Warum jedes Unternehmen den Datenschutz im Unternehmen fokussieren sollte

Warum jedes Unternehmen den Datenschutz im Unternehmen fokussieren sollte

Der Datenschutz von personenbezogenen Daten und Informationen gehört zu den wichtigsten Aufgaben eines Betriebes. In jedem Unternehmen werden unzählige sensible Daten verarbeitet. Der Gesetzgeber hat in verschiedenen Gesetzen festgelegt, wie personenbezogene Daten behandelt werden müssen. Die wesentlichste rechtliche Vorgabe ist in der DSGVO zu finden. Die DSGVO enthält umfangreiche Vorgaben und Handlungsanweisungen für Arbeitgeber und rückt den Arbeitsnehmer- und Kundendatenschutz in den Mittelpunkt

Datenschutz ist für viele Fachabteilungen in Unternehmen relevant. Vor allem für die HR-Abteilung nimmt der Datenschutz einen hohen Stellenwert, weil fortlaufend Arbeitnehmerdaten weiterverarbeitet werden. Dies ist beispielsweise bei den monatlichen Gehaltsläufen oder bei Ein- und Austritten der Fall. Ebenfalls tangiert der Datenschutz im Unternehmen Fragen der Mitarbeiterüberwachung, der Schweigeflicht oder zu den gesetzlichen Aufbewahrungsfristen. Eine professionelle Datenschutzorganisation ist die Grundlage für eine professionelle Datenschutzpolitik in jedem Unternehmen.

Wissenswertes zum Thema Arbeitsrecht lesen Sie in: Arbeitsrecht: alles, was zu beachten ist

    Spätestens mit der Erfindung von Lochkartenmaschinen und mit den ersten Personal Computern Anfang der 1970er Jahre beschäftigten sich Arbeitgeber und Arbeitnehmer mit dem Datenschutz. Anfangs war Datenschutz aufgrund der Rechenleistungen von Computern ein untergeordnetes Thema. Vor allem mit der Einführung von Windows im Jahr 1990 begann der Siegeszug der Datenverarbeitung in Unternehmen und Privathaushalten. Heute ist es Gang und Gäbe, dass die meisten Arbeitsschritte in Betrieben von Computern unterstützt oder ausgeführt werden. Eine flächendeckende mobile Datenkommunikation in Echtzeit rückt mit der Verarbeitung der 5G-Lizenzen in greifbare Nähe.

    Die neuen Kommunikationsmöglichkeiten bergen neben Chancen ebenfalls Gefahren und Herausforderungen. In einem Artikel des Tagesspiegel vom 24.05.2019 war unter anderem zu lesen, dass die Deutsche Telekom pro Tag 46 Millionen Cyberangriffe registriert. Die Sicherheitsbehörden in Deutschland warnen fortlaufend vor einem starken Anstieg der Cyberkriminalität. Neben den externen Herausforderungen, denen sich Unternehmen aller Größenordnungen gegenübersehen, sind sie ebenfalls zuständig, den innerbetrieblichen Datenschutz sicherzustellen.

    Vor allem seit der Einführung der Datenschutzgrundverordnung (DSGVO) zum 25.05.2018 sind Betriebe verpflichtet, Datenschutz und den Schutz personenbezogener Daten ernst zu nehmen. Die DSGVO regelt den Erlaubnistatbestand zur Erhebung und Speicherung personenbezogener Daten und beschreibt die Informationspflichten von Arbeitgebern. Ziel jedes Unternehmens sollte das Erreichen eines professionellen Datenschutzniveaus sein.

    Die Einführung der DSGVO und die im Gesetz festgelegten Strafzahlungen haben bei Personalverantwortlichen und Führungskräften in vielen Fällen zur Verunsicherung geführt. Verantwortliche in Unternehmen fragen sich unter anderem:

    • Welche wesentlichen Vorgaben und Erlaubnistatbestände enthält die DSGVO für den Unternehmensalltag?
    • Welche Aufgaben übernimmt die Datenschutzorganisation im Betrieb?
    • Wann ist eine Datenschutzfolgeabschätzung notwendig?
    • Wie muss im Betrieb generell mit personenbezogenen Daten umgegangen werden?
    • Was bedeutet die DSGVO für das Personalmanagement und die Datenverarbeitung?
    • Wie betreffen Datenschutzgesetze die HR-Abteilung bezüglich der Datensicherheit oder der monatlichen Gehaltsabrechnungen?
    • Wann unterliegen Arbeitgeber der Schweigepflicht?
    • In welchen Fällen dürfen Mitarbeiter trotz Datenschutzbestimmungen überwacht werden?
    • Was ist in Bezug auf Mitarbeiterüberwachung und Datenschutz erlaubt?

    Der Themenbereich Datenschutz ist vielschichtig. Er ist von fortlaufenden gesetzlichen Novellierungen geprägt. Personalverantwortliche und Führungskräfte handeln zielführend, wenn sie die wesentlichen rechtlichen Grundlagen kennen und im Betrieb anwenden.

    Was bedeutet Datensicherheit im Unternehmen?

    Datensicherheit bedeutet schlicht und ergreifend, dass man unternehmensrelevante oder personenbezogene Informationen vor dem Zugriff Dritter schützt – meist durch die Nutzung technischer oder prozeduraler Maßnahmen, wie Verschlüsselungen oder Zugriffskontrollen.

    So ist die Datensicherheit grundsätzlich in allen Bereichen eines Unternehmens relevant. Eine Vielzahl personenbezogener Daten wird im Kontext der Human Resources verarbeitet. Solche persönlichen Informationen müssen besonders umsichtig und vertraulich behandelt werden.

    Datensicherheit beinhaltet zum Beispiel den Schutz von:

    • vertraulichen, unternehmensbezogenen Informationen
    • personenbezogenen Daten von Mitarbeitern
    • persönlichen Informationen von Bewerbern

    Damit lässt sich Datensicherheit von Datenschutz in dem Maße abgrenzen, als dass Datensicherheit über den reinen Datenschutz hinausgeht. Im Gegensatz zum Datenschutz beinhaltet Datensicherheit nämlich nicht nur den Schutz von personenbezogenen Informationen, sondern aller vertraulichen, im Zusammenhang mit dem Unternehmen stehenden Daten vor dem Zugriff Dritter. Das bedeutet: Datenschutz und Datensicherheit gehen immer Hand in Hand.

    Warum Datensicherheit für Unternehmen entscheidend ist

    Jedes Unternehmen ist bemüht, die personenbezogenen Daten seiner Mitarbeiter und Kunden professionell zu schützen. Gelangen sensible personenbezogene Informationen aus einem Arbeitsverhältnis oder Kundendaten an die Öffentlichkeit oder in unautorisierte Hände, kann dies fatale Folgen für den Ruf des Unternehmens nach sich ziehen. Aus diesem Grund muss der Datensicherheit mit Nachdruck Beachtung geschenkt werden.

    Datensicherheit bedeutet im Unternehmensalltag, sensible für den Betrieb relevante oder personenbezogene Daten und Informationen im Rahmen der Datenverarbeitung vor dem Zugriff Dritter zu schützen. Dieser unerlaubte Zugriff kann entweder betriebsintern oder extern erfolgen und eine Datenschutzverletzung zur Folge haben. Da Daten in jedem Betrieb verarbeitet werden, ist es essenziell, technische Maßnahmen, wie Verschlüsselungen und Zugriffskontrollen zu nutzen. Generell sollte die Datensicherheit aller Informationen im Fokus stehen.

    Im Besonderen sollten personenbezogenen Mitarbeiter- und Bewerberdaten geschützt werden, da diese als sensibel gelten. Datensicherheit muss in Unternehmen vom allgemeinen Datenschutz abgegrenzt werden. Dies kann gesagt werden, da Datensicherheit nicht ausschließlich personenbezogene Daten, sondern alle vertraulichen Unternehmensdaten einschließt.

    Datensicherung, Unternehmen, Datenschutz, Sicherung, Daten, Arbeitgeber, Arbeitnehmer, Mitarbeiter
    Datensicherung ist in jedem Unternehmen sehr wichtig © Urupong – Adobe Stock

    Datensicherheit und der Schutz vor externen Cyberattacken gehen Hand in Hand. Vor allem global agierende Firmen stehen in der Gefahr, dass sensible Unternehmens- oder Produktdaten über Hackerangriffe abgeschöpft werden. Datensicherheit ist aus diesem Grund einer der wesentlichsten Fachbereiche des Datenschutzes. Die hohen finanziellen Investitionen in Schutzmaßnahmen in die Datensicherheit und eine auf Abwehrmaßnahmen ausgelegte IT-Infrastruktur sind gut angelegt.

    Wieso ist Datensicherheit im Personalwesen so wichtig?

    Die Frage, welche Mitarbeiter- oder Bewerberinformationen man weitergeben, verarbeiten oder speichern darf, ist vor allem für HR-Mitarbeiter elementar. Denn: Hält ein Unternehmen die rechtlichen Datenschutzbestimmungen der DSGVO oder BDSG zum Schutz von Personaldaten nicht ein, muss es mit hohen Bußgeldern und Sanktionen rechnen. Eine Konsequenz, die man durch die richtigen Maßnahmen leicht vermeiden kann. Diese stellt der Artikel im weiteren Verlauf vor.

    Doch auch, wenn eine Firma unternehmensrelevante Informationen durch eine Cyberattacke verliert, kann dies einen erheblichen wirtschaftlichen Verlust für den Betrieb darstellen. Das bedeutet im Umkehrschluss: Datensicherheit ist nicht nur für Personaler ein wichtiger Aspekt bei der täglichen Arbeit. Die Sicherheit der Daten leistet auch einen wesentlichen Beitrag zur Performance eines Unternehmens.

    Was hat sich mit der Datenschutz-Grundverordnung verändert?

    Insbesondere im Bereich der Human Resources wurde dem Inkrafttreten der DSGVO mit einer gewissen Sorge entgegengeblickt. Das ist vor allem auf das komplexe Gesetzeskonstrukt zurückzuführen, dessen Umsetzung bis kurz vor dem Stichtag nicht genau definiert war. Die wichtigsten Änderungen und Regelungen seit Mitte 2018 sind:

    • Personalabteilungen und -verantwortliche müssen nun nachweisen können, dass sie die Vorschriften der DSGVO einhalten, indem sie beispielsweise Bewerberdaten schützen. Das bedeutet, dass Personalabteilungen ihren Arbeitsprozess nun ausführlicher dokumentieren müssen.
    • Bewerber oder Mitarbeiter haben nun das Recht, eine Auskunft über die Verwendung ihrer Personaldaten zu erhalten. Außerdem haben sie das „Recht auf Vergessenwerden“. Das heißt: Man muss ihre personenbezogenen Daten löschen oder vernichten, wenn man diese nicht mehr benötigt.
    • Mitarbeiter und Bewerber müssen der Verwendung ihrer Daten aktiv und schriftlich zustimmen. In dem Datenschutzformular sollte man sie zudem darüber informieren, wie man ihre Daten verwendet und wann man sie löscht.
    • Die betroffenen Behörden sind nun dazu angehalten, höhere Bußgelder bei Verstößen der DSGVO zu verhängen.

    Es lohnt sich also, einen Blick auf die Gesetzestexte zu werfen. Vor allem im Hinblick auf den Datenschutz findet sowohl bei Bewerbern als auch bei den Behörden eine Sensibilisierung statt.

    Arbeitsrecht: Das sind die gesetzlichen Grundlagen

    Die aktuellen Zahlen lassen aufhorchen: Während laut einer Studie fast 44 Prozent der HR-Manager nicht wissen, worum es sich bei der Datenschutz-Grundverordnung handelt, haben 21 Prozent der Beschäftigten Angst, Fehler in puncto Datensicherheit zu machen. Indem sie beispielsweise ihren Computer aus Versehen mit einem Trojaner oder einem Virus infizieren. Doch dieser Unwissenheit können Unternehmen leicht entgegenwirken. Zum Beispiel, indem man sich beim Datenschutzbeauftragten der Firma oder einem Mitarbeiter der IT informiert.

    Während Angst wenig weiterhilft, ist es doch essenziell, sich um die Datensicherheit zu kümmern – spätestens seit der von der Europäischen Union erlassenden DSGVO. Doch auch schon vor Inkrafttreten des europäischen Gesetzes im Mai 2018 gab es mit dem Bundesdatenschutzgesetz (kurz: BDSG) ein deutsches Gesetz zum Schutz von Personaldaten. Dieses wurde nun vom deutschen Gesetzgeber mit den Neuerungen der DSGVO auch im Personalmanagement aktualisiert. Mit dem Ergebnis, dass die Rechte der Arbeitnehmer ausgeweitet und die Pflichten der Arbeitgeber deutlich verschärft wurden.

    Welche wesentlichen Vorgaben die DSGVO für Unternehmen enthält

    Die Personalabteilung verarbeitet nicht nur regelmäßig persönliche Mitarbeiterdaten, sondern bekommt durch Bewerbungen auch ständig neue Daten zur Verfügung gestellt, die sie rechtlich sicher verarbeiten muss. Also lange, bevor es überhaupt zu einem Beschäftigungsverhältnis kommt. Dabei müssen sich die Mitarbeiter der Abteilung an die DSGVO (Datenschutzgrundverordnung) halten. Das gilt sogar für Unternehmen mit nur einem oder wenigen Beschäftigten. Zwar gilt beispielsweise für das Führen eines Verzeichnisses zu Datenverarbeitungstätigkeiten für kleine Betriebe eine Ausnahme, doch diese gilt nicht mehr, sobald Daten mit einer „gewissen Regelmäßigkeit“ verarbeitet werden. Da dies schon auf monatliche Gehaltsabrechnungen zutrifft, sind selbst kleinste Betriebe nicht von solchen Pflichten der DSGVO ausgenommen.

    DSGVO, Vorgaben, Datenschutz, Privatsphäre
    Jedes Unternehmen muss sich an die Vorgaben der DSGVO halten – unabhängig von der größe des Unternehmens © WrightStudio – Adobe Stock

    Seit Inkrafttreten der DSGVO am 25. Mai 2018 stehen Unternehmen beim Datenschutz in der Beweispflicht. Das heißt, sie müssen beweisen können, dass sie sich an die Datenschutzverordnung halten. Zu diesem Zweck muss der Umgang mit personenbezogenen Daten genau dokumentiert werden, der Zugang zu diesen Informationen muss eingeschränkt werden. Besonders im Personalmanagement ist das eine komplizierte und heikle Aufgabe, da die Arbeit mit Personal- und Bewerberdaten zum Alltag gehört. Mitarbeiter in HR-Abteilungen müssen dabei ihre Rechte und Pflichten genau kennen.

    Um den vorschriftsmäßigen Umgang mit Daten zu gewährleisten, empfehlen sich zur Bestimmung und Ausbildung eines Datenschutzbeauftragten spezielle Personalschulungen. Dabei lernen Personaler die juristischen und technischen Grundlagen der Datenverarbeitung, wie Sie die Einwilligung einer betroffenen Person einholen, Datenspeicherung und des Datenschutzes in Unternehmen.

    Die Vorgaben der DSGVO sind für Unternehmen, Vereine, Freiberufler und alle anderen Personen, die personenbezogene Daten verarbeiten bindend. Mit ihrer Einführung im Mai 2018 gab es vor allem für die Datenverarbeitung und für die Personalabteilung tief greifende Änderungen. Bereits vor der Implementierung der DSGVO wurde dem Datenschutz in einem Arbeitsverhältnis eine hohe Priorität eingeräumt. Das Ziel jedes Unternehmens besteht seit jeher darin, eine schlagkräftige Datenschutzorganisation aufzubauen. Im Bundesdatenschutzgesetz (BDSG) wurden unter anderem weitreichende Rechtsgrundlagen zur Verarbeitung von personenbezogenen Daten aufgegliedert. Die DSGVO steht als europäische Gesetzesverordnung über dem BDSG, das nationales Recht darstellt.

    Dies hat zur Folge, dass alle Unternehmen in der Europäischen Union mit der DSGVO einer einheitlichen rechtlichen Grundlage unterliegen. Arbeitgeber mit mehr als 10 Mitarbeitern sind im Besonderen aufgefordert, umfangreiche Dokumentationspflichten zu erfüllen. Neben den bekannten personenbezogenen Daten wie Name, Geburtsdatum oder Kontodaten muss weiteren Verpflichtungen nachgegangen werden. Beispielsweise müssen Unternehmen bei einer rechtlich korrekten Datenverarbeitung und beim Datenschutz ebenso digitale Informationen einbeziehen. IP-Adressen, E-Mail-Adressen oder die Bewegungsprofile aus Messengerdiensten fallen ebenfalls unter die Maßgaben der DSGVO.

    Generell müssen die 5 folgenden Vorgaben der DSGVO von allen Unternehmen in Europa beachtet werden:

    Vorgaben der DSGVOAusprägung
    Umkehr der BeweispflichtUnternehmen stehen mit Einführung der DSGVO in der Beweispflicht. Statt erst bei einer Kontrolle von staatlichen Stellen Dokumente aufzubereiten, sind sie angehalten, zu jeder Zeit personenbezogene Daten nach DSGVO-Grundsätzen zu verarbeiten. Behörden haben in Stichproben das Recht, zu prüfen, ob Unternehmen ihre Daten rechtlich korrekt verarbeiten
    Erhöhung des StrafmaßesDie Bußgelder wurden mit Einführung der DSGVO drastisch erhöht. Pro Verstoß werden 4 % des weltweiten Unternehmensumsatzes oder 20 Millionen Euro für jede Datenschutzverletzung fällig.
    Benennung eines Datenschutzbeauftragten als Teil der betriebsinternen DatenschutzorganisationUnternehmen mit mehr als 10 Arbeitnehmern müssen einen Datenschutzbeauftragten benennen. Dieser handelt weisungsfrei. Der Datenschutzbeauftragte kann sowohl ein Betriebsangehöriger oder ein extern bestellter Experte sein. Er überprüft die Datenverarbeitung und das Ausmaß der Datenspeicherung kritisch professionell.
    Löschung von personenbezogenen DatenUnternehmen sind bei der Datenverarbeitung verpflichtet, nicht notwendige, personenbezogenen Daten zu löschen. Ihr Vorgehen kann von Behörden kontrolliert und bei Verfehlungen mit Bußgeldern belegt werden.
    Weitgehende InformationspflichtenEs fällt ebenfalls in die Zuständigkeit von Unternehmen, Mitarbeitern oder Kunden offenzulegen, welche personenbezogenen Daten gespeichert werden. Gleiches gilt für die innerbetriebliche Zugriffsautorisation. Bei Hackerangriffen oder Datenpannen sind Betriebe verpflichtet, alle geschädigten Personen innerhalb von 72 Stunden zu informieren.

    Datenschutz im Arbeitsrecht nach Grundgesetz und Europäischer Grundrechtecharta

    Im Grundgesetz sind Datenschutzvorschriften in Art. 2 Abs. 1 GG verankert. Dieser schützt die

    „freie Entfaltung der Persönlichkeit“.

    Darin enthalten ist das Recht auf informationelle Selbstbestimmung, nach dem jeder Mensch selbst über die Verwendung seiner Daten bestimmen kann. Aus dem gleichen Artikel geht zudem eine Rechtsprechung hervor, die besagt, dass personenbezogene Informationen, die durch IT-Systeme erzeugt und/ oder verarbeitet werden, vertraulich bleiben müssen und die technischen Verfahren integer sein müssen.

    Datenschutz, Arbeitsrecht, DSGVO
    Im Grundgesetz ist das Recht auf informationelle Selbstbestimmung geregelt © BillionPhotos.com – Adobe Stock

    Ergänzend sind in Art.8 GRC (Europäische Grundrechtecharta) folgende Regelungen festgelegt:

    • Jede Person hat das Recht, dass ihre persönlichen Daten geschützt werden.
    • Personenbezogene Daten dürfen nur verarbeitet werden, wenn die betreffende Person vorher eingewilligt hat, der Zweck muss festgelegt sein. Jede Person hat das Recht, Auskunft über die erhobenen Daten zu bekommen und diese korrigieren zu lassen.
    • Ob diese Vorschriften eingehalten werden, überwacht eine unabhängige Stelle.

    Die Bestimmungen aus Art.8 der Grundrechtecharta stimmen im Wesentlichen mit der DSGVO überein, deshalb findet in der Praxis eher die DSGVO Anwendung.

    Behörden prüfen die Datenschutzorganisation im Unternehmen

    Die Einführung der DSGVO und die damit verbundenen neuartigen Richtlinien haben manche Unternehmen vor hohen Herausforderungen gestellt. Die meisten Firmen haben vor der Novellierung oder nach der Implementierung der DSGVO ihre Datenschutzorganisation an die neuen Regelungen angepasst. Dies ist notwendig und zielführend, da die Datenschutzbehörden nach dem Zufallsprinzip die Datenschutzorganisation im Unternehmen überprüfen.

    Unter dem Oberbegriff Datenschutzorganisation werden alle Vorkehrungen und Mittel zusammengefasst, die zum Schutz personenbezogener Maßnahmen im Unternehmen gelten. Hierzu gehört neben den Erlaubnistatbeständen ebenfalls die Aufstellung eines Datenverarbeitungsverzeichnisses. Ab einer Mitarbeiterstärke von 10 Angestellten muss zwingend ein Datenschutzbeauftragter bestellt werden. Darüber hinaus haben sich weitere Maßnahmen als zielführend erwiesen. Diese sind unter anderem:

    • Mitarbeiterverpflichtung zum Datengeheimnis im Rahmen einer Betriebsvereinbarung.
    • Aufbau einer datenschutzkonformen Videoüberwachung.
    • Eindeutige Regelungen zur Nutzung dienstlicher Kommunikationsmittel für den privaten Gebrauch.
    • Auflistung aller technischen und organisatorischen Maßnahmen zum Datenschutz im Betrieb.
    • Wahrnehmen der Informationspflichten der DSGVO.

    Es ist für jedes Unternehmen sinnvoll, die eigene Datenschutzorganisation auf Konformität zu prüfen. Dies garantiert, dass betriebsintern wirkungsvolle Strategien zur Datensicherheit und zum Datenschutz geplant und umgesetzt werden können.

    Wie Unternehmen die DSGVO wirkungsvoll umsetzen können

    Die Vorgaben der DSGVO müssen zwingend in allen Unternehmen in Europa umgesetzt werden. Verstöße werden mit hohen Geldstrafen geahndet. Einem Bericht des Internetportals eRecht24 zufolge, musste die Wohnungsgesellschaft „Deutsche Wohnen“ ein Bußgeld von 14,5 Millionen Euro zahlen. In Frankreich wurde Google zu einer Strafzahlung von 50 Millionen Euro aufgefordert. Zusätzlich zu diesen prominenten Fällen wurden viele kleine und mittelständische Unternehmen mit ersten Strafgeldern belegt.

    Um Bußgelder zu umgehen, ist es im Unternehmensalltag essenziell, bei der Datenverarbeitung DSGVO-konforme Software einzusetzen. Softwareapplikationen können Betriebe ebenfalls beim Aufbau eines konformen Datenverarbeitungsverzeichnisses unterstützen. Kleinere Firmen und KMUs, die keine Software einsetzen, finden Vordrucke zum Aufbau eines Datenverarbeitungsverzeichnisses im Internet. Das Datenverarbeitungsverzeichnis muss in regelmäßigen Abständen aktualisiert werden. Es enthält Informationen wie und mit welchen Mitteln Daten im Betrieb verarbeitet werden. Das Datenverarbeitungsverzeichnis muss jederzeit im Unternehmen einsehbar sein.

    Datenschutz, Unternehmen, DSGVO, Datenschutzverordnung, Arbeitgeber, Arbeitnehmer, Schutz
    DSGVO im Unternehmen umsetzen © Patrick Daxenbichler – Adobe Stock

    Gleichzeitig muss im Betrieb eine Struktur oder Systematik implementiert werden, die sicherstellt, dass personenbezogenen Daten rechtlich einwandfrei gespeichert werden. Die betriebsinterne Datenschutzorganisation sollte zu jeder Zeit die neuesten Entwicklungen in puncto Datenschutz und Datensicherheit verfolgen und im Betrieb umsetzen. Dies bedeutet unter anderem, dass von Kunden, Bewerbern und Mitarbeitern zwingend eine Einverständniserklärung zur Datenverarbeitung eingeholt und archiviert werden muss. Für Internetpräsenzen gilt: Sie müssen zwingend ein Impressum aufweisen. Dieses muss darstellen, welche Daten vom Unternehmen und externen Dienstleistern gespeichert werden und wer als Ansprechpartner und Datenschutzbeauftragter fungiert.

    Unternehmen stehen generell vor der Frage, wie viele Informationen sie verarbeiten und archivieren. Sie handeln umsichtig, wenn sie bei der Datenverarbeitung wählerisch sind und ausschließlich Notwendiges speichern. Zu umfangreiche Informationen sollten gelöscht werden, selbst wenn dies einen Wettbewerbsnachteil bedeutet. Eine Umsetzung der Datenschutzgesetze impliziert für Personaler und Führungskräfte, eng mit den Datenschutzbeauftragten zusammenzuarbeiten. Werden von der Datenschutzorganisation alle Dokumentierungspflichten ernstgenommen, sind Firmen in Bezug auf die Maßgaben der DSGVO und des BDSG auf der sicheren Seite.

    Wie im Betrieb generell mit personenbezogenen Daten umgegangen werden sollte

    Personenbezogene Daten im Arbeitsverhältnis können als geliehene Informationen bezeichnet werden. Im Unternehmensalltag erheben oder verarbeiten Personalverantwortliche dieses Datenmaterial von Angestellten. Kundeninformationen können ebenfalls personenbezogene Daten beinhalten. Seit Einführung der DSGVO ist ohne Zweifel determiniert, dass personenbezogene Daten umfangreich geschützt werden müssen

    Im Artikel 13 der DSGVO wird hierzu ausgeführt, dass Inhaber von personenbezogenen Daten das Recht haben:

    • Auskunft über die über Sie gespeicherten personenbezogenen Daten zu verlangen.
    • Eine Berichtigung oder Löschung der personenbezogenen Daten zu erwirken.
    • Die Einschränkung der Datenverarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechtes auf Datenübertragbarkeit einzufordern.
    • Ebenfalls einklagbar ist das „Recht auf Vergessen“. Hierbei müssen alle gespeicherten Daten eines Kunden oder Bewerbers gelöscht werden.

    Die klaren Vorgaben der DSGVO und des BDSG implizieren, dass das Datenmaterial von Mitarbeitern und Kunden im Betrieb mit höchster Sorgfalt behandelt werden muss. Dies ist vor allem bei digital gespeicherten Auskünften im Rahmen der Datenverarbeitung wesentlich. Digitale Informationen können heute auf Knopfdruck geteilt und unerlaubt weiter transferiert werden.

    Wann eine Datenschutzfolgeabschätzung notwendig wird

    Der Gesetzgeber erklärt im Artikel 35 der DSGVO, dass Betriebe verpflichtet sind, eine Datenschutzfolgeabschätzung durchzuführen. Im Besonderen ist dies notwendig, wenn die Form einer Verarbeitung, vor allem beim Einsatz neuer Technologien, ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Der Grundsatz der DSGVO ist mit dem § 4d des BDSG vergleichbar. Im BDSG wird für den umfassenderen Begriff der Datenschutzfolgeabschätzung der Terminus „Vorabkontrolle“ verwandt.

    Bei einer Datenschutzfolgeabschätzung prüft ein Datenschutzbeauftragter eingehend die Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten. Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit vergleichbaren Risiken kann eine einzige Abschätzung vorgenommen werden.

    Der Gesetzgeber erwartet vor allem in den folgenden Fällen vom Datenschutzbeauftragten oder einem Bevollmächtigten die Durchführung einer Datenschutzfolgeabschätzung:

    1. Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen.
    2. Umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten.
    3. Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

    Beispiel für eine Datenschutzfolgeabschätzung

    Ein Unternehmen möchte ein biometrisches Systemen zur Zutrittskontrolle einführen. Per Fingerabdruck können sich Beschäftigte zu den für sie relevanten Unternehmensteilen Zutritt verschaffen. Im Rahmen einer Datenschutzfolgeabschätzung müsste der Datenschutzbeauftragte des Betriebes die folgenden Punkte abschätzen:

    • Werden durch die geänderte Zutrittskontrolle Daten von Schutzbedürftigen, wie beispielsweise minderjährigen Auszubildenden betroffen?
    • Handelt es sich bei der Zutrittskontrolle um eine systematische oder temporäre Überwachung?
    • Handelt es sich um die innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen?
    • Wie werden gewonnene Datensätze der Zutrittskontrolle zusammengeführt und ausgewertet?
    • Kommt es durch die veränderte Zutrittskontrolle zu einer automatisierten Entscheidungsfindung mit Rechtswirkung?

    Mit der Datenschutzfolgeabschätzung soll sichergestellt werden, dass die Vorgaben der DSGVO in vollem Umfang eingehalten werden. Dies betrifft vor allem auf den Schutz personenbezogener Daten und eine Risikoabschätzung von Datenverarbeitungsvorgängen zu. Im Besonderen ist eine Datenschutzfolgeabschätzung essenziell, wenn eine Maßnahme eine potenziell hohe Gefährdung von Rechten und Freiheiten von Betroffenen mit sich bringt.

    Welche Risiken in Bezug auf Datensicherheit im Betrieb minimiert werden sollten

    Technische Sicherungssysteme und engagierte Mitarbeiter können der Garant für einen erstklassigen Datenschutz und Datensicherheit im Unternehmen sein. Die Datenschutzorganisation im Betrieb koordiniert alle Maßnahmen, um die Firma als Ganzes und seine Belegschaft zu schützen. Gleichzeitig kann vor allem der Mensch ein Risikofaktor für Datensicherheit sein.

    Werden beispielsweise Sicherungssysteme wie digitale Zugriffs- oder Eingabekontrollen bei Messengerdiensten wie WhatsApp oder Telegramm nicht regelmäßig geprüft und upgedatet, kann dies schwerwiegende Sicherheitsprobleme nach sich ziehen. Gleiches gilt, wenn Mitarbeiter sensible Unternehmensdaten unerlaubt betriebsintern weiterverbreiten.

    Die genannten Risiken können im Betrieb minimiert werden, indem nachvollziehbare Sicherheitsstrukturen implementiert werden. Security-Software, Technik und Mitarbeiter müssen Hand in Hand arbeiten. Dies gilt vor allem bei Cyberattacken, die durch geeignete Cyberabwehrmaßnahmen wie Virenscanner oder Firewalls verhindert werden können. Endgeräte, wie Laptops oder Personal Computer können in gleicher Weise gesichert werden, wenn eingebaute Kameras oder Mikrofone softwaregestützt überwacht werden. Die Datenverarbeitung und Datenspeicherung in der Cloud gehören ebenfalls zu den sensiblen und für Cyberangriffe anfälligen Systemen.

    Die folgenden Maßnahmen sind geeignet, um Datensicherheit zu gewährleisten:

    MaßnahmeAusprägung
    Sensibilisierung der IT-Abteilung sowie ausreichend finanzielle Mittel für den DatenschutzMitarbeiter der IT-Abteilung sollten in Bezug auf IT-Sicherheit und Datenschutz fachlich zu jeder Zeit auf dem neuesten Stand sein. Durch ausreichend finanzielle Mittel für Hard- und Software im Bereich Cyber-Security wird das Risiko für Datenmissbrauch minimiert.

    Schulungen der Belegschaft und aller HR-Mitarbeiter
    Seminare und Schulungen können zur Wachsamkeit der Mitarbeiter in Bezug auf den Abfluss personenbezogener Daten beitragen. Es ist wesentlich, die Vertraulichkeit bei der Datenverarbeitung zu wahren!
    Vor allem für HR-Mitarbeiter sollten ein Vertraulichkeitskodex im Unternehmen gelten. Dieser muss regelmäßig kontrolliert werden. Datenschutzverletzung sollten durch Regressmaßnahmen geahndet werden.

    Zugriffs- und Weitergabekontrollen
    Sowohl für Hard- wie Software sollten Zugriffs- und Weitergabekontrollen gelten. Passwörter müssen unique und verschlüsselt gespeichert werden. Verdächtige Links oder Anhänge an E-Mails sollten systemseitig gesperrt werden.
    Datenschutzbeauftragten bestimmenDie DSGVO fordert von Unternehmen mit mehr als 10 Mitarbeitern, einen Datenschutzbeauftragten zu bestimmen. Kleinere Unternehmen (KMU) profitieren ebenfalls von einer derartigen Fachkraft. Der Datenschutzbeauftragte fokussiert sich darauf, Datenverletzungen zu erkennen und abzustellen.

    Werden analoge und digitale Sicherungssysteme kontinuierlich gewartet und durch Updates auf den neuesten Stand gebracht, sinkt das Risiko für Datenlecks im Unternehmensalltag. Vor allem die mobile Kommunikation über Messengerdienste, WhatsApp oder E-Mail muss fortlaufend und professionell überwacht werden.

    Ebenso entscheidend ist es, die Mitarbeiter im Betrieb in Bezug auf Datenschutz und Datensicherheit zu schulen und zu coachen. Neben einer Informationsvermittlung sollte der Belegschaft nähergebracht werden, welchen Mehrwerte Datensicherheit für sie und ihre persönlichen Angaben hat. Beide Maßnahmen garantieren, dass sensible Unternehmensinformationen und personenbezogene Daten bestmöglich geschützt werden.

    HR Datensicherheit: Wann und wo gibt es Risiken?

    Die Datensicherheit ist an zwei Faktoren gebunden: Erstens an die Technik und zweitens an den Menschen. Nach Verschulden von Mensch oder Technik können Daten für dritte Parteien frei zugänglich sein. Die Datensicherheit ist somit in Gefahr. Das kann passieren, wenn das Unternehmen keine

    • Zugriffs-
    • Weitergabe-
    • Eingabe- oder
    • Auftragskontrolle

    für die relevanten Daten eingerichtet hat.

    In puncto Software und Technik muss ein Unternehmen bestimmte Vorkehrungen gegen beispielsweise Cyberattacken von Hackern vornehmen. So ist es ein großes Risiko für eine Firma, wenn sie sich nicht genügend um geeignete Cyberabwehrmaßnahmen kümmert. Das wird vor allem zu Zeiten von Cloud-Services immer wichtiger. Lagern Unternehmen die Datenspeicherung an Drittanbieter aus, bedeutet das oftmals ein zusätzliches Risiko für die Datensicherheit.

    Aber die Datensicherheit ist nicht nur durch beispielsweise Hacker gefährdet: Auch der Faktor Mensch spielt eine große Rolle. Geben Mitarbeiter unerlaubterweise Informationen an Dritte weiter, ist der Datenschutz nicht mehr gewährleistet.

    Das gilt auch für die vermeintlich harmlose Weitergabe von Informationen an firmeninterne Personen. Personalverantwortliche sollten daher darauf achten, dass sie unter keinen Umständen personenbezogene Daten von Bewerbern oder Angestellten an nicht-autorisierte Personen weitergeben. Auch nicht, wenn diese Personen selbst im Unternehmen angestellt sind.

    Denn: die Verschwiegenheitspflicht oder auch Schweigepflicht gilt auch und insbesondere für HR-Manager. Vorgesetzte sind hier ganz besonders in der Pflicht, ihr Team auf diesen Umstand aufmerksam zu machen. Gegebenenfalls müssen Verantwortliche auch eingreifen, wenn sie merken, dass ihre Mitarbeiter zu lax mit persönlichen Informationen umgehen.

    Wie Datenschutzgesetze die HR-Abteilung oder die monatlichen Gehaltsabrechnungen betreffen

    Jede HR-Abteilung steht in der Verantwortung, die Grundsätze der DSGVO und des nationalen BDSG als Maßstab im Betrieb umzusetzen. Da in der Personalabteilung turnusmäßig sensible personenbezogene Daten verarbeitet werden, spielen Datenschutzgesetze und Datensicherheit für den Personalbereich eine wesentliche Rolle.

    Datenschutz, Datensicherheit, DSGVO, Personalabteilung, HR, Human Resources, HR-Manager, Mitarbeiter, Daten, Angestellte, Unternehmen, Firma
    Besonders in der Personalabteilung spielt Datenschutz eine große Rolle. © momius – Adobe Stock

    Neben der Datenschutzgrundverordnung stellen die:

    zwei für Personalverantwortliche wesentliche Rechtsverordnungen dar.

    Die DEÜV beschreibt prägnant, in welcher Weise Mitarbeiterdaten oder Entgeltinformationen aus der monatlichen Gehaltsabrechnung weiterverarbeitet werden. In der Folge müssen die Sozialversicherungsbeiträge und die Lohnsteuer per Datenfernübertragung an die zuständigen Meldestellen übersandt werden. Dieser Vorgang muss zwingend digital ausgeführt werden. Die DEÜV und das SGB IV geben durch ihre rechtlich verbindlichen Direktiven vor, wie Unternehmen Entgeltdaten von Mitarbeitern aufarbeiten und weiterleiten:

    § 28 a SGB IVMeldepflicht des Arbeitgebers für jeden für jeden in der Kranken-, Pflege-, Rentenversicherung Versicherten
    § 28 b SGB IVGrundsätze der digitalen Datenverarbeitung und Datenfeldbeschreibungen
    § 28 d SGB IVZahlung der Beiträge in der Kranken- oder Rentenversicherung als Gesamtversicherungsbeiträge
    § 28 f SGB IV
    Aufzeichnungspflicht, Nachweise der Beitragsabrechnung und der Beitragszahlung im Arbeitsverhältnis
    § 17 DEÜVGesichertes Datenübertragungsverfahren: Die Daten sind im eXTra-Standard durch https zu übertragen
    § 18 DEÜVDatenschutzgrundsatz: Arbeitgeber dürfen Meldungen und Beitragsnachweise ausschließlich durch Datenübertragung mittels zugelassener systemgeprüfter Programme oder maschinell erstellter Ausfüllhilfen übermitteln. 

    Der Gesetzgeber verfügt, dass Entgeltinformationen aus einem Arbeitsverhältnis digital, in gesicherten Datenübertragungsverfahren verarbeitet werden. Dieses Vorgehen garantiert einen bestmöglichen Datenschutz bei der Datenverarbeitung zwischen Arbeitgebern und Behörden. Eine Datenübertragung ist ausschließlich mittels systemgeprüfter Programme möglich. Die Vorgaben zur Datenübermittelung auf Grundlage der DEÜV gelten für festangestellten Arbeitnehmerinnen. Darüber hinaus fallen Angestellten mit den folgenden Arbeitsverhältnissen ebenso unter die DEÜV:

    • Geringfügig Beschäftigte.
    • Mitarbeiter in Arbeitnehmerüberlassung.
    • Bezieher von Arbeitslosengeld II oder Entgeltersatzleistungen.
    • Wehr- und Zivildienstleistende.

    Zusammenfassend sichern die gesetzlichen Vorgaben eine einheitliche und datenschutzkonforme Übertragung der Sozialabgaben und der Lohnsteuer. Arbeitgeber sind verpflichtet, Buchhaltungsprogramme zu nutzen, die die Standards in der Datenverarbeitung abbilden können. Dieses Vorgehen trägt maßgeblich dazu bei, dass sensible personenbezogene Mitarbeiterdaten im Arbeitsverhältnis umfassend geschützt sind.

    Betrieblicher Datenschutz und gesetzliche Aufbewahrungsfristen

    Der betriebliche Datenschutz muss ebenfalls während der gesetzlichen Aufbewahrungsfristen beachtet werden. In den Grund­sät­zen zur ord­nungs­mä­ßi­gen Füh­rung und Auf­be­wah­rung von Bü­chern, Auf­zeich­nun­gen und Un­ter­la­gen in elek­tro­ni­scher Form so­wie zum Da­ten­zu­griff (GoBD) wird unter anderem erklärt, das elektronische Rechnungen digital archiviert werden müssen. Aus steuerrechtlicher Sicht müssen alle Rechnungen und Buchungsbelege im Mindestfall 10 Jahre datenschutzrechtlich konform archiviert werden.

    Gleiches gilt für Inventare und Inventarverzeichnisse, Steuerbescheide oder Zollunterlagen. Eine Aufbewahrungsfrist von 6 Jahren wird unter anderem für :

    • Handels- und Geschäftsbriefe sowie für
    • Mahnungen und Mahnbescheide verlangt.

    Die rechtliche Grundlage für die gesetzlichen Aufbewahrungsfristen sind im § 147 der Abgabenordnung (AO) niedergeschrieben. Für Kaufleute gelten abweichend die Regelungen des § 257 des Handelsgesetzbuches (HGB).  

    Verstoßen Unternehmen gegen die vom Gesetzgeber bestimmten Aufbewahrungsfristen, hat dies schwerwiegende Konsequenzen. Fehlen maßgebliche Geschäftsunterlagen haben Steuerbehörden auf Grundlage der Abgabenordnung unter anderem die Möglichkeit, das Steueraufkommen zu schätzen. Steuerschätzungen der Behörden fallen in der Regel höher als geplant aus, da sie am Branchendurchschnitt festgelegt werden. Zusätzlich drohen empfindliche Bußgelder. Bei Verfehlungen gegen den betrieblichen Datenschutz werden die Bußgeldvorschriften der DSGVO herangezogen.

    In schwerwiegenden Fällen der Datenverletzung müssen Unternehmen mit Strafzahlungen von bis zu 20 Millionen Euro oder 4 % des Jahresumsatzes rechnen. Bei leichteren Vergehen sieht das europäische Datenschutzgesetz empfindliche Strafen, die individuell anhand eines vorgefertigten Bußgeldkatalogs verhängt werden, vor. Hierbei wird berücksichtigt, ob die Datenverletzung vorsätzlich oder grob fahrlässig begangen wurden. Verhängte Bußgelder müssen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein.

    Um Strafzahlungen effektiv zu umgehen, sollten Unternehmen und die betriebsinterne Datenschutzorganisation vorsorgen. Dies ist unter anderem möglich, indem Verantwortliche bei der Aufbewahrung von digitalen Daten und wichtigen Unternehmensunterlagen ein professionelles Archivierungssystem etablieren. Nützlich kann der Einsatz von Archivierungssoftware sein. Mit Softwareapplikationen können Dokumente verschlüsselt und rechtlich konform gespeichert werden.  

    Wann Arbeitgeber der Schweigepflicht unterliegen

    Der Datenschutz in Unternehmen hängt eng mit der Verpflichtung zusammen, sensible Daten zu schützen. Diese als Schweigepflicht bekannte Notwendigkeit ist vor allem für Ärzte oder Seelsorger bekannt. Arbeitgeber unterliegt ebenfalls einer Schweigepflicht.

    Die Schweigepflicht des Arbeitgebers bezieht sich im Wesentlichen auf personenbezogene und sensible Informationen im Arbeitsverhältnis. Das Bundesdatenschutzgesetz und die DSGVO enthalten für Unternehmen wesentliche Passagen zur Schweigepflicht. Artikel 5 der DSGVO erklärt:

    • Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.
    • Personenbezogene Daten dürfen ausschließlich für festgelegte, eindeutige und legitime Zwecke im Arbeitsverhältnis erhoben werden. Sie dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.
    • Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

    Aus den Richtlinien der DSGVO kann eine eindeutige Schweigepflicht in Bezug auf die Weitergabe personenbezogener Daten der Mitarbeiter abgeleitet werden. Sie müssen nach „Treu und Glauben“ verarbeitet werden und dürfen nicht zweckentfremdet weitergegeben werden. Würden personenbezogene Daten betriebsintern in der HR-Abteilung vorsätzlich oder fahrlässig ohne Einwilligung weitergeleitet, würde dies eine grobe Verletzung der DSGVO bedeuten.

    Welche persönlichen Informationen im Besonderen schützenswert sind

    Zu den besonders schützenswerten, sensiblen Informationen im Arbeitsverhältnis gehören die:

    • Kontaktdaten von Mitarbeitern (Telefon- und E-Mail-Adressen) sowie
    • Informationen zu Krankheiten und Krankheitsverläufen oder
    • einer Schwangerschaft.

    Erfahren Personalverantwortliche oder Führungskräfte beispielsweise von der Schwangerschaft einer Mitarbeiterin, sind sie verpflichtet, Stillschweigen zu bewahren. Eine ungewollte Information im Kollegenkreis könnte zu nachhaltigen Problemen am Arbeitsplatz führen. Aus juristischer Sicht könnte eine Offenlegung mit einer Verletzung der Persönlichkeitsrechte gleichgesetzt werden. Der § 27 des Mutterschutzgesetzes (MuSchG) beschreibt, dass Arbeitgeber ausschließlich die Aufsichtsbehörden benachrichtigen dürfen, wenn sie von einer Schwangerschaft erfahren. Der Arbeitgeber darf diese Information nicht unbefugt an Dritte weitergeben. Die schwangere Mitarbeiterin kann im Gegensatz Kollegen persönlich informieren.

    persönliche Informationen, Infos, Schutz, Datenschutz, Datensicherheit, Arbeitgeber, Unternehmen, Mitarbeiter, Arbeitnehmer
    Die persönlichen Informationen der Mitarbeiter sind besonders schützenswert © Rawpixel.com – Adobe Stock

    Ähnlich verhält es sich bei der krankheitsbedingten Abwesenheit eines Mitarbeiters. Vor allem bei längerfristigen Erkrankungen kann das Interesse der Belegschaft am Gesundheitszustand des Kollegen groß sein. Die Personalabteilung hat in diesem Fall die Verpflichtung, bei der Datenverarbeitung von Krankenscheinen und bei medizinischen Dokumenten jegliche Informationen zum Zustand des Betriebsangehörigen geheim zu halten. Der kranke Mitarbeiter kann im Kollegenkreis persönlich über seinen Gesundheitszustand berichten.

    Info: Neben Arbeitgebern sind Selbstständige und Freiberufler ebenfalls an eine allgemeingültige Schweigepflicht gebunden. Die Deutsche Hebammen Zeitschrift (DHZ) berichtet unter anderem, dass freiberufliche Hebammen mit Einführung der DSGVO verstärkt auf ihre Schweigepflicht achten sollten. Im Artikel wird unter anderem geraten, das Qualitätsmanagement-System (QM) anzupassen. Gemäß der DHZ ist es für Freiberufler, wie Hebammen wesentlich, ebenfalls Mitwirkende auf die Schweigepflicht hinzuweisen. Dies kann beispielsweise PraktikantInnen, Bürokräfte oder Freelancer betreffen, die von diskreten Informationen erfahren.

    Warum die Schweigepflicht ebenfalls nach einer Kündigung gilt

    Nach einer Kündigung ist es Mitarbeitern der Personalabteilung und Führungskräften ebenfalls untersagt, die Gründe der Entlassung preiszugeben. Sie sollten zu Nachfragen aus der Belegschaft zu keinem Zeitpunkt Stellung nehmen. Dies würde einer Datenverletzung und Verletzung der Schweigepflicht gleichkommen. Das Stillschweigen nach einer Kündigung ist wesentlich, da Informationen das berufliche Fortkommen des gekündigten Mitarbeiters behindern könnten. Regresszahlungen drohen in der Folge Unternehmen und Personalern. Die Schweigeplicht gilt ebenfalls, wenn ein potenziell neuer Arbeitgeber sich beim vorherigen Vorgesetzten über einen Bewerber informiert.

    Der Inhalt von Personalakten fällt ebenfalls unter die Schweigepflicht. Eine Personalakte muss auf Grundlage des § 195 des Bürgerlichen Gesetzbuches (BGB) im Mindestfall für 3 Jahre nach der Kündigung aufbewahrt werden. Erst nach diesem Zeitraum beginnt die gesetzliche Verjährungsfrist.

    Zusammenfassend kann festgehalten werden, dass Arbeitgeber in bestimmten Fällen an ihre Schweigepflicht gebunden sind. Dies trifft im Besonderen zu, wenn es in der Datenverarbeitung um den Schutz sensibler, personenbezogener Daten geht. In Bezug auf die Schweigepflicht gibt es kein relevantes Einzelgesetz, welches als juristische Grundlage dient. Vielmehr müssen unterschiedliche Gesetzesvorgaben und Rechtsurteile beachtet werden.

    Vor allem seit der Novellierung der DSGVO sollten Personalverantwortliche und Führungskräfte konkret abwägen, welche Informationen sie an andere weitergeben. In vielen Fällen entstehen ein Datenleck und eine Datenverletzung bei der Datenverarbeitung im Betrieb nicht vorsätzlich. Da hohe Strafzahlungen und Schmerzensgelder Folge unbedachter Informationsweitergabe sein kann, sollten alle Angestellten im Unternehmen in Bezug auf Datenschutz und Schweigepflicht sensibilisiert werden.

    Mitarbeiterüberwachung und Datenschutz – was erlaubt ist

    Arbeitnehmerdatenschutz bedeutet im Unternehmenskontext, personenbezogene Daten bestmöglich und gesetzeskonform zu schützen. In vielen Fällen unterliegen Personaler einer umfangreichen Schweigepflicht. Trotz dieser gesetzlichen Beschränkungen und des hohen Schutzes von Informationen und Daten ist nahezu jedes Unternehmen technisch in der Lage, Kontrollmechanismen und eine Mitarbeiterüberwachung im Betrieb zu implementieren.

    Angefangen von der Videoüberwachung des Betriebsgeländes über Telefonüberwachung bis hin zur GPS- oder Handyortung sind viele Varianten der Mitarbeiterüberwachung bekannt. Deutsche Gesetze setzen allerdings einen engen Rahmen, wenn es um die Überwachung von Mitarbeitern geht.

    Wann Videoüberwachung erlaubt ist

    Das allgemeine Persönlichkeitsrecht beinhaltet ebenfalls das Recht am eigenen Bild. Aus diesem Grund sind der Videoüberwachung in Deutschland enge Grenzen gesetzt. Dies gilt sowohl im öffentlichen Raum auf Bahnhöfen oder Flughäfen wie im Unternehmen. Generell unterschieden werden muss zwischen einer Überwachung von:

    • Öffentlich zugänglichen Räumen und
    • Nicht öffentlich zugänglichen Räumen.

    Verkaufsbereiche in einem Ladenlokal oder einer Bank sind öffentlich zugänglich. Sie werden in der Regel zur Abwehr von Gefahren wie Diebstahl oder Einbruch mit Kameras überwacht. Ein öffentlich zugänglicher Raum kann ebenso die Betriebskantine eines großen Unternehmens sein. Nicht öffentliche Räumlichkeiten sind unter anderem die Büros von Mitarbeitern, alle Sozial- und Waschräume sowie Umkleiden. In diesen Räumlichkeiten ist eine Videoüberwachung untersagt. Werden Angestellte am Arbeitsplatz per Video überwacht, müssen sie dieser Maßnahme grundsätzlich schriftlich zustimmen. In Toiletten- und Umkleiden ist die Videoüberwachung prinzipiell untersagt.

    Eine Ausnahme in Bezug auf die Videoüberwachung an nicht öffentlich zugänglichen Räumen besteht, wenn diese der Vereitelung einer Straftat dient. Eine Überwachung kann in diesem Fall richterlich angeordnet werden. Möchte ein Unternehmen beispielsweise den fortlaufenden Diebstahl von Firmeneigentum beweisen und aufdecken, kann eine Videoüberwachung gerichtlich oder polizeilich beantragt werden. Die Erkenntnisse können in diesem Fall bei der Aufdeckung der Straftat nutzbringend sein.

    GPS- und Handüberwachung ausschließlich mit Zustimmung möglich

    Durch die Digitalisierung ist es ohne Aufwand möglich, ein Bewegungsprotokoll von Mitarbeitern zu erstellen. Hierfür reichen ein Smartphone oder Tablet aus. Dieses zeichnet in Echtzeit durch GPS die Fahrtrouten von Angestellten nach.

    Beispiel: Ein Unternehmen möchte Kosten einsparen und die Fahrtstrecken seiner Außendienstmitarbeiter optimieren. Hierzu nutzt es einen eingebauten GPS-Tracker im Fahrzeug. Mittels zeitnaher Datenverarbeitung vergleicht das System die vorab eingereichte Tourenplanung mit den tatsächlichen Routenwahl. In der Folge erhält der Mitarbeiter Hinweise und Optimierungsmöglichkeiten für die Planung seiner Außendiensttätigkeit.

    Am Beispiel ist nachvollziehbar, dass die GPS- oder Handyüberwachung Vorteile haben kann. Sie ist aus juristischer und rechtlicher Sicht trotz eines Mehrwerts ausschließlich möglich, wenn Mitarbeiter dieser eindeutig und in Schriftform zustimmen. Dies ist wesentlich, da der Aufbau eines Bewegungsprotokolls einen Eingriff in die Persönlichkeitsrechte des Angestellten darstellt. Gleichzeitig muss sichergestellt sein, dass private Fahrten oder Wege zu keinem Zeitpunkt aufgezeichnet werden. Eine Nutzung und Datenverarbeitung von GPS- oder Mobilfunkdaten ohne Einwilligung des Mitarbeiters ist strafbar und nicht gestattet. Behörden haben im Einzelfall und nach richterlichem Beschluss die Möglichkeit, Handydaten und Funkzellen auszulesen, um Straftaten aufzuklären oder zu vereiteln.

    Wann Computerdaten und Telefonate überwacht werden dürfen

    Die Überwachung eines Computers, Laptops oder Tablets ist ebenfalls ausschließlich nach Rücksprache mit dem Angestellten statthaft. Arbeitgeber handeln zielführend, wenn sie im Dialog mit dem Mitarbeiter die Gründe der Überwachung erörtern. Ebenfalls muss abgestimmt werden, wie lange die erhobenen Informationen archiviert werden. Im Anschluss sollte eine schriftliche Einwilligungserklärung von beiden Vertragsparteien unterzeichnet werden. Neben spezifischer Spionagesoftware kann ebenso das Auslesen des Browserverlaufes Hinweise auf die Computernutzung geben.

    Ähnlich verhält es sich mit der Überwachung der Telefonkommunikation. Aus Callcentern ist bekannt, dass Kundentelefonate zu Schulungszwecken nach Einwilligung aller Beteiligten gespeichert werden. Dürfen mit einem Geschäftstelefon oder Firmenhandy ebenfalls private Telefonate geführt werden, darf abweichend kein Telefonat mitgeschnitten werden. Arbeitgeber handeln zielführend, wenn sie in Betriebsvereinbarungen oder individualvertraglichen Regelungen die Privatnutzung von Telefonen verbieten. Auf diese Weise erhalten sie ihr Recht, im Zweifelsfall und mit Zustimmung die geschäftlichen Telefonate oder Verbindungsdaten auszulesen.

    Überwachung, Telefon, Telefonat, Datenschutz, Arbeit, Job, Personal, Arbeitgeber, Arbeitnehmer
    Telefonate dürfen nur unter bestimmten Voraussetzungen überwacht werden © grapestock – Adobe Stock

    Wichtig: Der Betriebsrat in einem Unternehmen hat ein generelles Mitbestimmungsrecht, wenn Arbeitgeber planen, Mitarbeiter im Arbeitsverhältnis zu überwachen. Seine Einwilligung muss abgewartet werden, bevor relevante Schritte in der Überwachung vorgenommen werden. Im § 87 des Betriebsverfassungsgesetzes (BetrVG) wird ausgeführt:

    „Der Betriebsrat hat, soweit eine gesetzliche oder tarifliche Regelung nicht besteht, in folgenden Angelegenheiten mitzubestimmen: Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen.“

    Zusammengefasst sind der Überwachung von Angestellten im Arbeitsverhältnis aus gesetzlicher Sicht hohe Hürden gesetzt. In der Regel muss eine Einwilligung des betroffenen Mitarbeiters oder der Arbeitnehmervertreter eingeholt werden. Juristisch gelten die Grundsätze des Bundesdatenschutzgesetzes, der DSGVO sowie des Betriebsverfassungsgesetzes und weiterer Richtlinien. Bei Telefongesprächen gilt zusätzlich das Recht der informationellen Selbstbestimmung. Dieses wird im § 88 des Telekommunikationsgesetzes (TKG) formuliert:

    „Dem Fernmeldegeheimnis unterliegen der Inhalt der Telekommunikation und ihre näheren Umstände, insbesondere die Tatsache, ob jemand an einem Telekommunikationsvorgang beteiligt ist oder war.“

    Datensicherheit: Tipps für mehr Sicherheit im Netz

    Datenschutz im Bereich HR wird vor allem zu Zeiten des Internets immer wichtiger. Dabei gibt es einfache Tipps und Tricks, mit denen Personalabteilungen die Datensicherheit erhöhen können.

    • Nutzen Sie keine Auto-Fill-In-Passwort Eingaben im Browser – vor allem, wenn es sich um Seiten handeln, die vertrauliche Informationen enthalten. Dadurch erschweren Sie es Malware und Hackern, an die Benutzernamen und Passwörter zu gelangen.
    • Klicken Sie nicht auf verdächtige Links oder Anhänge. Prüfen Sie zuvor mit einer dafür zuständigen Person, inwiefern Sie auf diese zugreifen dürfen oder nicht.
    • Verwenden Sie ausreichend starke Passwörter. Außerdem sollte man die Passwörter regelmäßig erneuern und überprüfen, wer sensible Zugangsdaten hat. Hier kann auch ein Passwortmanager hilfreich sein.
    • Nutzen Sie Cloud-Services nur mit Vorsicht und halten Sie, bevor Sie ein Dokument auf einen externen Cloud-Server wie Dropbox laden, Rücksprache mit der IT-Abteilung. Wer nämlich sensible Daten auf einen unternehmensexternen Server lädt, kann unter Umständen den Datenschutz des Unternehmens untergraben. Das kann hohe Bußgelder zur Folge haben.
    • Nutzen Sie keine Konvertierungsprogramme, ohne dies zuvor mit den verantwortlichen Datensicherheitsbeauftragten abzuklären. Das Problem ist dabei, dass Sie die Rechte an dem Dokument verlieren könnten. Das kann vor allem bei unternehmensrelevanten Dokumenten weitreichende Konsequenzen haben.

    Beachten Sie diese Tipps bei Ihrer alltäglichen Arbeit im Netz, garantieren Sie, dass Sie die Datensicherheit Ihres Unternehmens nicht in Gefahr bringen. Informieren Sie sich bei Zweifeln zudem bei der IT-Abteilung oder dem Datenschutzbeauftragten.

    Zusammenfassung und Fazit

    Fragen des Datenschutzes sollten in jedem Unternehmen hoch priorisiert werden. Vor allem seit der Novellierung des Bundesdatenschutzgesetzes und der Einführung der Datenschutzgrundverordnung muss die Sicherung und der Schutz personenbezogener Daten und eine konforme Datenverarbeitung fokussiert werden. Datenschutz impliziert, die personenbezogenen Daten von Mitarbeitern im Arbeitsverhältnis und sensible Kundeninformationen ausschließlich dann zu verarbeiten, wenn hierfür ein nachvollziehbarer Grund und eine Einwilligung bestehen. Das stetige Sammeln von Informationen, Zahlen und Datenmaterial ohne Anlass ist nicht erlaubt. Kunden, Mitarbeiter und Behörden haben zu jeder Zeit einen Auskunftsanspruch, welche Daten und Informationen ein Unternehmen speichert. Die DSGVO sichert Kunden und Angestellten darüber hinaus ein „Recht auf Vergessen“ zu.

    Der betriebliche Datenschutz wirkt sich auf nahezu alle Bereiche im Unternehmensalltag aus. Vor allem die Personalabteilung und das Personalmanagement kommen bei der Datenverarbeitung von Mitarbeiterdaten fortlaufend mit den Datenschutzrichtlinien in Berührung. Sie sind angehalten, diese vollumfänglich umzusetzen. Dies schließt ein, Datenschutzgrundsätze bei den monatlichen Lohn- und Gehaltsabrechnungen einzuhalten.

    Gleichzeitig impliziert es, die Lohnsteuer und die Sozialversicherungsabgaben gesetzeskonform und digital an Entgeltempfänger weiterzuleiten. Eine Datenschutzverletzung muss in jedem Fall vermieden werden! Arbeitgeber unterliegen darüber hinaus einer allgemeinen Schweigepflicht. Sie sind nicht berechtigt, sensible Informationen über Krankheitsverläufe oder eine Schwangerschaft unautorisiert weiterzugeben.

    Datenschutz und Datensicherheit sind untrennbar miteinander verbunden. Arbeitgeber haben ein hohes Eigeninteresse, den Schutz sensibler Unternehmensdaten und personenbezogener Daten sicherzustellen. Moderne Schutzmaßmaßnahmen für die eingesetzte Hard- und Software garantieren, dass Informationen nicht aufgrund von Cyberangriffen oder interner Spionage abfließen können.

    Datenschutzverordnungen wirken sich darüber hinaus auf die Mitarbeiterüberwachung und auf die gesetzlichen Aufbewahrungsfristen aus. Arbeitnehmerdatenschutz ist wichtig und für funktionierende Vertragsverhältnisse zwischen Arbeitgeber und Arbeitnehmer unabdingbar. Halten sich Firmen in Bezug auf den Datenschutz an geltendes Recht, erfüllen sie nicht ausschließlich die gesetzlichen Vorgaben. Ihre Datenverarbeitung wird professionalisiert, da ausschließlich relevante Informationen gespeichert werden. Gleichzeitig garantiert eine konforme Datenschutzpolitik, dass sich ein positives und vertrauensvolles Verhältnis zu den Angestellten und dem Betriebsrat aufbaut. Dieses sichert effizientes Arbeiten, Zielerreichung und eine hohe Mitarbeiterzufriedenheit.

    FAQ: Fragen und Antworten zum Thema Datenschutz in Unternehmen

    Was bedeutet Arbeitnehmerdatenschutz bei Gehaltsabrechnungen?

    Gehaltsabrechnungen enthalten sensible Informationen. Nicht nur Informationen zum Verdienst selbst, sondern auch Daten wie Adresse, Steuernummer oder Steuerklasse. Die im Datenschutzrecht sicherste aber altmodische Methode, dem Personal die Abrechnung zukommen zu lassen, ist der klassische Postversand. Mittlerweile üblicher und auch vor dem Hintergrund der zunehmenden Digitalisierung modernere und bequemere Variante ist der elektronische Versand. Nach DSGVO und BDSG darf bei beiden Versandarten kein unbefugter Dritter Zugriff auf die Abrechnung selbst oder darin enthaltene Daten bekommen. Das Unternehmen muss die Abrechnungsdaten zudem über ihren gesamten Lebenszyklus schützen und dies dokumentieren. Diese Maßnahmen muss es jederzeit nachweisen können.

    Warum ist der Datenschutz als Arbeitgeber so wichtig?

    Jeder Mensch in Deutschland und der Europäischen Union hat durch die Verfassung verankert das Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 GG sowie Art. 8 Grundrechtscharta EU und Art. 16 AEUV). Zusätzlich hat jeder das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“. Im Bewerbungs- und Einstellungsprozess müssen Unternehmen mit persönlichen Daten umgehen und diese verarbeiten. Um dabei die Persönlichkeitsrechte ihrer Mitarbeiter zu schützen, müssen Arbeitgeber Grundsätze bei der Datenverarbeitung beachten und Informationen rechtssicher schützen.

    Welche Regelungen und Vorgaben gibt es für Datenschutz im Arbeitsrecht?

    Die wichtigste Grundlage zum Umgang mit personenbezogenen Daten ist die DSGVO (Datenschutzgrundverordnung). Diese ist seit 25. Mai 2018 in der gesamten Europäischen Union in Kraft. Die Verordnung ist auch bei datenschutzrechtlichen Belangen in Arbeitsverhältnissen anzuwenden. Zusätzlich zur EU-weit geltenden DSGVO gibt es in Deutschland das Bundesdatenschutzgesetz (BDSG). Dieses enthält in § 26 genaue Angaben zum Umgang mit persönlichen Daten in Beschäftigungs- und Arbeitsverhältnissen.
    Die Durchführung des Datenschutzes in Deutschland und der EU ist kompliziert. Das liegt an den Gesetzen der verschiedenen politischen Ebenen der Union und einzelner Mitgliedsstaaten. Die DSGVO der EU nimmt dabei die mächtigste Stellung ein. Sie kann durch nationale Gesetzgebung umgesetzt oder ergänzt, aber nicht ausgehebelt, werden.

    Arbeitnehmerdatenschutz bei Krankmeldungen: Welche Rechte habe ich?

    Der Umgang mit dem sogenannten gelben Schein stellt eine besondere Herausforderung für Arbeitgeber dar. Die Arbeitsunfähigkeitsbescheinigung geht meist per Post im Unternehmen ein. Ist sie nicht ausreichend adressiert, kann sie durch mehrere Hände gehen, bevor sie die Personalabteilung erreicht. Da auf der Bescheinigung der zuständige Arzt erkennbar ist, kann Rückschluss auf die Art der Erkrankung des Arbeitnehmers gezogen werden, was definitiv eine zu schützende personenbezogene Information darstellt. Jeder in der Firma, der ein Attest in die Hände bekommt, bevor sie die Personalabteilung erreicht, ist also eine Person zu viel. Unternehmen sollten das Personal daher anweisen, die Krankmeldung direkt an die Personalabteilung zu adressieren. Eine Krankmeldung in die Fachabteilung zu schicken, ist dagegen der falsche Weg und untergräbt die Datenschutzmaßnahmen. Sobald Krankmeldung und Bescheinigung in der Personalabteilung eingetroffen sind, leitet diese nur die nötigen Informationen an die zuständige Führungsperson in der Fachabteilung weiter.
    Tipp: Damit alle Mitarbeiter wissen, an wen sie die Krankmeldung – später auch die Gesundmeldung – zu richten haben, lässt sich eine interne Vereinbarung schließen. Diese klärt die Frage, an wen Arbeitsunfähigkeitsbescheinigungen zu schicken sind, genau auf. Somit ist der datenschutzkonforme Umgang mit Krankmeldungen von Anfang an gesichert.

    Was ist Datenverarbeitung laut DSGVO und im Arbeitsrecht?

    Der Grundsatz des Datenschutzes ist, dass die Verarbeitung, Nutzung oder Weitergabe persönlicher Daten außerhalb der Privatsphäre der betroffenen Personen nicht erlaubt ist. Eine Ausnahme besteht nur, wenn es für diese Verarbeitung personenbezogener Informationen eine rechtlich gültige Erlaubnis – also eine Einwilligung – gibt. Die legale Datenverarbeitung in den Personalabteilungen der Unternehmen ist somit immer eine solche Ausnahme mit expliziter Genehmigung durch den Arbeitnehmer – oder sollte es zumindest sein. Zusätzlich müssen bei den Prozessen die gesetzlichen Regelungen eingehalten werden. Dabei ist es völlig unerheblich, wie sensibel die Daten sind. Die Privatanschrift oder das Geburtsdatum sind genauso sicher aufzubewahren und zu behandeln wie im Sicherheitssystem hinterlegte Fingerabdrücke der Mitarbeiter. Ob es sich bei einem Vorgang um Datenverarbeitung handelt, ist in der DSGVO in Art. 4 Nr. 2 und Art. 2 Abs. 1 definiert. Als Datenverarbeitung gelten 
    alle mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgänge oder Vorgangsreihen im Zusammenhang mit personenbezogenen Daten,
    das Erheben, Erfassen, Organisation, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, das Verwenden, Offenlegung durch Übermittlung, Verbreitung oder andere Formen der Bereitstellung, Abgleich, Verknüpfung, Einschränkung, Löschen oder Vernichten von persönlichen Daten.
    Dies gilt für ganz oder teilweise automatisierte Verarbeitung und nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert werden sollen.
    Beispiel: Stellt ein Personaler in einem Mitarbeitergespräch personenbezogene Fragen an einen Angestellten, ohne sich zu den Antworten Notizen zu machen, findet nach BDSG bereits Datenverarbeitung statt, die den gesetzlichen Vorgaben unterliegt.

    Welche Grundsätze gelten bei der Verarbeitung von Personaldaten?

    Die DSGVO schreibt für die Erhebung, Speicherung und Verarbeitung von persönlichen Daten der Mitarbeiter in Art. 5 DSGVO acht Grundsätze vor, nach denen Unternehmen sich richten müssen.
    1. Rechtmäßigkeit der Datenverarbeitung
    2. Transparenz der Datenverarbeitung sowie Beachtung von Treu und Glauben
    3. Zweckbindung der Datenverarbeitung
    4. Datenminimierung
    5. Richtigkeit der Datenverarbeitung
    6. Speicherbegrenzung
    7. Integrität und Vertraulichkeit
    8. Rechenschaftspflicht

    Welche Arten von Mitarbeiterdaten werden von der Personalabteilung gespeichert?

    Zu den Daten, die für die Personalakte verarbeitet oder gespeichert werden, gehören:
    1. von Bewerbern eingereichte Unterlagen (Lebenslauf, Zeugnisse, Stammdaten, etc.),
    2. Arbeitsverträge und dazugehörige Vereinbarungen,
    die Stammdaten der Mitarbeiter (Name, Geburtsdatum, Adresse, Krankenversicherung, Steuernummer),
    3. Krankheits- und Urlaubstage,
    4. Beurteilungsschreiben, Abmahnungen oder Arbeitszeugnisse.
    Weitere mitarbeiterbezogene Daten, die Unternehmen speichern und verarbeiten, sind beispielsweise Überstunden und Anwesenheitszeiten, Fahrzeiten und Fahrtwege oder Informationen über Arbeitsergebnisse.
    Um diese Daten zu erheben, zu speichern und zu verarbeiten, brauchen Unternehmen eine rechtliche Erlaubnis der Arbeitnehmer.
    Beispiel: Für die Reisekostenabrechnung sowie das Überstundenkonto übermittelt ein Angestellter mit dem gefahrene Kilometer, Dienstreiseziele, Fahrtwege und Übernachtungsorte sowie Zeiträume seiner Auswärtstätigkeiten an den Arbeitgeber. Diese Daten werden benötigt, um Abrechnungen durchzuführen, Spesen auszuzahlen oder das Arbeitszeitkonto zu führen. Die mit diesen Aufgaben betrauten Mitarbeiter dürfen diese Informationen – nach rechtlicher Erlaubnis – speichern, aufbewahren, verarbeiten oder weiterleiten. Sonstige Mitarbeiter der Forma oder externe Personen, die keine direkt mit diesen Vorgängen zusammenhängenden Aufgaben erledigen, dürfen zu diesen Daten keinen Zugang bekommen. Dafür muss das Unternehmen durch entsprechende IT-Sicherheit sowie geschützte Aufbewahrung von Unterlagen sorgen. Zudem muss ein Datenverarbeitungsverzeichnis geführt werden und das Unternehmen muss die Einhaltung der Datenschutzgrundverhaltung bei der Personalarbeit nachweisen können. Um dies zu gewährleisten, bestimmt der Betrieb einen Datenschutzbeauftragten.

    Beschäftigtendatenschutz: Wessen Daten schützen DSGVO und BDSG im Arbeitsrecht?

    Die DSGVO regelt die gesamte Verarbeitung von persönlichen Daten in Unternehmen, Betrieben und bei Solo-Selbstständigen und Freiberuflern. Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person“ beziehen. Im Arbeitsrecht sind Arbeitgeber daher für die regelkonforme Verarbeitung und Speicherung aller Daten aller Beschäftigten im Betrieb oder in der Firma verantwortlich. Dazu gehören zunächst die Angestellten, Auszubildenden und Praktikanten, aber auch freie Mitarbeiter und Leiharbeitnehmer oder Arbeitnehmer von Drittfirmen, die im Unternehmen eingesetzt werden. Nicht zuletzt geht es auch um die Daten von Bewerbern sowie ehemaligen Mitarbeitern. Um eine korrekte Durchführung der Datenverarbeitung zu gewährleisten, muss klar sein, wessen Informationen betroffen sind.
    Im Bundesdatenschutzgesetz ist in § 26 Abs. 8 BDSG aufgeführt, welche Betriebsangehörigen zu den sogenannten „Beschäftigten“ zählen und somit im Arbeitsrecht den Schutz ihrer persönlichen Daten genießen. Das sind:
    1. Angestellte, Auszubildende, Leiharbeiter,
    2. Teilnehmer an Berufseignungsprogrammen (sogenannte Rehabilitanden),
    3. Menschen, die in Behindertenwerkstätten tätig sind,
    4. Mitarbeiter im Jugendfreiwilligendienst oder Bundesfreiwilligendienst,
    5. Beschäftigte in Heimarbeit und andere Personen, die in arbeitnehmerähnlichen Beschäftigungsverhältnissen stehen,
    6. Beamte, Richter, Soldaten und Zivildienstleistende.
    Grob kann man also sagen, dass jeder, der im Unternehmen Arbeit ausübt, als Beschäftigter gilt.
    Personen, die sich auf offene Stellen bewerben sowie ehemalige Angestellte oder vormals im Unternehmen tätige Personen, zählen datenschutzrechtlich zu den Beschäftigten. Ihre Daten müssen genau wie die der aktuell im Betrieb tätigen Mitarbeiter behandelt werden. Ganz gleich, ob es einen momentan laufenden Arbeitsvertrag gibt oder nicht.

    Autor: Redaktion Personalwissen