Arbeitnehmerdatenschutz im Betrieb: Bedeutung, Pflichten und Vorgaben
Arbeitsrecht

Arbeitnehmerdatenschutz im Betrieb: Bedeutung, Pflichten und Vorgaben

erstellt am 08.06.22 von Redaktionsteam Personalwissen ·Foto Arbeitnehmerdatenschutz © RoBird - Adobe Stock - 34 Min. Lesezeit

Seit dem Inkrafttreten hoher gesetzlicher Strafzahlungen bei Verstößen gegen die Datenschutzgrundverordnung (DSGVO) wird der Schutz von personenbezogenen Daten verstärkt öffentlich diskutiert. Betreiber von Internetseiten sind aufgefordert, ihre Besucher auf Cookies im Internet aufmerksam zu machen und die Zustimmung zur Verarbeitung personenbezogener Daten einzuholen. Personaler, Führungskräfte, Betriebsräte und im Besonderen Datenschutzbeauftragte stehen in Bezug auf den Arbeitnehmerdatenschutz vor bedeutenden Fragen. Diese betreffen sowohl die Informationen, die gespeichert werden dürfen und ebenso die Art der Datenarchivierung.

Jeder für den Beschäftigtendatenschutz Verantwortliche sollte aus diesem Grund die folgenden Fragestellungen objektiv beantworten können:

  • Was bedeutet Arbeitnehmerdatenschutz im betrieblichen Umfeld?
  • Welche gesetzlichen Vorgaben müssen Unternehmen beim Arbeitnehmerdatenschutz beachten?
  • Wann ist die Videoüberwachung oder die Überwachung von Telefongesprächen im betrieblichen Umfeld gestattet?
  • Muss der Betriebsrat bei der Ausgestaltung des Beschäftigtendatenschutzes involviert werden?
  • Welche Aufgaben übernimmt der Datenschutzbeauftragte im Unternehmen?
  • Wie wird Fehlverhalten beim Arbeitnehmerdatenschutz sanktioniert?

    Was bedeutet Arbeitnehmerdatenschutz?

    Arbeitnehmerdatenschutz verfolgt in Betrieben den Zweck, die Persönlichkeitsrechte eines Mitarbeiters gegenüber dem Arbeitgeber zu stärken. Dies betrifft im Besonderen das Anrecht auf informationelle Selbstbestimmung. Die DSGVO enthält umfangreiche Vorschriften, die das Ziel haben, die informationelle Selbstbestimmung von Verbrauchern, Angestellten und Privatpersonen zu schützen. Wesentliche Bereiche der DSGVO beziehen sich auf das Recht:

    • Individuell zu entscheiden, ob und welche personenbezogenen Daten preisgegeben werden.
    • Die Entscheidungshoheit über die Verwendung personenbezogener Daten jederzeit zu behalten.
    Der Arbeitnehmerdatenschutz oder Beschäftigtendatenschutz ist aus Sicht von Unternehmen zu jeder Zeit zu priorisieren. Er verfolgt das Ziel, das Anrecht des Mitarbeiters auf informationelle Selbstbestimmung zu achten und personenbezogene Daten zu schützen.

    Die wichtigsten gesetzlichen Grundlagen bilden das Bundesdatenschutzgesetz (BDSG) und die Datenschutzgrundverordnung (DSGVO). Beide Gesetze beinhalten Regelungen und Vorgaben, die die Erhebung, Speicherung und Weiterverarbeitung von personenbezogenen Daten betreffen. Der Gesetzgeber verfügt detailliert, wie Arbeitgeber persönliche Informationen vor, während und nach der Auflösung eines Arbeitsverhältnisses verwenden dürfen.

    In den 1980er-Jahren wurde die Frage der informationellen Selbstbestimmung umfassend diskutiert. Im Rahmen einer Volkszählung erhob der Staat umfangreiche persönliche Informationen von allen Bürgern. Gegen die Volkszählung wurden Rechtsmittel eingelegt. In letzter Instanz entschied das Bundesverfassungsgericht, dass

    „erheblich und ohne Rechtfertigung in die Grundrechte Einzelner eingegriffen wurde.“

    Bundesverfassungsgericht

    Das wegweisende Urteile basierte im Wesentlichen auf den Maßgaben des Deutschen Grundgesetzes. In dem Urteil wurde klargestellt, dass Datenschutz und die informationelle Selbstbestimmung ein hohes Gut sind. Dies gilt ebenso, wenn der Terminus Datenschutz nicht explizit im Grundgesetz erwähnt wird.

    Die folgenden Passagen des Grundgesetzes dienen aus diesem Grund als Leitgedanke für Datenschutz und schließen ebenso den Beschäftigtendatenschutz ein:

    „Die Würde des Menschen ist unantastbar.“

    Grundgesetz Artikel 1

    „Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt.“

    Grundgesetz Artikel 2

    Warum ist Arbeitnehmerdatenschutz für beide Vertragsparteien bedeutend?

    Der Gesetzgeber verpflichtet Arbeitgeber zu einer konformen und nachvollziehbaren Datenerhebung im Rahmen des Arbeitsverhältnisses. Der Arbeitnehmerdatenschutz, der in verschiedenen Gesetzen inhaltlich und konkret geregelt wird, verfolgt das einheitliche Ziel:

    • die wichtigsten Details aus rechtlicher Sicht klarzustellen sowie
    • einen Rahmen zu schaffen, in dem sich Arbeitgeber in Bezug auf die Erhebung von Mitarbeiterdaten bewegen können.

    Klare Regeln zum Datenschutz und zur Datensicherheit sind im Besonderen im Zeitalter der Digitalisierung bedeutend. Durch den Einsatz moderner Hard- und Software ist es möglich, umfangreiches Datenmaterial über den Mitarbeiter, seine Arbeitsleistung und sein Verhalten zu erfassen. Die Verarbeitung der Daten und die Mitarbeiterüberwachung ist nahezu unbegrenzt möglich. Gesammelte Daten können innerhalb von Sekunden archiviert und über Landesgrenzen hinaus weitergegeben werden. In einem solchen Umfeld Arbeitnehmerdatenschutz zu garantieren ist kein einfaches Unterfangen.

    Ein funktionierendes Unternehmen ist aus nachvollziehbaren Gründen darauf angewiesen, Arbeitnehmerdaten zu erheben und zu speichern. Dieses Vorgehen ist nicht ausschließlich zum Schutz der Mitarbeiter, sondern ebenso aus Effizienzgründen wichtig. Werden von Unternehmen zu viele sensible Daten erhoben und langfristig ohne Grund gesichert, entsteht ein Missverhältnis. Um sicherzustellen, dass private Informationen von Arbeitnehmer höchsten Schutz erfahren, hat der Gesetzgeber Richtlinien zum Arbeitnehmerdatenschutz implementiert.

    Ökonomische und strukturelle Überlegenheit des Arbeitgebers

    Arbeitnehmer sind aus Sicht des Gesetzgebers schützenswert, da sie sich im Verhältnis zwischen Arbeitgeber und Mitarbeiter in der schwächeren Position befinden. Diese ergibt sich aus der Tatsache, dass der Unternehmer sowohl den Arbeitsvertrag wie die Ausgestaltung der betrieblichen Rahmenbedingungen vorgibt. Der Arbeitgeber ist aus diesem Grund dem Arbeitnehmer ökonomisch und strukturell überlegen. Als schwächere Vertragspartner gelten Mitarbeiter als gesetzlich schützenswert. Dies betrifft im Besonderen Vorschriften oder Vorgaben des Arbeitgebers, die tief in die Persönlichkeitsrechte eines Betriebsangehörigen eingreifen oder diesen unverhältnismäßig benachteiligen.

    Die Bedeutung vom Arbeitnehmerschutz auf einen Blick

    Arbeitnehmerdatenschutz setzt im modernen Arbeitsalltag die Grenzen des Erlaubten und garantiert, das die Persönlichkeitsrechte von Arbeitnehmern geachtet werden. Gleichzeitig stärkt es die Rolle von Unternehmen und ihre Berechtigung, relevante Daten zu speichern und weiterzuverarbeiten. Das Bundesdatenschutzgesetz und die Datenschutzgrundverordnung stellen den Rahmen für Datenschutz in Deutschland dar. Durch ihre umfangreichen Vorschriften und Vorgaben legen sie Arbeitgebern nahe, dass Datenschutz im Vertragsverhältnis zwischen Arbeitnehmer und Arbeitgeber priorisiert werden sollte. Die Gesetze garantieren damit das Grundrecht auf informationelle Selbstbestimmung und schützen das Persönlichkeitsrecht.

    Welche gesetzlichen Vorgaben gelten zum Arbeitnehmerdatenschutz?

    Der Datenschutz im Allgemeinen sowie aus betrieblicher Sicht der Arbeitnehmerdatenschutz stellen ein hohes Gut dar. Der Gesetzgeber und die Rechtsprechung stecken in verschiedenen Gesetzen und in Grundsatzurteilen des Bundesverfassungsgerichts einen verbindlichen Rahmen für Datenschutz am Arbeitsplatz ab. Dieser besagt, dass Arbeitgeber das Anrecht auf informationelle Selbstbestimmung des Mitarbeiters zu jeder Zeit in ihre Entscheidungen mit einbeziehen müssen. Sie sind verpflichtet, das legitime betriebliche Informationsinteresse mit den Schutzrechten des Angestellten bei der Erhebung personenbezogener Daten abzuwägen. Neben dem übergeordneten Grundgesetz sind vor allem die folgenden beiden Gesetze entscheidend:

    • Das Bundesdatenschutzgesetz (BDSG) sowie
    • Die Datenschutzgrundverordnung (DSGVO)

    Sie stellen bildlich gesprochen die Weichen für Beschäftigtendatenschutz in Deutschland.

    Welche Vorgaben das Bundesdatenschutzgesetz beinhaltet

    Das Bundesdatenschutzgesetz (BDSG) gilt als das bedeutendste und umfassendste Datenschutzgesetz in Deutschland. Auf Grundlage des Grundgesetzes regelt es in 85 Paragrafen explizit, wie personenbezogene digitale oder analoge Daten erfasst und verarbeitet werden dürfen. In Bezug auf den Arbeitnehmerdatenschutz ist vor allem der Paragraf 26 richtungsweisend, da er ausführlich die Rechte und Pflichten von Arbeitgebern beschreibt.

    Datenschutz, Datenschutzverordnung, Bundesdatenschutzverordnung, DSGVO, Vorgaben, Paragraph, Arbeitnehmerschutz
    Vorgaben in der Datenschutzverordnung © Biewer_Jürgen – Adobe Stock

    Im § 26 BDSG wird eindeutig erklärt, in welchen Fällen eine Erhebung, Nutzung oder Weiterverarbeitung von personenbezogenen Daten im Beschäftigungsverhältnis zulässig ist. Der Gesetzgeber definiert, dass eine Datenerhebung vor, während oder nach einem Arbeitsverhältnis rechtmäßig ist, wenn diese aufgrund der „sich ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“ Eine Nutzung der personenbezogenen Daten der Mitarbeiter muss aus diesem Grund zu jeder Zeit einen mitarbeiterzentrierten Anlass haben.

    Beispiel: Es ist nachvollziehbar und notwendig, dass personenbezogene Mitarbeiterdaten wie Geburtsdatum oder Familienstand von einem Unternehmen gespeichert und verarbeitet werden. Ohne diese Daten könnten keine Lohnabrechnung erstellt und die Beiträge zur Sozialversicherung nicht korrekt abgeführt werden.

    Freiwilligkeit der Einwilligung entscheidend

    Der Arbeitnehmerdatenschutz zielt darauf ab, personenbezogene Daten von Mitarbeitern zu sichern und zu schützen. Unternehmen müssen auf Basis des § 26 des Bundesdatenschutzgesetzes sicherstellen, dass Angestellte ihr Einverständnis zur Datenverarbeitung freiwillig und schriftlich geben. Hierbei sind im Besonderen die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person zu berücksichtigen. Gleichzeitig sollten die Umstände, unter denen die Einwilligung erteilt worden ist, mit einbezogen werden. In der Praxis werden Beschäftigte vor allem dann ein freiwilliges Einverständnis zur Datenverarbeitung personenbezogener Informationen geben, wenn

    • ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder
    • Arbeitgeber und beschäftigte Person gleich gelagerte Interessen verfolgen.

    Beide Punkte werden in der Regel im betrieblichen Alltag erfüllt. Dies ist zum Beispiel der Fall, wenn die üblichen personenbezogenen Daten beim Arbeitnehmer erhoben werden. Im zweiten Schritt werden diese an Sozialversicherungsträger oder andere berechtigte Behörden wie Finanzämter weitergeleitet. Durch dieses Vorgehen wird vor allem ein wirtschaftlicher Vorteil erzielt. Gleichzeitig verfolgen beide Parteien gleich gelagerte Interessen bei der Erfüllung ihrer gesetzlichen Abgabeverpflichtungen. Arbeitgeber handeln gesetzeskonform und zielführend, wenn sie Mitarbeiter über den Zweck der Datenverarbeitung und über die ihr Widerrufsrecht aufklären.

    Das BDSG betont entschieden, dass die Verarbeitung von personenbezogenen Daten von Angestellten auf der Grundlage von Kollektivvereinbarungen erlaubt ist.

    Zu den wichtigsten Kollektivvereinbarungen gehören Tarifverträge sowie Betriebsvereinbarungen. Regelt zum Beispiel eine Betriebsvereinbarung für alle Beschäftigten eines Unternehmens einen abweichenden, strikteren oder lockereren Umgang mit personenbezogenen Daten, ist dies zulässig.

    Welche personenbezogenen Daten nicht oder eingeschränkt erhoben werden dürfen

    Der § 26 des BDSG verweist Unternehmen auf Artikel 9 der Verordnung 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Diese Verordnung ist als Datenschutzgrundverordnung (DSGVO) bekannt. Seit ihrer Einführung und dem Inkrafttreten von teilweise beträchtlichen Strafzahlungen bei Nichtbeachtung wird den gesetzlichen Vorgaben der DSGVO ein hohes Maß an Beachtung geschenkt. In der EU-Verordnung wird eindeutig ausgeführt, welche personenbezogenen Daten nicht gespeichert oder erhoben werden dürfen:

    • Daten, aus denen die rassische und ethnische Herkunft,
    • politische Meinungen,
    • religiöse oder weltanschauliche Überzeugungen oder
    • die Gewerkschaftszugehörigkeit hervorgehen.
    • Die Verarbeitung von genetischen Daten,
    • biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
    • Gesundheitsdaten oder
    • Daten zum Sexualleben oder der sexuellen Orientierung.

    Die Erhebung und Speicherung ist trotz Verbotes unter anderem zulässig, wenn:

    • Der Mitarbeiter der Verarbeitung zugestimmt hat,
    • Eine Datenverarbeitung nicht den Landesgesetzen entgegensteht,
    • Eine Verarbeitung erforderlich ist, um Mitarbeiter aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte zu gewähren,
    • Lebenswichtige, gesundheitliche oder öffentliche Interessen eine Datenverarbeitung notwendig machen.
    Bei Fehlverhalten und Missbrauch von personenbezogenen Daten drohen Einzelpersonen und Unternehmen umfangreiche Bußgeldzahlungen. In schweren Fällen ist Freiheitsentzug bis zu 3 Jahren bei umfangreichem strafrechtlich relevantem Datenmissbrauch vorgesehen.

    Welche Beschäftigten unterliegen dem Arbeitnehmerdatenschutz?

    Im § 26 BDSG werden die folgenden Personengruppen als Beschäftigte kenntlichgemacht. Sie unterliegen dem Arbeitnehmerdatenschutz und den Vorgaben in Bezug auf den Schutz von Persönlichkeitsrechten:

    1. Arbeitnehmerinnen und Arbeitnehmer,
    2. Mitarbeiter in Arbeitnehmerüberlassung im Verhältnis zum direkten Arbeitgeber und zum Entleiher,
    3. Auszubildende,
    4. Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben,
    5. Menschen in Rehabilitationsmaßnahmen,
    6. Beschäftigte in anerkannten Werkstätten für behinderte Menschen,
    7. Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstgesetz oder dem Bundesfreiwilligendienstgesetz leisten,
    8. Wirtschaftliche unselbstständige, arbeitnehmerähnliche Personen und Heimarbeiter sowie die ihnen Gleichgestellten,
    9. Beamtinnen und Beamte des Bundes,
    10. Richterinnen und Richter des Bundes,
    11. Soldatinnen und Soldaten sowie Zivildienstleistende,
    12. Bewerberinnen und Bewerber.

    Zusammengefasst gelten für die meisten abhängig beschäftigten Mitarbeiterinnen und Mitarbeiter die gesetzlichen Vorgaben des Arbeitnehmerdatenschutzes. Arbeitgeber sind verpflichtet, vor, während und nach dem Beschäftigungsverhältnis die Regelungen des BDSG und die EU-Gesetzgebung zu beachten und einzuhalten.

    Datenverarbeitung von Unternehmen zur Aufdeckung einer Straftat

    Ein weiterer Grund für eine Nutzung und Weiterverarbeitung von personenbezogenen Daten während oder nach Ende des Beschäftigungsverhältnisses betrifft die Aufdeckung von Straftaten. Voraussetzung hierfür ist, dass:

    • zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen,
    • das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt,
    • das Ausmaß der Datenverarbeitung im Hinblick auf den Anlass nicht unverhältnismäßig ist.

    Bei der Informationsbeschaffung und Informationsweitergabe von personenbezogenen Daten an Behörden handelt es sich um einen Eingriff in die Grundrechte von Mitarbeitern. Aus diesem Grund sollten Personaler und Führungskräfte darauf achten, ausschließlich in begründeten Einzelfällen Daten ihrer Beschäftigten weiterzuleiten. Ein gerichtlicher Beschluss, der die Strafverfolgung im Ausnahmefall über den Arbeitnehmerdatenschutz stellt, ist eine solide Grundlage, personenbezogene Informationen von Mitarbeitern weiterzugegeben.

    Die Strafprozessordnung (StPO) stützt die Vorgabe, dass Unternehmen Daten an Behörden weiterleiten oder als Zeuge gegen einen Mitarbeiter auftreten. Im § 161 a StPO wird hierzu erklärt, dass:

    Zeugen und Sachverständige verpflichtet sind, auf Ladung vor der Staatsanwaltschaft zu erscheinen und zur Sache auszusagen oder ihr Gutachten zu erstatten.“

    § 161 a StPO

    Der § 163 StPO räumt darüber hinaus der Polizei die Möglichkeit ein, Straftaten zu erforschen, um die Verdunkelungsgefahr zu minimieren. Sie sind befugt, Ermittlungen jeder Art vorzunehmen, soweit nicht andere gesetzliche Vorschriften ihre Befugnisse besonders regeln.

    Zusammenfassend sind Unternehmen daran gebunden, im Rahmen der gesetzlichen Regelungen personenbezogene Informationen und Daten an die Polizei oder an Gerichte weiterzuleiten. Voraussetzung hierfür ist, dass diese ein berechtigtes Interesse und die Verhältnismäßigkeit nachweisen können.

    Wie sieht Arbeitnehmerdatenschutz in der Praxis aus?

    Der Beschäftigtendatenschutz muss aufgrund seiner Wichtigkeit in jedem Unternehmen priorisiert werden. Dies ist nicht zu jeder Zeit problemlos möglich, da Daten und Informationen in der digitalisierten Arbeitswelt im Überfluss zur Verfügung stehen. Personaler, Führungskräfte, Betriebsräte und der Datenschutzbeauftragte im Betrieb haben die Aufgabe, in den unterschiedlichen Arbeitsbereichen Arbeitnehmerdatenschutz sicherzustellen. Die folgenden praktischen Beispiele zeigen auf, in welchen Fällen personenbezogene Daten anfallen und wie diese verarbeitet werden dürfen:

    1. Beim Recruiting von neuen Mitarbeitern.
    2. Während des Beschäftigungsverhältnisses.
    3. Nach Kündigung des Arbeitsverhältnisses.
    4. Bei der Überwachung von Kommunikationsmitteln von Beschäftigten.

    1. Bei der Rekrutierung neuer Mitarbeiter

    In Zeiten des Fachkräftemangels ist es für jedes Unternehmen entscheidend, die besten Mitarbeiter an den Betrieb zu binden. Gleichzeitig setzen Betriebe fortlaufend mehr Zeit und Mittel ein, um weitere Angestellte mit Fachwissen für vakante Positionen zu rekrutieren. Die Suche von geeigneten Kandidaten wird innerbetrieblich priorisiert, da Fehlentscheidungen im Personalbereich einen hohen Schaden anrichten können. Es gilt, Mitarbeiter zu finden:

    • die mit hohem Engagement arbeiten,
    • ihr vorhandenes Knowhow einbringen sowie
    • langfristig im Betrieb tätig sein möchten.

    Im Bewerbungsprozess werden eine Unmenge von personenbezogenen Daten erhoben. Bewerbungsunterlagen enthalten Informationen zu vorherigen Arbeitgebern, die verklausulierte Benotung von Arbeitszeugnissen und private Angaben zum Familienstand oder zu Hobbys. Diese müssen vom Unternehmen gesichtet, kategorisiert, bewertet und nach den gesetzlichen Bestimmungen verarbeitet werden. Für den Bewerbungsprozess gelten vor allem die gesetzlichen Vorgaben der DSGVO.

    Bewerbungsprozess, Datenschutz, DSGVO, Arbeitnehmer, Arbeitgeber, Schutz, Daten, Bundesdatenschutzverordnung
    Auch im Bewerbungsprozess gilt die DSGVO © Zerbor – Adobe Stock

    Generell gilt, dass Arbeitgeber vom potenziell neuen Mitarbeiter ausschließlich Daten erfragen und speichern dürfen, die einen unmittelbaren Zusammenhang zur vakanten Tätigkeit im Unternehmen haben. Die Vorgaben des Artikels 9 der DSGVO finden ebenso im Bewerbungsverfahren ihre Anwendung. Personalern und Führungskräften ist es auf Basis der DSGVO zum Beispiel nicht erlaubt:

    • Kandidaten im Bewerbungsgespräch oder in einem Fragebogen zur politischen oder religiösen Gesinnung oder
    • zur Gewerkschaftszugehörigkeit zu befragen.

    Ebenso sind Nachfragen zur sexuellen Orientierung nicht zulässig. Verschaffen sich Unternehmen in diesen besonderen Kategorien Informationen über einen Bewerber, ohne die schriftliche Erlaubnis eingeholt zu haben, handeln sie strafbar. Die Frage nach einer bestehenden Schwangerschaft dürfen Bewerberinnen unrichtig beantworten. Zeigen Sie nach der Einstellung im Betrieb ihre Schwangerschaft an, gelten für sie die Schutzbestimmungen des Mutterschutzgesetzes (MuSchG).

    Anspruch auf Auskunftsrecht und das Löschen personenbezogener Daten

    Ein Bewerber, der im Rahmen eines Auswahlverfahrens abgelehnt wurde, hat das gesetzliche Anrecht, Auskunft über die über ihn gespeicherten Daten zu verlangen. Auf Grundlage von Artikel 15 der DSGVO bezieht sich das Auskunftsrecht darauf:

    • Ob personenbezogene Daten verarbeitet wurden.
    • Die Verarbeitungszwecke.
    • Die Empfänger, denen die personenbezogenen Daten offenbart wurden sowie
    • Die geplante Dauer der Speicherung der Daten.

    Nach Unterrichtung, welche mitarbeiterbezogenen Daten gespeichert wurden, hat der Mitarbeiter ein Anrecht auf Berichtigung (Artikel 16 DSGVO) und ein Anrecht auf Löschung oder Vergessenwerden (Artikel 17 DSGVO).

    Beantragt ein Bewerber die Löschung der über ihn gespeicherten personenbezogenen Daten, sind Personaler verpflichtet, Datenmaterial unverzüglich aus Softwareprogrammen oder Speichermedien zu entfernen. Das Anrecht auf „Vergessenwerden“ gehört zum Arbeitnehmerdatenschutz und sollte im Besonderen im Bewerbungsverfahren von Unternehmen priorisiert behandelt werden.

    Firmen handeln zielführend, wenn sie sich mit der Bewerbung bestätigen lassen, dass sie die personenbezogenen Daten des Kandidaten weiterverarbeiten dürfen. Gleichzeitig sollten sie Sorge tragen, dass Bewerber jederzeit Auskunft über gespeicherte Daten und Informationen erhalten können. Moderne Unternehmen bieten Kandidaten im Bewerbungsportal im Internet einen geschützten Bereich mit Zugangsbeschränkung an. In diesem können Daten verändert oder der gesamte Datensatz gelöscht werden. Durch dieses proaktive Vorgehen tragen Betriebe dazu bei, die Vorgaben der DSGVO zu beachten. Ggleichzeitig schützen sie sich vor hohen Strafzahlungen der DSGVO.

    2. Arbeitnehmerdatenschutz während des Beschäftigungsverhältnisses

    Während des Arbeitsverhältnisses ist es dem Arbeitgeber gestattet, alle personenbezogenen Daten zu erfassen und zu speichern, die notwendig sind, um die Rechte und Pflichten aus der Vertragsbeziehung mit dem Arbeitnehmer zu erfüllen. Eine Datenverarbeitung muss zu jeder Zeit den Maßgaben des § 26 BDSG entsprechen und:

    1. Für die Durchführung des Arbeitsverhältnisses erforderlich sein.
    2. Auf Einwilligung des Beschäftigten erfolgen.
    3. Kollektivvereinbarungen, wie einem Tarifvertrag unterliegen.

    Typische Anlässe für eine Datenverarbeitung während des Arbeitsverhältnisses sind:

    • Die Übersendung von offiziellem Schriftverkehr an die Privatadresse (Verträge, Kündigungen)
    • Erstellen der monatlichen Gehaltsabrechnung und Weitergabe von Daten an die Sozialversicherung oder an das Finanzamt.
    • Erfassen von Krankheits- und Fehltagen für die Berechnung des Arbeitslohns.
    • Erfassung der Arbeitszeit, wenn diese vertraglich für eine festgelegte Dauer geschuldet ist.
    • Aufnahme von offiziellen Dokumenten wie Abmahnungen, Vertragsänderungen oder Zeugnissen in die Personalakte)

    Wie die Personalakte aus Sicht des Arbeitnehmerdatenschutzes geführt werden sollte

    Aus Sicht des Arbeitnehmerdatenschutzes stellt vor allem die Personalakte eines Mitarbeiters ein schützenswertes Gut dar. Hierbei ist es unerheblich, ob diese im Unternehmen in Form einer Papierakte oder digital geführt wird. Personaler finden in der DSGVO und im BDSG umfangreiche Vorschriften in Bezug auf die Datenschutzbestimmungen für Personalakten.

    Die Informationspflicht des Arbeitgebers gegenüber dem Arbeitnehmer

    Jeder Arbeitgeber hat gegenüber seinem Arbeitnehmer eine Informationspflicht, in welcher Weise die Personalakte im Unternehmen geführt wird. Zum Zeitpunkt der Erhebung muss er auf Grundlage von Artikel 13 DSGVO die folgenden Informationen darlegen:

    • Namen und Kontaktdaten des Verantwortlichen sowie seines Vertreters,
    • Kontaktdaten des Datenschutzbeauftragten,
    • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen,
    • die Rechtsgrundlage für die Verarbeitung,
    • die Dauer, für die die personenbezogenen Daten gespeichert oder die Kriterien für die Festlegung der Speicherdauer,
    • Darlegung, welche personenbezogenen Daten von Dritter Seite eingeholt und verarbeitet wurden.
    • Informationen zum Auskunftsrecht oder zum Beschwerderecht bei einer Aufsichtsbehörde

    Ein Arbeitgeber hat darüber hinaus die Verpflichtung, die Personalakte sorgfältig aufzubewahren. Er muss sicherstellen, dass der Inhalt der Personalakte vertraulich und datenschutzkonform verwahrt wird. Generell gilt diese gesetzliche Verpflichtung in der gesamten Personalabteilung. Dies kann gesagt werden, da in der HR-Abteilung täglich sensible Daten von Mitarbeitern, Vertragsinformationen oder finanzielle Aspekte weiterverarbeitet werden. Im Besonderen trifft die gesetzliche Verpflichtung auf die Personalakte zu, die als sensibelste Informationsquelle über den Mitarbeiter bezeichnet werden kann.

    Gesundheitsdaten dürfen ohne Einwilligung des Arbeitnehmers zu keinem Zeitpunkt in einer Personalakte gespeichert werden. Der Artikel 12 der DSGVO beschreibt gleichzeitig, wie Informationen verarbeitet werden sollten. Sie müssen zu jeder Zeit in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache übermittelt werden.

    Einsichtnahme in Personalakte jederzeit möglich

    Zum Arbeitnehmerdatenschutz gehört ebenfalls, dass Mitarbeiter zu jeder Zeit Einsicht in die Inhalte der Personalakte nehmen können. Der § 83 des Betriebsverfassungsgesetzes erklärt eindeutig:

    • Der Arbeitnehmer hat das Anrecht, in die über ihn geführten Personalakten Einsicht zu nehmen.
    • Er kann hierzu ein Mitglied des Betriebsrats hinzuziehen.
    • Das Mitglied des Betriebsrats hat über den Inhalt der Personalakte Stillschweigen zu bewahren, soweit es vom Arbeitnehmer im Einzelfall nicht von dieser Verpflichtung entbunden wird.

    Verlangt ein Mitarbeiter Einsicht in seine Personalakte, muss ihm diese gewährt werden. Es gehört zum Beschäftigtendatenschutz, dass dem Betriebsangehörigen alle über ihn archivierten Daten und Dokumente offengelegt werden. Ein Vorenthalten von Informationen ist rechtswidrig. Die Personalakte wird einem Angestellten in der Regel in den Unternehmensräumen zugänglich gemacht. Aus Sicht des Gesetzgebers hat der Arbeitnehmer das Anrecht, Unterlagen aus der persönlichen Personalakte zu kopieren. Da es sich bei der Personalakte um datenschutzrechtlich bedeutendes Dokument handelt, darf diese dem Betriebsangehörigen nicht ausgehändigt werden. Nach Einsichtnahme muss die Personalakte erneut geschützt archiviert werden.

    Wichtig: Der Datenschutzbeauftragte im Unternehmen hat die Verpflichtung, die Personalakten in Bezug auf eine gesetzeskonforme Führung zu kontrollieren. Hat der Arbeitnehmer nach Akteneinsicht Zweifel an der Art der Archivierung, kann er intervenieren. Neben einer Information an den Betriebsrat hat er das Anrecht, den Datenschutzbeauftragten im Unternehmen auf den Missstand aufmerksam zu machen. Dieser wird dem Einwand nachgehen und insgesamt überprüfen, ob bei der Führung der Personalakten im Betrieb nachweisbar Probleme und Fehler feststellbar sind.

    Wie das Bundesbeamtengesetz die Personalakte schützt

    Das Bundesbeamtengesetz (BBG), welches die Grundlage eines Dienstverhältnisses von Beamtinnen und Beamten darstellt, erläutert den strengen Umgang mit einer Personalakte detailliert im § 106 BBG. Die Vorschriften des BBG ähneln den gesetzlichen Bestimmungen für abhängig Beschäftigte. Entscheidend für Dienstherren in Bezug auf den Arbeitnehmerdatenschutz sind vor allem die folgenden Vorgaben:

    • Es besteht eine gesetzliche Verpflichtung zur Führung einer Personalakte für jeden Beamten.
    • Sie ist vertraulich zu behandeln und durch technische und organisatorische Maßnahmen vor unbefugter Einsichtnahme zu schützen. Die Akte kann in Teilen oder vollständig automatisiert geführt werden.
    • Nach § 107 BBG muss jede Akteneinsicht aktenkundig gemacht werden.

    3. Arbeitnehmerdatenschutz nach Kündigung des Beschäftigungsverhältnisses

    Arbeitnehmer erlauben Unternehmen mit gutem Grund, ihre personenbezogenen Daten im Arbeitsverhältnis zweckbezogen zu nutzen. Nach der Kündigung des Beschäftigungsverhältnisses und nach Ausscheiden aus dem Betrieb endet die Notwendigkeit, persönliche Informationen zu verwenden. Nach der letzten Gehaltsabrechnung ist aus gesetzlicher Sicht keine Zweckbindung erkennbar, die eine Speicherung oder Weiterverarbeitung von personenbezogenen Daten erklären könnte. In diesem Zusammenhang greift der Artikel 5 der DSGVO. Der Absatz 1b enthält den Hinweis, dass personenbezogene Daten für

    „festgelegte, eindeutige und legitime Zwecke erhoben werden. Sie dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.“

    Artikel 5 der DSGVO

    Um den Vorgaben des Artikels 5 der DSGVO Folge zu leisten, müssen Unternehmen unmittelbar nach Beendigung des Arbeitsverhältnisses alle Daten eines Mitarbeiters löschen, die nicht notwendig sind. Dies schließt ein, jeglichen Hinweis auf den ehemaligen Angestellten im Intranet oder auf der Firmenhomepage unkenntlich zu machen.

    Wichtig: Die Personalakte sollte vom Arbeitgeber zunächst 3 Jahre nach Ausscheiden des Mitarbeiters archiviert werden. Dies ist entscheidend, da Angestellte innerhalb von 3 Jahren nach Kündigung die Möglichkeit haben, etwaige Ansprüche an den Arbeitgeber einzuklagen. Das Bürgerliche Gesetzbuch (BGB) verfügt im § 195, dass die regelmäßige Verjährungsfrist drei Jahre beträgt. Würde ein Unternehmen die Personalakte vor Ablauf der Verjährungsfrist vernichten, wäre dies kontraproduktiv. Dem Betriebs wäre es nicht mehr möglich, Forderungen des Arbeitnehmers vor Gericht durch schriftliche Beweise auszuhebeln. Nach Ende der Verjährungsfrist kann die Personalakte aus rechtlicher Sicht gelöscht werden.

    4. Arbeitnehmerdatenschutz bei der Überwachung von Kommunikationsmitteln

    Im betrieblichen Arbeitsalltag benutzen Arbeitnehmer im Firmeninteresse die verschiedensten Kommunikationsmittel. Klassische Arbeitsmittel wie das Festnetztelefon oder ein Fax werden fortlaufend durch digitale, mobile Hilfsmittel verdrängt. Ein Großteil der Kommunikation erfolgt heute über das Firmen-Mobiltelefon. Neben Anrufen kommunizieren Betriebsangehörige mit Kunden und Kollegen ebenso über WhatsApp oder andere Messenger-Dienste. In der schriftlichen Kommunikation nutzen Mitarbeiter vor allem E-Mails. Jedes digitale Kommunikationsinstrument beinhaltet die Möglichkeit der Überwachung durch den Arbeitgeber.

    Eine weitere Option, Mitarbeiter zu kontrollieren, stellt die Videoüberwachung im Betrieb dar. Vor allem in sensiblen Arbeitsbereichen ist es nachvollziehbar, dass Unternehmen aus Sicherheitsgründen oder zur Verhütung von Unfällen eine firmenseitige Videoüberwachung installieren. Neben den positiven Effekten einer solchen Kontrolle des Arbeitsumfeldes muss der Arbeitnehmerdatenschutz umfassend betrachtet werden. Wird eine Videoüberwachung sorglos und ohne nachvollziehbare Regelungen in den Betriebsablauf integriert, kann der Arbeitgeber unverhältnismäßig in die Privatsphäre von Mitarbeitern eingreifen. In diesem Fall besteht die Gefahr, die informationelle Selbstbestimmung zu verletzten.

    Überwachung von Kommunikationsmitteln, Mitarbeiter, Datenschutz, Telefonate, E-Mails, Einwilligung
    Die Überwachung von Kommunikationsmitteln der Mitarbeiter © Alexander – Adobe Stock

    Aufgrund der Bandbreite und der Vielfältigkeit der Nutzung von Kommunikationsmitteln muss der Arbeitgeber seiner Verantwortung nachkommen. Er sollte wissen, wann eine Überwachung von Kommunikationsmitteln am Arbeitsplatz statthaft ist. Der Gesetzgeber hat in diesem Bereich enge gesetzliche Grenzen implementiert, um den Arbeitnehmerdatenschutz sicherzustellen.

    Überwachung von Telefonaten am Arbeitsplatz

    Es liegt nahe, dass Arbeitgeber gewillt sind, bei einer unzureichenden Mitarbeiterperformance die Kommunikationsmittel der Angestellten zu überwachen. Neben einer qualitativen Kontrolle könnte eine Überwachung ebenso aus quantitativer Perspektive wirkungsvoll sein. Einer Überwachung von Telefongesprächen am Arbeitsplatz sind aus gesetzlicher und strafrechtlicher Sicht enge Grenzen gesetzt. Generell müssen Arbeitgeber bei Telefonaten zwischen dienstlichen und privaten Telefonanrufen unterscheiden. Während dienstliche Telefonate in Bezug auf die Verbindungsdaten grundsätzlich kontrolliert werden dürfen, ist dies bei privaten Telefonaten untersagt. Dies ist einer der wichtigsten Gründe, warum ein Großteil der Unternehmen das Führen von privaten Telefonaten am Arbeitsplatz nicht gestattet.

    Gesetzliches Verbot der Telefonüberwachung

    Bei dienstlich veranlassten Telefonaten sind Arbeitgeber berechtigt, die Einzelverbindungsnachweise zu kontrollieren. Ein Mithören oder Archivieren von offiziellen Telefongesprächen ist ohne Erlaubnis zu keinem Zeitpunkt gestattet. Das Strafgesetzbuch (StGB) erklärt unmissverständlich im § 201 StGB, dass Vorgesetzte oder andere Mitarbeiter mit einer Freiheitsstrafe von bis zu 3 Jahren belegt werden können, wenn sie:

    • Unbefugt das nicht öffentlich gesprochene Wort eines anderen auf einen Tonträger aufnehmen würden oder
    • eine auf diese Weise hergestellte Aufnahme gebrauchen oder einem Dritten zugänglich machen.

    Gleiches gilt, wenn ein Wortprotokoll eines Telefonates angefertigt werden würde. Jeder Versuch ist strafbar. Amtsträgern wird aufgrund ihrer besonderen Stellung eine Freiheitsstrafe von bis zu 5 Jahren angedroht. Das unbefugte Abhören von Telefonaten von Mitarbeitern gilt gemäß § 206 StGB als Verletzung des Post- und Fernmeldegeheimnisses.

    Haben Arbeitgeber einen berechtigten Verdacht, dass ein Mitarbeiter mit seinem Diensttelefon Straftaten begeht oder dem Unternehmen in erheblicher Weise schadet, sollten sie aktiv werden.

    Externe Berater, wie ein Anwalt für Arbeitsrecht können Betriebe darin unterstützen, die Behörden rechtskonform einzuschalten. Erhärtet sich ein Anfangsbedacht, kann angeordnet werden, dass der Telefonanschluss des Mitarbeiters überwacht wird.

    Einwilligung der Mitarbeiter zur Überwachung notwendig

    Das gesetzliche Verbot der Telefonüberwachung von Mitarbeitern ist eindeutig von Gesetzgeber geregelt. Eine Ausnahme dieser Vorgabe besteht, wenn ein Angestellter nachdrücklich damit einverstanden ist, dass seine Telefonate überwacht werden.

    Beispiel: In einem Callcenter werden die fernmündlichen Verkaufsgespräche der Call-Center-Agents zu Trainingszwecken mitgeschnitten. Mit dem Arbeitsvertrag hat der Arbeitnehmer die Erlaubnis hierfür erteilt. Durch die Mitschnitte ist effektives Mitarbeitercoaching möglich. Voraussetzung jeder Speicherung ist die Zustimmung des Kunden und des Mitarbeiters.

    Technische Lösungen zur Unterscheidung zwischen Privat- und Geschäftsgespräch

    Möchten Unternehmen ihren Mitarbeitern die Nutzung des betrieblichen Telefonanschlusses für private Zwecke erlauben, kann eine technische Trennung der Verbindungen vorgenommen werden. Lösungen im Mobilfunkbereich nennen sich zum Beispiel Duo Bill oder Dual Sim.

    Bei Duo Bill kann der Mitarbeiter vor einem Telefonat per Tastendruck entscheiden, ob das Gespräch einen privaten oder geschäftlichen Charakter hat. Bei einem Privatgespräch wählt er eine Kurzwahl vor der eigentlichen Telefonnummer. Die Verbindungsdaten werden nicht den geschäftlichen Gesprächen zugeordnet und später zwischen Mitarbeiter und Telefongesellschaft abgerechnet.

    Beim Produkt Dual Sim kann im Handy eine zweite, private SIM-Karte über einen Adapter ins Mobiltelefon eingesetzt werden. Durch einfaches Umschalten per Kurzwahl ist es möglich, über die zusätzliche SIM-Karte ausschließlich Privatgespräche zu führen. Ähnliche technische Lösungen werden ebenfalls im Festnetzbereich angeboten. Auf diese Weise können private und berufliche Telefongespräche effektiv und im Sinne des Arbeitnehmerdatenschutzes getrennt werden.

    Überwachung der E-Mail-Kommunikation im Betrieb

    E-Mails und Geschäftspost gehören zu den Geschäftsdaten des Arbeitgebers. Aus diesem Grund besitzt das Unternehmen ein Zugriffsrecht und darf eingehende E-Mails oder schriftliche Geschäftspost effektiv überwachen. Aufgrund seines bestehenden Arbeitsvertrages übernimmt der Mitarbeiter die Verpflichtung, E-Mails oder Geschäftsbriefe im Sinne des Arbeitgebers zu bearbeiten. Er erwirbt keinen Anspruch am Inhalt, sodass dienstliche Korrespondenz zu jeder Zeit offengelegt werden muss.

    Private E-Mail-Kommunikation darf vom Arbeitgeber nicht ohne Zustimmung überwacht werden. Diese fällt unter die Vorgaben des Arbeitnehmerdatenschutzes. Erlauben Unternehmen ihren Mitarbeitern, vom geschäftlichen E-Mail-Account sowohl dienstliche wie private E-Mails zu versenden, verwirken sie eine wichtige Berechtigung. Sie sind in diesem Fall insgesamt nicht mehr berechtigt, die E-Mail-Kommunikation zu überwachen. Um dies zu verhindern, empfiehlt es sich, die private und geschäftliche E-Mail-Kommunikation der Mitarbeiter eindeutig zu trennen.

    Ohne eine Trennung besteht die Gefahr, gesetzliche Bestimmungen zu missachten, wenn E-Mails kontrolliert werden. Es gilt auf Basis der § 202 a-c des Strafgesetzbuches als Straftat, die E-Mail-Kommunikation von Mitarbeitern ohne Genehmigung auszuspähen oder außerdienstliche Daten abzufangen.

    Um den Beschäftigtendatenschutz zu vereinfachen und Straftatbestände zu minimieren, haben sich viele Unternehmen in dieser Frage klar positioniert. Sie haben sich entschieden, das Erstellen privater E-Mails vom Geschäftsaccount zu untersagen. Neben Datenschutzaspekten spielen Sicherheitsüberlegungen für Unternehmen eine entscheidende Rolle bei dieser Mitarbeitervorgabe. Da nicht auszuschließen ist, dass private E-Mails Viren enthalten oder als Phishingmails Schaden anrichten, ist dieser Schritt konsequent. Andere Firmen stellen die Privatnutzung unter den Vorbehalt, dass der Mitarbeiter in eine Gesamtüberwachung des E-Mail-Accounts einstimmt. Dies schließt ebenso den Virenscan aller E-Mails und übersandter Anhänge ein.

    Arbeitnehmerdatenschutz und Videoüberwachung

    Das Thema Videoüberwachung wird in der Presse und von Arbeitnehmervertretern und Unternehmern kontrovers diskutiert. Gegner der Videoüberwachung führen an, dass es durch den Einsatz von neuen, leistungsfähigen Kamerasystemen möglich ist, Personen eindeutig zu identifizieren. Bewegungsprotokolle könnten aufzeigen, in welchen Bereichen sich ein Mitarbeiter aufhält und ob er effektiv tätig ist.

    Die Verfechter einer Videoüberwachung argumentieren, dass eine Überwachung des Firmengeländes sinnvoll und zielführend ist. Vor allem dann, wenn verhindert wird, dass Unbefugte Firmeneigentum entwenden, ist eine Videoüberwachung effektiv. Gleiches gilt, wenn Videokameras zur Unfallverhütung an schwer einsehbaren Orten auf dem Betriebsgelände installiert werden.

    Generell bedeutet Videoüberwachung im betrieblichen Wirkungskreis wie im öffentlichen Raum einen Eingriff in die Privatsphäre von Menschen. Videoüberwachung greift in das Recht am eigenen Bild ein, das zu den wichtigsten Persönlichkeitsrechten gehört. Dieses wird in erster Linie durch das Grundgesetz geschützt. Auf der anderen Seite enthält das Strafgesetzbuch im § 201 StGB unter der Überschrift „Verletzung des höchstpersönlichen Lebensbereichs durch Bildaufnahmen“ detaillierte Informationen, welche Formen der Videoüberwachung strafbar sind. Diese betreffen neben dem häuslichen Bereich gleichzeitig das betriebliche Terrain. Untersagt sind generell Bildaufnahmen oder Videoübertragungen von einer Person:

    • die sich in einem gegen Einblick besonders geschützten Raum befindet und dadurch den höchstpersönlichen Lebensbereich der abgebildeten Person verletzt.
    • die die Hilflosigkeit einer anderen Person zur Schau stellt.
    • hergestellte Bildaufnahme gebraucht oder einer dritten Person zugänglich macht.
    • befugt hergestellte Bildaufnahme wissentlich unbefugt einer dritten Person zugänglich macht und dadurch den höchstpersönlichen Lebensbereich der abgebildeten Person verletzt.

    Anhand der gesetzlichen Vorschriften ist ersichtlich, dass bei einer Videoüberwachung im Unternehmen Situationen entstehen können, bei denen die Videoübertragung dem Strafgesetzbuch widerspricht. Betriebe sind aus diesem Grund aufgefordert, den Nutzen einer Videoüberwachung mit den datenschutzrechtlichen Risiken gegenüberzustellen. Mit dem Betriebsrat und dem Datenschutzbeauftragten können in den meisten Unternehmen gangbare Wege gefunden werden, die die unterschiedlichen Sichtweisen berücksichtigen.

    Wie wird der Arbeitnehmerdatenschutz kontrolliert?

    Im Unternehmen bilden der Betriebsrat und ein bestellter Datenschutzbeauftragter in Bezug auf den Datenschutz kompetente Kontrollgremien. Während ein Datenschutzbeauftragter vor allem prüft, inwieweit die gesetzlichen Bestimmungen eingehalten werden, achtet der Betriebsrat auf bestmögliche betriebliche Rahmenbedingungen.

    In Betriebsvereinbarungen können Unternehmen und Betriebsrat sich auf Vorgaben und Vorschriften für die Beschäftigten einigen. Betriebsvereinbarungen können unter anderem die Installation einer Videoüberwachung regeln oder die Ausgestaltung einer neuen Softwareapplikation in Bezug auf den Arbeitnehmerdatenschutz klarstellen.

    Inwieweit muss der Betriebsrat bei der Ausgestaltung des Beschäftigtendatenschutzes involviert werden?

    Der Betriebsrat übernimmt eine bedeutende Kontrollfunktion in Bezug auf die Überwachung des Beschäftigtendatenschutzes im Betrieb. Diese wird ihm im Betriebsverfassungsgesetz (BetrVG) eindeutig übertragen. Im § 80 des BetrVG werden die vielfältigen, allgemeinen Aufgaben des Betriebsrats dargelegt. Themenbereiche, wie der Förderung von Beruf und Familie oder die Unterstützung der Beschäftigung älterer Arbeitnehmer im Betrieb gehören zum Aufgabenbereich des Betriebsrates. Beim Beschäftigtendatenschutz verfolgt die Arbeitnehmervertretung vor allem das folgende Ziel:

    „Darüber zu wachen, dass die zugunsten der Arbeitnehmer geltenden Gesetze, Verordnungen, Unfallverhütungsvorschriften, Tarifverträge und Betriebsvereinbarungen durchgeführt werden.“

    Zu den angeführten Gesetzen und Verordnungen gehören die wichtigen Arbeitnehmerdatenschutzgesetze DSGVO und BDSG.

    Der Betriebsrat besitzt in seiner Kontrollfunktion kein eigenständiges Akteneinsichtsrecht. Aus diesem Grund kann er nicht ungefragt und ohne Zustimmung des Arbeitnehmers die Personalakte sichten oder andere, personenbezogene Informationen einfordern. Der § 80 des BetrVG verpflichtet Arbeitgeber gesetzlich, den Betriebsrat zur Durchführung seiner Aufgaben rechtzeitig und umfassend über folgende Sachverhalte zu unterrichten:

    • Aufgaben und zeitlicher Umfang von Arbeitseinsätzen von nicht im Betrieb beschäftigten Personen, zum Beispiel Mitarbeitern in Arbeitnehmerüberlassung.
    • Einblick über die betriebsinternen Listen der Bruttolöhne und -gehälter der Beschäftigten.
    • Arbeitsverträge

    Im Rahmen seiner allgemeinen Wächterfunktion hat der Betriebsrat die Verantwortung und Verpflichtung verschiedene Unternehmensbereiche zu kontrollieren. Die Einhaltung der Datenschutzgesetze im Betrieb gehört zu den prominentesten Aufgaben des Betriebsrates. 

    Praktische Mitbestimmungsmöglichkeiten des Betriebsrats

    Im täglichen Arbeitsalltag ergeben sich für den Betriebsrat eines Unternehmens vielfältige Möglichkeiten, die Einhaltung von datenschutzrechtlichen Fragen zu überwachen. Gleichzeitig kann er bei der Ausgestaltung von Rahmenbedingungen mitwirken. Der Betriebsrat hat generell ein Mitspracherecht, wenn Mitarbeiter der Verarbeitung von personenbezogenen Daten nicht zugestimmt haben. Haben Angestellte sich schriftlich mit der innerbetrieblichen Videoüberwachung oder mit Softwareapplikationen einverstanden erklärt, kann der Betriebsrat nicht intervenieren.

    Das umfassende Mitbestimmungsrecht eines Betriebsrats leitet sich aus § 87 des BetrVG ab. Im Unterpunkt 6 beschreibt der Gesetzgeber ein umfassendes Mitbestimmungsrecht bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.“

    Im Bereich des Arbeitnehmerdatenschutzes betrifft dieses Mitbestimmungsrecht zum Beispiel die Implementierung der Videoüberwachung. Nach einer Verhandlung über die betriebsinterne Ausgestaltung von Videoüberwachung am Arbeitsplatz wird der Betriebsrat im letzten Schritt mit dem Arbeitgeber eine Betriebsvereinbarung abschließen. Diese ist für alle Angestellten bindend.

    Ein weiteres Praxisbeispiel ist die Einführung von neuen Softwareapplikationen im Unternehmen. Hierbei ist es unwesentlich, ob ein neues CRM- oder ERP-Programm oder eine Software zur Erfassung der Arbeitszeit installiert werden sollen. Durch die Digitalisierung ist es aus Unternehmenssicht notwendig, neuartige Softwareprogramme einzuführen. Diese verfolgen das Ziel, Arbeitsbereiche zu vernetzen oder Arbeitsgänge zu automatisieren. In vielen Fällen verarbeiten Softwareapplikationen personenbezogene Daten schematisch weiter. Dies kann zum Beispiel Log-in-Daten, die genauen Zeiten einer Maschinenbedienung und viele weitere Daten betreffen, die der informationellen Selbstbestimmung unterliegen.

    Arbeitgeber sind in diesem Fall verpflichtet, den Betriebsrat über Art und Umfang der Datenverarbeitung zu unterrichten. Sie müssen darlegen, ob und wie die eingesetzte Software personenbezogenen Daten weiterverarbeitet. Besteht die Möglichkeit, dass gemäß § 87 BetrVG die Leistung oder das Verhalten der Beschäftigten überwacht wird, besteht ein umfassendes Mitbestimmungsrecht des Betriebsrates. Durch die gesetzlichen Vorschriften schützt der Gesetzgeber die Beschäftigten und ihre Persönlichkeitsrechte. Aus gesetzgeberischer Sicht kommt es nicht darauf an, ob ein System zur Videoüberwachung oder eine Softwareapplikation die Angestellten tatsächlich kontrolliert. Besteht die objektive Möglichkeit der Mitarbeiterüberwachung, ist eine Einführung von technischen Einrichtungen im Betrieb mitbestimmungspflichtig.

    Worauf Arbeitgeber in der Zusammenarbeit mit dem Betriebsrat achten sollten

    Der Betriebsrat wurde als Kontrollorgan eingesetzt. In dieser Funktion ist er verantwortlich, die Ausgestaltung der Arbeitsbedingungen im Unternehmen zu überwachen. Betriebsräte fokussieren sich vor allem darauf, dass die gesetzlichen Regelungen im Betrieb angewandt werden. Trotz strittiger Punkte arbeiten die meisten Führungskräfte positiv und konstruktiv mit dem Betriebsrat des Unternehmens zusammen.

    In Bezug auf den Arbeitnehmerdatenschutz werden Betriebsräte bei praktischen Fragen in der Regel auf den Abschluss von Betriebsvereinbarungen drängen. Diese regeln explizit die Nutzung der technischen Einrichtungen und stellen klar, welche Daten weiterverarbeitet werden dürfen. Neben datenschutzrechtlichen Mindeststandards achtet der Betriebsrat vor allem darauf, dass Daten ausschließlich im Bedarfsfall erhoben werden.

    Mitbestimmung des Betriebsrats, Arbeitgeber, Arbeitnehmer, Datenschutz, Datenschutzverordnung, DSGVO
    Der Betriebsrat hat einige Möglichkeiten ur Mitbestimmung © CrazyCloud – Adobe Stock

    Modernen Führungskräften ist es wichtig, eine positive Kommunikations- und Diskussionskultur zu etablieren. Sie setzen auf Motivation und nutzenorientierte Kommunikation zwischen Beschäftigten, Betriebsrat, Datenschutzbeauftragtem und Unternehmensleitung. Dies hat zur Folge, dass alle Beteiligten die gleichen Ziele verfolgen. Unternehmen, die wertschätzend und konstruktiv mit dem Betriebsrat zusammenarbeiten, stimmen sinnvollen Kompromissen zu, die den Beschäftigtendatenschutz fördern. Gleichzeitig stellen sie klar, dass ein Wirtschaftsunternehmen vom Engagement der Mitarbeiter profitiert und Erfolg und Effizienz die wesentlichen Zielparameter sind. Eine solche Vorgehensweise unterstützt Arbeitgeber darin, ein zukunftsorientiertes Employer Branding aufzubauen und als mitarbeiterzentriertes Unternehmen die besten Mitarbeiter langfristig zu binden.

    Welche Aufgaben übernimmt der Datenschutzbeauftragte im Unternehmen?

    Die europäische Datenschutzgrundverordnung (DSGVO) regelt neben weiteren nationalen Gesetzen, wann und in welchem Umfang personenbezogene Daten innerbetrieblich verarbeitet werden dürfen. Dem Betriebsrat kommt als Kontrollorgan eine bedeutende Stellung beim Beschäftigtendatenschutz zu. Neben den Arbeitnehmervertretern übernimmt der Datenschutzbeauftragte Verantwortung bei der Umsetzung der gesetzlichen Vorschriften im Betrieb.

    Die DSGVO erläutert eindeutig, ab welcher Unternehmensgröße ein Datenschutzbeauftragter integriert werden muss. Sie erklärt darüber hinaus, welche Aufgaben er übernimmt. Generell gilt, dass Betriebe mit mehr als 10 Beschäftigten einen Datenschutzbeauftragten benennen müssen. Dieser muss mit Namen und Kontaktdaten in der Datenschutzerklärung im Internet oder im Verkaufsraum kenntlich gemacht werden. Der Datenschutzbeauftragte kann als Angestellter im Unternehmen tätig sein. In kleineren Betrieben wird alternativ ein externer Datenschutzbeauftragter oder ein Fachanwalt bestellt. Dieser übernimmt die Aufgaben auf Basis des Arbeitnehmerdatenschutzgesetzes und setzt die Vorgaben der DSGVO um.

    Die Stellung des Datenschutzbeauftragten wird im Artikel 38 der DSGVO umfangreich beschrieben. Bedeutend aus Sicht des Arbeitnehmerdatenschutzes ist, dass der Datenschutzbeauftragte wie folgt vom Arbeitgeber unterstützt wird:

    • Er muss ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden werden.
    • Er benötigt den notwendigen Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen.
    • Er darf keine Anweisungen vom Arbeitgeber erhalten, die seine Arbeit behindern oder ihn als Arbeitnehmer benachteiligen.
    • Er berichtet priorisiert an die höchste Managementebene im Unternehmen.
    • Er gilt als erster Ansprechpartner für Mitarbeiter bei allen Fragen des Beschäftigtendatenschutzes.

    Aufgaben des Datenschutzbeauftragten gemäß DSGVO

    Abgeleitet von der herausgehobenen Stellung des Datenschutzbeauftragten im Unternehmen ist er ermächtigt, vor allem um die folgenden, sensiblen Aufgabenbereiche vollumfänglich zu bearbeiten:

    • Unterrichtung und Beratung des Arbeitgebers hinsichtlich der Pflichten der Arbeitnehmerdatenschutzgesetze.
    • Überwachung der Einhaltung der DSGVO sowie aller anderen geltenden Datenschutzgesetze.
    • Kontrolle der Strategien für den Schutz personenbezogener Daten im Unternehmen. Dies schließt die Zuweisung von Zuständigkeiten und die Sensibilisierung und Schulung von Mitarbeitern ein.
    • Fortlaufende Beratung zur Datenschutz-Folgenabschätzung.
    • Zusammenarbeit mit der Aufsichtsbehörde.

    Der Datenschutzbeauftragte übernimmt nach den Vorgaben der DSGVO neben dem Betriebsrat eine umfangreiche innerbetriebliche Kontrollfunktion. Der Betriebsrat konzentriert sich bei seiner Tätigkeit vor allem auf die Beschäftigten. Seine Arbeit verfolgt das Ziel, die Arbeitsbedingungen im Betrieb zu verbessern. Dem Datenschutzbeauftragten geht es vor allem um die zielorientierte Einhaltung aller Gesetze zum Arbeitnehmerdatenschutz. Er fokussiert sich weniger auf Vorteile der Belegschaft oder des Arbeitgebers. Gleichzeitig gehören weitere Aufgaben zu seinem Arbeitsgebiet.

    Wie wird Fehlverhalten beim Arbeitnehmerdatenschutz sanktioniert?

    Bei genauer Betrachtung der umfassenden Gesetze und Richtlinien zum Arbeitnehmerdatenschutz wird ersichtlich, dass der Gesetzgeber:

    • das Persönlichkeitsrecht von Beschäftigten sowie
    • den Schutz von personenbezogenen Daten für bedeutend erachtet.

    Durch die Kontrollfunktionen des Betriebsrats und des Datenschutzbeauftragten verfolgt der Gesetzgeber einen bedeutenden Zweck. Es soll erreicht werden, dass Arbeitnehmerdatenschutzgesetze in all ihren Facetten in jedem Betrieb in Deutschland eingehalten werden.

    Trotz der zahlreichen Bestimmung sowie externer und innerbetrieblicher Kontrollorgane, werden Fälle von Fehlverhalten bekannt. In der Öffentlichkeit wurde zum Beispiel der Umgang mit ausländischen Arbeitskräften diskutiert. Diese mussten unter teilweise miserablen Bedingungen in Arbeitnehmerüberlassung in der Fleischindustrie arbeiten. Darüber hinaus sind Einzelfälle bekannt, in denen der Arbeitnehmerdatenschutz und die Vorgaben des BDSG und der DSGVO nachweislich übergangen wurden. Dies führt zur Schädigung von Verbrauchern und Betriebsangehörigen.

    Um Fehlverhalten zu sanktionieren, enthalten sowohl das BDSG wie die DSGVO umfangreiche Strafvorschriften. Diese betreffen sowohl Gefängnisstrafen wie die Verhängung von hohen Bußgeldern.

    Bußgeldbestimmungen

    Auf Grundlage des § 83 der DSGVO können umfangreiche Bußgelder verhängt werden. Diese greifen, wenn die Vorschriften des Gesetzgebers teilweise oder vollumfänglich missachtet wurden. Die Höhe eines Bußgeldes wird von der zuständigen Behörde nach einer Einzelfallentscheidung festgelegt. Der Gesetzgeber verfügt, dass Bußgelder wirksam, verhältnismäßig und abschreckend sein müssen. Vor der Festsetzung einer Strafzahlung werden unter anderem die folgenden Parameter geprüft:

    • Die Art, Schwere und die Dauer des Verstoßes.
    • Die Art des Umfangs oder des Zwecks der betreffenden Verarbeitung.
    • Die Zahl der von der Verarbeitung betroffenen Personen.
    • Das Ausmaßes des von ihnen erlittenen Schadens.
    • Die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes.

    Basierend auf Art und Umfang belauft sich die Höhe des Bußgeldes auf eine Summe von bis zu 10.000.000 Euro. Alternativ werden 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs herangezogen.

    Bei tief greifenden Verstößen gegen das Persönlichkeitsrecht oder die informationelle Selbstbestimmung wird die Summe auf 20.000.000 Euro erhöht. Als Alternative werden 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs beansprucht. Das Bundesdatenschutzgesetz enthält weitere Bußgeldbestimmungen in den § 43 BDSG und § 83 BDSG.

    Mit der Einführung der DSGVO sind alle Unternehmen abseits ihrer Firmengröße darauf bedacht, durch Anwendung der gesetzlichen Bestimmungen Strafzahlungen zu vermeiden. Seit Mitte 2018 wurden bekannte Konzerne mit umfangreichen Bußgeldern sanktioniert. Die Wiener Zeitung berichtete in diesem Zusammenhang am 29.10.2019 von einer Millionenstrafzahlung für die österreichische Post. Diese hatte die Parteiaffinität von Kunden gespeichert und an Parteien weiterverkauft. Im Artikel war zu lesen:

    „Seit Inkrafttreten der EU-Datenschutzgrundverordnung (DSGVO) habe es nur drei höhere Strafen, 205 Mio. Euro gegen British Airways, 110 Mio. Euro gegen Marriott und 50 Mio. Euro gegen Google, gegeben.“

    Strafvorschriften

    Neben den Bußgeldbestimmungen der DSGVO enthält das Bundesdatenschutzgesetz weitergehende Strafvorschriften. Diese beziehen sich auf Freiheitsstrafen oder Geldstrafen bei erheblichem Missbrauch von personenbezogenen Daten.

    StrafeMissbrauch
    Freiheitsstrafe bis zu 3 Jahren oder Geldstrafewer wissentlich nicht allgemein zugängliche personenbezogene Daten einer großen Zahl von Personen preisgibt, ohne hierzu berechtigt zu sein,      einem Dritten übermittelt oder
    auf andere Art und Weise zugänglich macht
    und hierbei gewerbsmäßig handelt
    Freiheitsstrafe von bis zu 2 Jahren oder Geldstrafewer personenbezogene Daten, die nicht allgemein zugänglich sind ohne hierzu berechtigt zu sein, verarbeitet oder durch unrichtige Angaben erschleicht,    
    gegen Entgelt oder in der Absicht handelt, sich oder einen anderen zu bereichern oder einen anderen zu schädigen.