Mit dem Einzug der Digitalisierung in Unternehmen setzen viele Arbeitgeber auf digitale Prozesse – auch im Verhältnis zu Arbeitnehmern. Wer die wachsenden Potentiale nutzen will, muss sich insbesondere mit dem Datenschutz aus der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) auseinandersetzen. Doch wie können Arbeitgeber die damit verbundenen Chancen datenschutzkonform nutzen und von ihnen profitieren? Zentrale Herausforderung für digitale Beschäftigtenangelegenheiten ist dabei stets die Umsetzung des Vorhabens in Einklang mit den datenschutzrechtlichen Vorgaben.

In diesem Beitrag möchten wir Ihnen einen Überblick über einige Entwicklungen zum Beschäftigtendatenschutz geben. Mit Ausblick darauf, ob Unternehmen bald auf Rechtssicherheit durch ein neues Beschäftigtendatenschutz hoffen können, worauf es bei Auskunftsersuchen von Mitarbeitenden ankommt, vor welche neuen pandemiebedingten arbeitsrechtlichen Herausforderungen Arbeitgeber gestellt werden und wie digitale Lohnabrechnungen Unternehmen entlasten können, wollen wir Ihnen hier aufzeigen. Zu jedem Absatz geben wir Ihrem Unternehmen wertvolle Handlungsempfehlungen und Einschätzungen an die Hand!

Stand der Gesetzgebung: gibt es bald ein Beschäftigtendatenschutzgesetz?

Die Bestrebungen nach einem einheitlichen Beschäftigtendatenschutzgesetz reichen bis ins Jahr 2010 zurück. Seither wurde jedoch nie ein solches Regelwerk erlassen. Den Anstoß, ein neues Beschäftigtendatenschutzgesetz in Angriff zu nehmen, könnten nun die Ergebnisse des interdisziplinären Beirats zum Beschäftigtendatenschutz vom 17.01.2022 geben. Dem Beirat wurde vom Bundesministerium für Arbeit und Soziales aufgetragen, zu prüfen, ob ein eigenständiges Gesetz zum Beschäftigtendatenschutz erlassen werden sollte. Der Beirat formulierte in seinem abschließenden Bericht einige Thesen, die die Einschätzung zu einem Gesetz widerspiegeln.

Unter anderem sah der Beirat für einen fairen Ausgleich zwischen Beschäftigten- und Arbeitgeberinteressen ein bundesweites einheitliches, rechtlich verbindliches und verlässliches Regelwerk als notwendig an. Zwar gibt es in § 26 BDSG eine Regelung, die ausdrücklich Datenverarbeitungen im Beschäftigungsverhältnis vorsieht, jedoch schätzt der Beirat diese als zu generell formuliert ein. Der Beirat nahm dabei unter anderem den Einsatz Künstlicher Intelligenz im Beschäftigtenverhältnis, die spezifischen Rechte der Betroffenen im Beschäftigtenkontext und eine mögliche Einrichtung einer Beschäftigtendatenschutzkommission beim Bundesministerium für Arbeit und Soziales in den Blick.

Aus den Empfehlungen, die im Bericht des Beirats getroffen wurden, lässt sich die klare Fürsprache zu einem Gesetzestext schließen. Auch die aktuelle Koalition im Bundestag bestrebt eine Regelung zum Beschäftigtendatenschutz. Mit der Aufnahme der Arbeiten zu einem Gesetzesentwurf ist daher bald zu rechnen.

Für Unternehmen würde ein solches Regelwerk in vielen Bereichen für Rechtsklarheit sorgen. Auch den Beschäftigteninteressen würden im Gesetz ausreichend Rechnung getragen.

Wie können Sie und Ihr Unternehmen die Chancen von DSGVO & BDSG nutzen und von ihnen profitieren?

Aktueller Schwerpunkt: Auskunftsrecht

Seit Inkrafttreten der DSGVO häufen sich Auskunftsanfragen von Arbeitnehmern gegenüber ihrem (ehemaligen) Arbeitgeber. Das Auskunftsrecht nach Art. 15 DSGVO ist eines der zentralen Betroffenenrechte der DSGVO. Durch das Auskunftsrecht können Personen erfragen, ob sie betreffende personenbezogene Daten verarbeitet werden. Ein Auskunftsanspruch besteht auch in einem Arbeitsverhältnis, da der Arbeitgeber zwangsläufig personenbezogene Daten der Arbeitnehmer verarbeitet. Es ist etwa an Kontaktdaten der Person, Bankdaten, soweit es um die Entlohnung und ähnliches geht, aber auch an Leistungs-, Gesundheits-, und Verhaltensdaten zu denken. Für Arbeitgeber kommt es in diesem Zusammenhang aber vor allem darauf an zu wissen, in welchem Umfang sie Auskünfte erteilen müssen und wie mögliche Konflikte mit unternehmensinternen Geschäftsgeheimnissen und Rechte Dritter gelöst werden können. Außerdem ist es für Unternehmen von besonderer Bedeutung, wie solche Anfragen umfassend und rechtssicher bearbeitet werden können.

Der Umfang des Auskunftsanspruches ist bisher stark von der deutschen Rechtsprechung geprägt und aufgrund verschiedener Urteile unübersichtlich und nicht einheitlich. Der europäische Datenschutzausschuss hat nun Leitlinien veröffentlicht, die es unter anderem Arbeitgebern erleichtern, Antworten auf die relevanten Fragen zu formulieren.

Einen ausführlichen Überblick und praxisnahe Handlungsempfehlungen zum Auskunftsrecht finden Sie in unserem Blog.

Zum Umfang des Auskunftsrechts führt der EDSA aus, dass ein sehr weites Verständnis zugrunde zu legen ist. Er gibt ausdrücklich an, dass sich der Antrag auf alle personenbezogenen Daten der betroffenen Personen bezieht. Gerade im Beschäftigtenkontext seien auskunftswürdige personenbezogene Daten unter anderem solche Elemente, die für die Entscheidung über eine Beförderung, eine Gehaltserhöhung oder eine neue Aufgabenzuweisung maßgeblich sind. Das könne die jährliche Leistungsbeurteilung, Fortbildungsanträge oder sonstige Karrieremöglichkeiten sein. Auch pseudonymisierte Daten seien auskunftswürdige personenbezogene Daten. Das Auskunftsrecht der DSGVO müsse also ebenso weit gehen, wie die Definition von personenbezogenen Daten es erlaubt – sehr weit und gerade nicht zu restriktiv.

Häufig verlangen Arbeitnehmer die Offenlegung des privaten Kommunikationsverlaufs mit eingehenden und ausgehenden Nachrichten im Beschäftigungskontext. Arbeitgeber müssten nach dem weiten Verständnis auch über die E-Mail-Kommunikation des anfragenden Angestellten Auskunft erteilen. Dies gilt sogar dann, wenn der Arbeitnehmer die E-Mails selbst bereits gelöscht hat. Nur wenn alle Daten zu umfangreich sind, dürfe der Arbeitgeber verlangen, dass der Angestellte seinen Antrag näher spezifiziert.

Solange keine Rechte und Freiheiten anderer Personen entgegenstehen, sind nach dem EDSA unter anderem folgende Daten in der Auskunft zu offenbaren:

  • Besondere Kategorien von personenbezogenen Daten: sensible Daten, wie zum Beispiel Gesundheitsdaten.
  • Personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten.
  • Daten, die von der betroffenen Person wissentlich und aktiv zur Verfügung gestellt werden: zum Beispiel Kontodaten oder Daten, die über Formulare etc. erfasst werden.
  • Daten, die durch die Nutzung eines Dienstes oder Gerätes beobachtet werden konnten: Beispielsweise Zugriffsprotokolle, die Historie der Webseiten-Nutzung, Suchaktivitäten, Standortdaten, Klickaktivitäten, Tastenanschläge usw.
  • Daten, die aus anderen Daten abgeleitet werden: etwa die Kreditwürdigkeit, Wohnsitz aus der Postleitzahl.
  • Daten, die aus anderen Daten abgeleitet sind, aber nicht von der Person zur Verfügung gestellt wurden, wie algorithmische Ergebnisse, Ergebnisse einer Gesundheitsbewertung oder eines Personalisierungs- oder Empfehlungsprozesses.
  • Pseudonymisierte Daten.

Sollten Rechte und Freiheiten Dritter eine Auskunft tangieren, führt das je nach Umfang der Beeinträchtigung nicht zur Verweigerung des Ersuchens. Unternehmen müssen die Auskunft erteilen, aber Teile, die Dritte oder sie selbst beeinträchtigten, könnten unkenntlich und unleserlich machen. Entsprechende Stellen können geschwärzt werden.

Wie Arbeitgeber auf Auskunftsersuchen reagieren sollten

Arbeitgeber sollten dazu motiviert sein, die rechtskonforme Beantwortung von Auskunftsanfragen und das Bereitstellen von Kopien ernst zu nehmen. Andernfalls ist mit Bußgeldern wegen Verstößen gegen die Betroffenenrechte zu rechnen. Eine weitere Konsequenz ist die immer populärere Möglichkeit der Betroffenen Schadensersatz zu verlangen. Dies sollte auf keinen Fall unterschätzt werden!

Es ist daher dringend zu empfehlen, einem Auskunftsersuchen unverzüglich nachzukommen. Die DSGVO sieht eine Monatsfrist für die Beantwortung der Anfrage ab Eingang des Antrags vor. Weiterhin ist es zu empfehlen, dass Arbeitgeber ein Verzeichnis von Verarbeitungstätigkeiten führen, da dies die angefragten Daten leichter und schneller auffindbar macht. Insbesondere hilft es Arbeitgebern routinierte Prozesse für die Auskunftserteilung von Arbeitnehmern zu etablieren. Die Daten könnten beispielsweise durch ein eingerichtetes Self-Service Tool bereitgestellt werden. Für die Mitteilung der weiteren allgemeinen Informationen – aber auch nur für diese – bietet es sich an, durch vorgefertigte Textbausteine aus der Datenschutzerklärung allgemein gültige Auskünfte zu erteilen. Etwa für das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, könnte darauf zurückgegriffen werden. Zur Erstellung der Auskunft kann auch ein automatisierter oder technischer Prozess hilfreich sein.

Auswirkungen der Pandemie

Impfstatusabfrage durch den Arbeitgeber

Mit den Änderungen des Infektionsschutzgesetzes (IfSG) hat der Gesetzgeber seit dem 24.11.2021 eine Rechtsgrundlage für Arbeitgeber geschaffen, die es ihm erlaubt, den Impfstatus der Beschäftigten abzufragen. Der Impfnachweis eines Arbeitnehmers gehört zu den Gesundheitsdaten und muss daher besonders empfindlich behandelt werden. Arbeitgeber dürfen sich ein entsprechendes Zertifikat vorzeigen lassen, das aussagt, ob ein Arbeitnehmer geimpft, genesen oder getestet (3G-Regel) ist. Die betriebliche 3G-Regelung muss durch den Arbeitgeber kontrolliert und entsprechend dokumentiert werden.

Empfehlenswert wäre eine vollständige Mitarbeitenden-Liste, die Vorname und Name auflistet. In der Liste sollte dann aufgenommen werden, ob ein gültiger Impf- oder Genesenennachweis vorliegt. Bei Geimpften und Genesenen sollte eine einmalige Kontrolle, ob ein Zertifikat vorliegt, ausreichen. Bei Genesenennachweisen können Unternehmen auch das Ablaufdatum des Nachweises dokumentieren. Unternehmen können so gewährleisten, dass der Infektionsschutz lückenlos eingehalten wird. Ebenfalls sollte aufgelistet werden, wer einer täglichen Testnachweispflicht nachkommen muss und ob dies am jeweiligen Tag geschehen ist. Das konkrete Testergebnis darf nach der Regelung nicht notiert werden. Sollte ein Arbeitnehmer jedoch einen positiven Test haben, ist in der Regel der Zugang zur Arbeitsstätte zu verweigern.
Die dokumentierten Daten sollten 6 Monate nach der Erhebung gelöscht werden.

Newsletter

Sie möchten mehr zum Beschäftigtendatenschutz erfahren? Dann Abonnieren Sie unseren monatlichen Newsletter mit Infos zu Urteilen, Fachartikeln und Veranstaltungen.

Mit einem Klick auf „Abonnieren“ stimmen Sie dem Versand unseres monatlichen Newsletters (mit Infos zu Urteilen, Fachartikeln und Veranstaltungen) sowie der aggregierten Nutzungsanalyse (Messung der Öffnungsrate mittels Pixel, Messung der Klicks auf Links) in den E-Mails zu. Sie finden einen Abmeldelink in jedem Newsletter und können darüber Ihre Einwilligung widerrufen. Mehr Informationen erhalten Sie in unserer Datenschutzerklärung.

Immunitätsnachweis im Gesundheitswesen

Konkret im Gesundheitswesen wird ab 15.03.2022 die Vorlage eines Immunitätsnachweises gegen Covid-19 verpflichtend eingeführt. Arbeitnehmer unter anderem in Krankenhäusern, Tageskliniken oder Rettungsdiensten müssen dann grundsätzlich geimpft oder genesen sein. Ausnahmen gibt es auch hier für medizinische Fälle, in denen eine Impfung nicht in Frage kommt.

Arbeitgeber kommt die Pflicht zu, das zuständige Gesundheitsministerium darüber zu informieren, wenn die Nachweise nicht rechtzeitig vorgelegt werden. Liegt bis zum 15.03.2022 kein entsprechendes Zertifikat des Arbeitnehmers vor, ist aber auch das Anordnen eines Betretungs- oder Tätigkeitsverbots nicht Sache des Arbeitgebers. Hier muss das Gesundheitsamt tätig werden. Das jeweils zuständige Gesundheitsamt entscheidet, ob Beschäftigte wegen eines fehlenden oder nicht anerkannten Immunitätsnachweises von ihrer Arbeit ausgeschlossen werden.

Immunitätsnachweis bei einer Arbeitnehmerüberlassung für Pflegekräfte und Co.

Wie verhält es sich aber, wenn der Arbeitgeber als Überlassungsfirma seine Angestellten in Krankenhäusern und Gesundheitseinrichtungen einsetzt? In diesem Fall kann der Arbeitgeber des Leiharbeitsunternehmens den Immunnachweis abfragen, auch wenn diese Vorlagepflicht eigentlich nur für Einrichtungen des Gesundheitswesens selbst gilt. Dafür muss aber eine entsprechende Absprache zwischen der Gesundheitseinrichtung und dem Arbeitgeber getroffen worden sein. Die Daten können dann entsprechend ausgetauscht werden. Für Arbeitgeber wird es dafür wohl genügen, der einsetzenden Stelle mitzuteilen, dass Immunisierungsnachweise vorliegen. Die erneute Erhebung der Zertifikate ist keine Aufgabe der einsetzenden Einrichtung selbst. Es besteht wohl schon kein datenschutzrechtliches Bedürfnis, die Daten nochmals zu verarbeiten. Die Mitteilung des Arbeitgebers, dass er die Immunisierung dokumentiert hat, sollte eine sinnvolle und zumutbare Alternative zur erneuten Erhebung darstellen.

Die elektronische Lohnabrechnung

Viele moderne Unternehmen setzen bereits auf die digitale Lohnabrechnung. Dabei kommen häufig Fragen seitens Arbeitgeber auf, wie eine digitale Gehaltsabrechnung datenschutzkonform im Unternehmen genutzt werden kann. Gehaltsabrechnungen werden derzeit noch häufig auf Papier per Post zugestellt. Dieser Prozess ist aber zum einen sehr kostspielig, zum anderen auch sehr aufwändig. Eine digitale Lösung, um Druckkosten und postalischen Versand zu vermeiden, ist daher die elektronische Lohnabrechnung. Arbeitgeber versenden dabei Gehaltsabrechnungen per E-Mail oder übermitteln sie über ein entsprechendes Online-Portal. Die datenschutzrechtliche Relevanz ist dabei nicht von der Hand zu weisen, da Lohnabrechnungen immer personenbezogene Daten enthalten. Unter personenbezogenen Daten fallen hier insbesondere Name und Adresse des Angestellten und die Personalnummer. Darüber hinaus sind auch häufig sensible Daten in der Lohnabrechnung enthalten. Sensible Daten sind zum Beispiel solche, die Aufschluss über die religiöse Überzeugung geben. Gerade bei der Listung der steuerlich relevanten Bezüge sind im Regelfall Angaben zur Religionszugehörigkeit zu finden. Diese Daten sind nach der DSGVO unter einen besonderen Schutz gestellt, da sie mit besonderen Risiken bei deren ungerechtfertigten Verarbeitung für natürliche Personen verbunden sind.

Arbeitgeber dürfen diese Daten nur unter gewissen gesetzlich geregelten Umständen verarbeiten. Das ist unter anderem der Fall, wenn die Verarbeitung aus arbeitsrechtlichen Gründen erforderlich ist. Bei der Auszahlung und Abrechnung des Arbeitsentgelts greift daher eine solche Ausnahme zugunsten der Verarbeitung ein.

Um die digitale Übermittlung der Gehaltsabrechnung dennoch sicher zu ermöglichen, müssen Arbeitgeber für entsprechende Datensicherheit sorgen. Dafür müssen geeignete technische und organisatorische Maßnahmen (TOM) implementiert werden, um möglichen Datenvorfällen entgegenzuwirken und diese zu vermeiden.

Versenden Unternehmen die elektronische Lohnabrechnung beispielsweise per E-Mail, ist die Inhaltsverschlüsselung eine sinnvolle Möglichkeit. Daneben sollte auch eine Transportverschlüsselung implementiert werden, sodass nur der dafür bestimmte Empfänger auf die Lohnabrechnung Zugriff hat.

Digitale Gehaltsabrechnungen könnten auch über ein Online-Portal zugänglich gemacht werden. Auch hier müssen dann aber geeignete TOM implementiert werden, wie beispielsweise eine Zwei-Stufen-Authentifizierung, die ein sicheres Zugangskonzept darstellt. Nutzen Unternehmen ausschließlich ein solches Online-Portal, könnte dies zumindest nach aktueller Rechtsprechung den gesetzlichen Voraussetzungen für die Erteilung der Lohnabrechnung nicht genügen. Laut Gewerbeordnung (GewO) müssen Lohnabrechnungen den Mitarbeitenden tatsächlich erteilt werden. Das heißt, die Abrechnung muss den Angestellten zugehen – also in deren Sphäre bereitstehen, sodass sie Kenntnis von ihr nehmen können. Mit Einwurf in den Briefkasten ist das regelmäßig der Fall. Mit der Frage, ob der Upload in einem Online-Portal den Anforderungen an die Erteilung gerecht wird, hat sich das Landesarbeitsgericht (LAG) Hamm befasst (Urt. v. 23.09.2021, Az. 2 Sa 179/21). Das LAG ist der Ansicht, dass der Upload der Erklärung in einem Online-Portal und die damit verbundene Möglichkeit des Abrufs einer digitalen Lohnabrechnung allein nicht genüge. Vielmehr müsse dem Angestellten die Lohnabrechnung noch anders zugestellt werden. Unternehmen, die ein Online-Portal nutzen wollen, sollten nach aktuellem Stand auch zusätzlich eine E-Mail versenden. Nur so kann gewährleistet werden, dass die digitale Lohnabrechnung den Arbeitnehmer:innen tatsächlich zugeht.

Holen Arbeitgeber von den Mitarbeitenden für die ausschließliche Nutzung eines entsprechenden Online-Portals eine Einwilligung ein, kann das Portal dennoch genutzt werden. Arbeitgeber müssen ihre Mitarbeitenden zuvor jedoch hinsichtlich der Verarbeitung für die digitale Lohnabrechnung entsprechend informieren.

Fazit

Die Fortentwicklung des Datenschutzes im Beschäftigtenkontext ist und bleibt dynamisch. Dabei bieten die vielfältigen Ansatzpunkte und Veränderungsmöglichkeiten viele Chancen auf einen überschaubaren Datenschutz im betrieblichen Umfeld.

Wir unterstützen Sie gerne bei allen Fragen rund um den Beschäftigtendatenschutz! Mit unserem erfahrenen Team stehen wir Ihnen gerne bei jeglichen Fragen zur datenschutzkonformen Umsetzung Ihrer Vorhaben als Arbeitgeber zur Verfügung.

Mehr zum Thema

  • Die wichtigsten Fragen zu Datenübermittlung an US-Dienste: Was bedeutet der neue EU-US Datenschutzrahmen für Unternehmen?

    Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss nach Artikel 45 Abs. 3 der DSGVO für die USA erlassen: Das „EU-US Data Privacy Framework“ (EU-US-Datenschutzrahmen). Damit stellt die Kommission nach dem vom EuGH im Juli 2020 gekippten Privacy Shield erneut fest, dass die USA ein angemessenes Schutzniveau für aus der EU übermittelte personenbezogene Daten gewährleisten können.

    Weiterlesen

  • KI im Recruiting

    KI im Recruiting: Chancen und Datenschutz-Risiken für Unternehmen

    Künstliche Intelligenz ist in aller Munde und wird längst auch in HR-Prozessen eingesetzt. Vor allem in der Personaladministration sind KI-Tools statistisch gesehen beliebt. Im folgenden Beitrag wollen wir die populärsten KI-Potenziale im Recruiting vorstellen und einen Überblick über deren Chancen, Risiken und Herausforderungen geben.

    Weiterlesen

  • Beschäftigtendatenschutz: Herausforderungen und Lösungsansätze für Arbeitgeber

    Wie können Arbeitgeber die Chancen der DSGVO & BDSG datenschutzkonform nutzen und von ihnen profitieren? Erfahren Sie es in unserem Beitrag!

    Weiterlesen