späteren Widerruf kein Nachteil entstehen.

Wie bisher, verlangt auch § 26 Abs. 2 BDSG-neu, dass die Einwilligung grundsätzlich schriftlich einzuholen ist. Nur ausnahmsweise kann auf die Schriftform verzichtet werden, wenn wegen besonderer Umstände eine andere Form angemessen ist.

Zu beachten ist auch, dass der Arbeitgeber die Beschäftigten über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Art. 7 DSGVO in Textform aufklären muss. Der Arbeitgeber muss den Betroffenen daher vor der Einwilligung alle entscheidungserheblichen Informationen zur Verfügung stellen. Zu Nachweiszwecken sollte dies entsprechend dokumentiert werden.

Ausführliche Informationen zu den Anforderungen an eine wirksame Einwilligung sowie Musterbeispiele finden Sie in Kapitel 06 „Einwilligungen“; weitere Informationen zu Informationspflichten in Kapitel 02 „Informationspflichten“ und in Kapitel 05 „Datenschutzerklärungen“.

Besondere Kategorien personenbezogener Daten sind unter der DSGVO - wie schon nach aktueller Rechtslage - besonders geschützt. Hierzu zählen personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Nach § 26 Abs. 3 BDSG-neu ist die Verarbeitung dieser besonderen Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zur Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss einer Verarbeitung überwiegt.

Für die Verarbeitung von sensiblen Daten müssen gesonderte Schutzmaßnahmen ergriffen werden, um den Schutz der betroffenen Personen in angemessener Weise sicherzustellen. Hierzu verweist der Gesetzestext auf § 22 Abs. 2 BDSG-neu, wo z. B. Beispiel die Verschlüsselung als eine mögliche Maßnahme genannt wird.

Betriebsvereinbarungen und andere Kollektivvereinbarungen, wie bspw. Tarifverträge, können nach wie vor die Verarbeitung von Beschäftigtendaten erlauben. Dabei müssen sie den Anforderungen von Art. 88 Abs. 2 DSGVO und dem dazugehörigen Erwägungsgrund 155 genügen.

Neu ist, dass der Begriff des „Beschäftigten“ weiter ausgedehnt wurde. Neben Arbeitnehmern, Bewerbern, ehemaligen Beschäftigten, Leiharbeitern, Auszubildenden sind auch Beamte, Richter, Soldaten, Zivildienstleistende und Freiwillige, die einen Dienst nach dem Bundesfreiwilligendienstgesetz leisten sowie weitere Personengruppen ausdrücklich in die Definition einbezogen, § 26 Abs. 8 BDSG-neu.

Die Bestimmungen zum Beschäftigtendatenschutz sind - wie bisher auch - auch dann anzuwenden, wenn personenbezogene Daten von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die Bestimmungen gelten somit auch für Papierakten.

Die Artikel 29-Datenschutzgruppe, ein Zusammenschluss der nationalen Datenschutzbehörden in Europa, hat sich in einem Leitfaden zu verschiedenen Fragen der Verarbeitung personenbezogener Daten im Rahmen des Beschäftigungsverhältnisses geäußert. Der Leitfaden ist zur aktuellen Rechtslage ergangen, beschäftigt sich aber auch mit den neuen Regelungen der DSGVO.
Der Leitfaden enthält keine verbindlichen Regelungen und Ansichten, gibt aber einen guten Überblick wie das Gesetz aus Sicht der europäischen Datenschutzbehörden anzuwenden ist. Soweit ersichtlich ist der Leitfaden bisher nur in englischer Sprache erschienen:

Leitfaden der Artikel 29-Datenschutzgruppe zur Datenverarbeitung im Beschäftigungsverhältnis

Bis zum Inkrafttreten der DSGVO im Mai 2018 sollten Sie die Verarbeitung von Beschäftigtendaten überprüft und ggf. an die Anforderungen der DSGVO angepasst haben.
Denn wie bei allen anderen Datenschutzverstößen drohen mit der DSGVO auch bei Verstößen im Bereich des Beschäftigtendatenschutzes hohe Bußgelder. Es sind Bußgelder von bis zu 20 Mio. Euro oder 4% des globalen Umsatzes des Unternehmens möglich, je nachdem, welcher Betrag höher ist. Zudem können auch Schadensersatzansprüche von Arbeitnehmern geltend gemacht werden

Überprüfen Sie Datenverarbeitungsvorgänge, in denen Daten von Beschäftigten erfasst sind, im Hinblick auf die Anforderungen der DSGVO.

Beachten Sie, dass neben Arbeitnehmern auch Auszubildende und Bewerber sowie weitere Personengruppen unter den neuen Begriff des Beschäftigten fallen. Ziehen Sie auch diese Personen betreffende Datenverarbeitungsvorgänge in Ihre Prüfung ein (bspw. Bewerbermanagement).

Sie dürfen personenbezogene Daten von Beschäftigten verarbeiten, wenn die Verarbeitung der Daten für Zwecke der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Hinterfragen Sie jeweils die Erforderlichkeit der Datenverarbeitung. Hierbei sind die Interessen der Parteien (Arbeitgeber, Arbeitnehmer) zum Ausgleich zu bringen.

Wenn eine Datenverarbeitung danach für nicht zulässig zu erachten ist, können Sie die Datenverarbeitung durch eine Einwilligung der Beschäftigten legitimieren.

Achten Sie bei der Einholung der Einwilligung darauf, dass diese freiwillig im Sinne der neuen Vorschriften und grundsätzlich schriftlich erfolgen muss.

Beachten Sie, dass Sie die Beschäftigten über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht in Textform aufklären müssen. Zu Nachweiszwecken sollten Sie schriftlich dokumentieren, dass Sie den Beschäftigten die entsprechenden Informationen erteilt haben. 

Ausführliche Informationen zu den Anforderungen an eine wirksame Einwilligung sowie Musterbeispiele finden Sie in Kapitel 06 „Einwilligungen“; weitere Informationen zu Informationspflichten in Kapitel 02 „Informationspflichten“ sowie in Kapitel 05 „Datenschutzerklärungen“.

Prüfen Sie, in welchen Fällen Sie bereits jetzt die Verarbeitung von Beschäftigtendaten auf Einwilligungen der Beschäftigten als Rechtsgrundlage stützen.

Überprüfen Sie bereits erteilte Einwilligungen dahingehend, ob sie auch die neuen Anforderungen der DSGVO erfüllen. Ist das nicht der Fall sein, müssen Sie neue Einwilligungen von den Beschäftigten einholen.

Gibt es Betriebsvereinbarungen oder andere Kollektivvereinbarungen im Betrieb, müssen auch diese überprüft und ggf. an die neuen Vorschriften angepasst werden (§ 88 Abs. 2 DSGVO).

 

 

Hier finden Sie uns

SaSu Kosmetik

Ottenhäuser Str. 2

75305 Neuenbürg-Arnbach

Kontakt

Rufen sie einfach an unter

+49 (0) 70 82 / 94 170 87

+49 176 34163359

 

Öffnungszeiten

Montag Ruhetag

Dienstag - Donnerstag 10.00–18.00 Uhr

Freitag 10.00-16.00

Samstag 10.00-14.00

 

Termine und Modeberatung sind auch außerhalb der Öffnungszeiten möglich.

Druckversion Druckversion | Sitemap
© SaSu Kosmetik