14. Januar 2021

Beim Mitarbeiter­datenschutz auf Nummer sicher: Ein Überblick zu aktuellen Fragen

    Mit der Stärkung des Datenschutzrechts innerhalb der EU mit der Datenschutz-Grundverordnung (DSGVO) hat speziell auch der Mitarbeiterdatenschutz an Bedeutung gewonnen. Viele verschiedene Einzelfragen werden rechtlich anhand unterschiedlicher Bestimmungen in verschiedenen Gesetzen geregelt. Ein zentrales Gesetz für den Mitarbeiterdatenschutz ist zwar angedacht, allerdings bis auf Weiteres nicht zu erwarten. Daher sind vor allem die allgemeinen Regelungen der DSGVO und des Bundesdatenschutzgesetzes (BDSG) maßgeblich. Deren zentrale Vorgaben sind Gegenstand dieses Beitrags.

    Wer darf wie und wann Mitarbeiterdaten verarbeiten?

    Für personenbezogene Mitarbeiterdaten sieht § 26 BDSG einige Fälle vor, in denen diese verarbeitet werden dürfen. Nach Abs. 1 ist das beispielsweise für Zwecke des Beschäftigungsverhältnisses der Fall, also für die Begründung, Durchführung und Beendigung eines Beschäftigungsverhältnisses oder zur Erfüllung von Pflichten aus einem Tarifvertrag oder einer Betriebsvereinbarung. Es sind auch Datenverarbeitungen aufgrund von Kollektivvereinbarungen möglich. Weiterhin ist die Datenverarbeitung vor allem dann zulässig, wenn sie aufgrund einer Einwilligung erfolgt (§ 26 Abs. 2 BDSG), der Aufdeckung von Straftaten dient (§ 26 Abs. 1 S. 2 BDSG) oder bei der Verarbeitung besonderer Kategorien von Daten etwa wegen rechtlicher Pflichten aus dem Arbeitsrecht oder des Sozialschutzes (§ 26 Abs. 3 BDSG).

    Der Begriff des Mitarbeiters (bzw. Beschäftigten) wird in § 26 Abs. 8 BDSG weit gefasst, sodass darunter alle Arbeitnehmer einschließlich Leiharbeiter zu verstehen sind, Auszubildende, Freiwillige im Jugend- oder Bundesfreiwilligendienst, Beamte, Zivildienstleistende etc. Zu beachten ist, dass sogar Bewerber sowie aus dem Unternehmen Ausgeschiedene zu den Mitarbeitern gezählt werden. Daher müssen Unternehmen die datenschutzrechtlichen Regelungen bereits vor der Begründung eines Beschäftigungsverhältnisses sowie nach dessen Beendigung beachten. Auf der anderen Seite verpflichten die Bestimmungen sowohl öffentliche Stellen wie Behörden als auch private Unternehmen als Arbeitgeber.

    Der Mitarbeiterdatenschutz muss beachtet werden, wenn Mitarbeiterdaten verarbeitet und in einem Dateisystem im Sinne des Art. 4 Nr. 6 DSGVO gespeichert werden sollen, d. h. in jeder strukturierten Sammlung personenbezogener Daten, „die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob die Sammlung zentral, dezentral oder funktionalen oder geografischen Gesichtspunkten zugeordnet geführt wird. Damit sind etwa Akten, Aktensysteme oder Deckblätter erfasst.“ Wichtig ist, dass der Anwendungsbereich damit noch nicht erschöpft ist. Auch, wenn ein Angestellter oder auch ein Bewerber persönlich befragt oder beobachtet wird, ohne dass seine Äußerungen und Handlungen in einer Personalakte erfasst werden.

    Wann handelt es sich um Datenverarbeitungen zum Zwecke des Beschäftigungsverhältnisses?

    Nach dem genauen Wortlaut des § 26 Abs. 1 BDSG muss die Datenverarbeitung für die Entscheidung über die Begründung eines Arbeitsverhältnisses, für dessen Durchführung oder Beendigung oder zur Erfüllung der Rechte und Pflichten der Interessenvertretung der Mitarbeiter erforderlich sein. An dieser Stelle kommt es darauf an, die eingangs erwähnten Interessen von Arbeitgeber und Arbeitnehmer zu einem angemessenen Ausgleich zu bringen. Je nach der in der Regelung genannten Situation des Mitarbeiters können unterschiedliche Interessen wichtig sein.

    Datenverarbeitung zur Begründung eines Arbeitsverhältnisses

    Der Mitarbeiterdatenschutz beginnt bereits im Bewerbungsprozess, und in der Praxis ergeben sich hier auch tatsächlich häufig Konstellationen, bei denen datenschutzrechtliche Vorgaben beachtet werden müssen. Aufgrund der weiten Verbreitung sozialer Netzwerke, wie LinkedIn oder Xing, kommt es beispielsweise zu der Situation, dass nicht der Interessent einer Stelle das jeweilige Unternehmen, sondern dass umgekehrt dieses aufgrund eines passenden Bewerberprofils den Erstkontakt vornimmt. Schon die Suche von Unternehmen auf solchen Portalen nach passenden Bewerbern stellt eine Datenerhebung dar, die im Sinne des Gesetzes erforderlich ist. In die Bewertung mit einfließen können der Umstand, ob es sich um Berufsnetzwerke wie die oben erwähnten oder „normale“ soziale Netzwerke handelt, wie öffentlich das Bewerberprofil ist und inwieweit dieses gerade darauf ausgelegt ist, sich potenziellen Arbeitgebern vorzustellen. Wird daraufhin (oder auch nach einem anderen Bewerbungsprozess) ein Mitarbeiter eingestellt, lässt sich gut damit argumentieren, dass die Verarbeitung seiner Daten für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Darüber hinaus sind die Vorgaben des Gesetzes gegen den unlauteren Wettbewerb (UWG) zu beachten, da eine Kontaktaufnahme potenzieller Mitarbeiter grundsätzlich eine Werbung für das eigene Unternehmen darstellt. Nach § 7 Abs. 2 Nr. 3 UWG ist die Werbung mit Nachrichten über die Netzwerke oder E-Mails eine unzumutbare Belästigung, sofern nicht eine vorherige Einwilligung des Kandidaten vorliegt. Aus der bloßen Mitgliedschaft in einem berufsorientierten Netzwerk lässt sich rechtlich keine Einwilligung in Ansprachen von Unternehmen herleiten. Das Verschicken einer Vielzahl allgemeiner Nachrichten an Kandidaten sollte daher vermieden werden. Etwas anderes kann gelten, wenn sich aus dem Bewerberprofil eine solche Einwilligung ergibt und der Kandidat individuell angeschrieben wird. Grundsätzlich sollte hier aber vorsichtig vorgegangen und die Umstände genau dokumentiert werden.

    Problematisch sind auch die vielen Fälle abgelehnter Bewerber. Hier haben Bewerber einerseits das Recht, dass ihre Daten nicht auf unbestimmte Zeit bei allen Unternehmen gespeichert sind, bei denen sie sich beworben haben. Andererseits haben Unternehmen ein berechtigtes Interesse daran, diese noch eine gewisse Zeit zu behalten, um Doppelbewerbungen zu vermeiden oder bei einem Rechtsstreit mit dem abgelehnten Bewerber die notwendigen Nachweise vorlegen zu können. Spätestens nach sechs Monaten sollten die Daten allerdings gelöscht werden. Unternehmen, die auf die Daten noch einmal zurückgreifen wollen, falls zum Beispiel ein gewünschter Bewerber unerwartet absagt, bedarf es einer entsprechenden Einwilligung des Bewerbers. Hier sollte dieser darüber informiert werden, zu welchen Zwecken die Daten genau gespeichert werden, wie lange dies der Fall ist und dass dem Bewerber ein jederzeitiges Widerrufsrecht zusteht.

    360-Grad-Mitarbeiterfeedback Datenschutz

    Datenverarbeitung zur Durchführung und Beendigung eines Arbeitsverhältnisses

    Für die Durchführung des Arbeitsverhältnisses gibt es einige Datenverarbeitungen, die eindeutig erforderlich sind. Selbstverständlich benötigt der Arbeitgeber die Kontaktdaten des Mitarbeiters, muss das Gehalt auf ein Konto einzahlen oder Sozialversicherungsbeiträge abführen. Die Praxis in den meisten Unternehmen bleibt dabei aber selten stehen. Ein häufiges Beispiel sind die Veröffentlichung der Fotos von Betriebsfeiern im Intranet oder gar auf der öffentlichen Website des Unternehmens. Hier dürfte in den seltensten Fällen davon auszugehen sein, dass es sich um für die Durchführung des Beschäftigungsverhältnisses erforderliche Datenverarbeitungen handelt. Für die Veröffentlichung im Intranet sollte auf die Rechtsgrundlagen der DSGVO zurückgegriffen werden, etwa auf die berechtigten Interessen des Arbeitgebers nach Art. 6 Abs. 1 lit. f DSGVO oder die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Welche Rechtsgrundlage im Einzelfall die richtige ist, hängt davon ab, wofür die Fotos genau verwendet werden. Bei der Veröffentlichung auf der Webseite dürfte in den allermeisten Fällen eine gesonderte Einwilligung notwendig sein.

    Welche Datenverarbeitungen sind im Rahmen der Corona-Pandemie zulässig?

    Auch im Zusammenhang mit der Corona-Pandemie stellen sich für Unternehmen einige Fragen in Bezug auf den Mitarbeiterdatenschutz. Unternehmen sind seit dem Frühjahr 2020 praktisch zum Ergreifen von Maßnahmen gezwungen, um gegen das Ansteckungsrisiko vorzugehen. Vor allem, da es sich um Gesundheitsschutz handelt, bleibt hier die Verarbeitungen auch sensibler Mitarbeiterdaten nicht aus, die im Grundsatz zwar zulässig, jedoch weiterhin einer passenden Rechtsgrundlage und der Beachtung datenschutzrechtlicher Grundsätze bedürfen.

    Zulässig sind daher Datenerhebungen über Infektionen, Erkrankungen mit Covid-19, Kontakte mit Infizierten oder Aufenthalte in Risikogebieten. Im Umkehrschluss ist damit das Erfassen bloßer Symptome oder von Aufenthalten in Nicht-Risikogebieten nur in Ausnahmefällen zulässig. Um gegen das Infektionsrisiko vorgehen zu können, sind konkret einige Maßnahmen möglich und zulässig. So können etwa Arbeitszeiten und Aufenthaltsorte auf einem Betriebsgelände von Mitarbeitern erfasst werden, bei denen sich eine Infektion herausgestellt hat oder die sich kurz zuvor in einem Risikogebiet aufgehalten haben. Denkbar ist auch eine Einordnung der Mitarbeiter in Risikogruppen (Vorerkrankungen, bestimmtes Alter) oder die Feststellung der Arbeitsunfähigkeit. Weiterhin kann Home-Office verpflichtend angeordnet werden, je nach der jeweiligen Lage sind auch weitere Maßnahmen möglich.

    Für die Datenverarbeitungen, die mit all diesen Regelungen verbunden sind, ist die Einwilligung in aller Regel als Rechtsgrundlage nicht erforderlich, auch da sie selten zweckmäßig für eine effektive Risikominimierung ist. In Betracht kommen daher vor allem die unter I. erwähnten Rechtsgrundlagen aus § 26 Abs. 1 oder 3 BDSG sowie Art. 9 Abs. 2 lit. b DSGVO (ebenfalls aus Gründen des Arbeitsrechts, dem Recht der sozialen Sicherheit und des Sozialschutzes). Wichtig ist, dass Unternehmen dabei weiterhin darauf achten, die datenschutzrechtlichen Grundsätze einzuhalten. Die Informationspflichten gegenüber den Mitarbeitern aus Art. 13 und 14 DSGVO sollten umgesetzt werden, vor allem sollte transparent vorgegangen werden, die voraussichtliche Speicherdauer festgelegt und darüber informiert werden. Zudem müssen die Mitarbeiter darüber informiert werden, wer die Daten am Ende erhält. Die Datenweitergabe ist darüber hinaus so weit wie möglich zu begrenzen. In diesem Zusammenhang sollte überprüft werden, ob die Identität offengelegt werden muss oder ob es ausreicht, die Daten pseudonymisiert oder anonymisiert weiterzugeben. Zudem sollte im Rahmen des Grundsatzes der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO darauf geachtet werden, wirklich nur die für die Risikoverringerung notwendigen Daten zu erheben. Das sollte sorgfältig überprüft werden. Die vorsorgliche Erfassung von Informationen über den Gesundheitszustand von Mitarbeitern oder die Erstellung von Gesundheits- oder Bewegungsprofilen sind unzulässig. Schließlich sollten die Daten umgehend gelöscht werden, sobald sich der Zweck ihrer Erhebung erledigt hat, also spätestens mit Ende der Pandemie, je nach Einzelfall unter Umständen aber auch früher.

    Weitere Fälle der Verarbeitung von Mitarbeiterdaten

    Die Verarbeitung von Mitarbeiterdaten auf der Grundlage von Kollektivvereinbarungen ist nach § 26 Abs. 4 BDSG zulässig, durchaus auch anders als in der DSGVO und im BDSG sonst vorgesehen. Da es sich beim § 26 BDSG um eine Bestimmung handelt, die aufgrund der Öffnungsklausel des Art. 88 DSGVO erlassen wurde, ist in diesem Kontext Art. 88 Abs. 2 DSGVO zu beachten: Die Vereinbarungen müssen die Menschenwürde sowie die berechtigten Interessen und Grundrechte der Mitarbeiter angemessen berücksichtigen und bewahren.

    Weiterhin ist die Datenverarbeitung zulässig, um mögliche Straftaten (des Mitarbeiters) aufzudecken (§ 26 Abs. 1 S. 1 BDSG). Dieser Bestimmung sind enge Grenzen gesetzt. Es bedarf zunächst eines begründeten und konkreten Verdachts, dass der Mitarbeiter im Beschäftigungsverhältnis eine Straftat begangen hat (z.B. Arbeitszeitbetrug). Darüber hinaus muss die Datenverarbeitung zur Aufdeckung der Straftat auch erforderlich sein, und schließlich muss geprüft werden, dass keine schutzwürdigen Interessen des Mitarbeiters der Datenverarbeitung entgegenstehen. Das richtet sich auch nach der Schwere der Tat sowie einem möglichen Schaden für das Unternehmen, andererseits aber auch, inwieweit die Daten aus dem beruflichen Umfeld oder aus dem privaten Bereich des Mitarbeiters stammen. In jedem Fall ist bei der Anwendung dieser Norm Vorsicht geboten, kann im Einzelfall aber auch Maßnahmen wie Videoüberwachung in Geschäftsräumen rechtfertigen. Nicht zulässig sind grundsätzlich Datenverarbeitungen zur Aufdeckung schwerer vertraglicher Verfehlungen (z. B. Verstöße gegen interne Richtlinien), die (noch) nicht einen Straftatbestand erfüllen. Es bietet sich für solche Situationen an, dass Betriebsvereinbarungen auch Regelungen der Datenverarbeitung zur Aufdeckung schwerer vertraglicher Verstößen regeln, damit auch solche gravierenden vertragliche Verfehlungen untersucht werden können. Die Vereinbarungen sollten sich dabei am Wortlaut des § 26 Abs. 1 S. 2 BDSG orientieren.

    Die Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) ist im Grundsatz untersagt und nur in Ausnahmefällen zulässig. Eine solche Ausnahme gilt im Beschäftigungskontext mit § 26 Abs. 3 BDSG zu Zwecken des Beschäftigungsverhältnisses. Zu den besonderen Datenkategorien gehören Informationen über die ethnische Herkunft, religiöse oder weltanschauliche Überzeugen, politische Meinungen, Gesundheits- und genetische Daten oder auch über die Gewerkschaftszugehörigkeit. Neben der Voraussetzung, dass die Datenverarbeitung dem Zweck des Beschäftigungsverhältnisses im Sinne des Abs. 1 erfolgt, muss sie „zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich“ sein, während schutzwürdige Interessen des Mitarbeiters dem nicht entgegenstehen. Diese Erfordernisse gelten im Übrigen auch, wenn die Verarbeitung besonderer Datenkategorien auf eine Einwilligung gestützt wird.

    Was sollten Unternehmen noch beachten?

    Grundsätzlich sollte im Rahmen der Verarbeitung von Mitarbeiterdaten immer sorgfältig auf die Interessen, Grundrechte und Grundfreiheiten der Arbeitnehmer geachtet werden. Sobald die Verarbeitung über das eindeutig Erforderliche hinausgeht, sollte eine entsprechende Interessenabwägung vorgenommen werden. Diese sollte zudem dokumentiert werden. Darüber hinaus sollten in jedem Fall die bereits erwähnten Informationspflichten umgesetzt werden. Wenn ein Betriebsrat vorhanden ist, kann eine Rahmenvereinbarung getroffen werden, speziellere Vereinbarungen können die Informationspflichten bei bestimmten Datenverarbeitungen konkretisieren. Zudem ist wichtig, dass den Mitarbeitern die vollen Betroffenenrechte aus Art. 15 ff. DSGVO zustehen. Über diese müssen die Mitarbeiter ebenfalls informiert werden und die entsprechenden Rechte auf Auskunft, Löschung etc. müssen im Bedarfsfall schließlich auch umgesetzt werden. Das Recht auf Auskunft ist als zentrales Betroffenenrecht gleichzeitig als Pflicht des Arbeitnehmers zu verstehen und kann umfassend geltend gemacht werden, ob, welche und zu welchen Zwecken personenbezogene Daten verarbeitet werden, an welche Empfänger sie geleitet werden und wie lange die Verarbeitung voraussichtlich noch andauern wird. Grenzen sind dem Auskunftsrecht beispielsweise da gesetzt, wo die Rechte und Freiheiten anderer Personen beschränkt werden, beispielsweise durch die Herausgabe von Geschäftsgeheimnissen von Unternehmen oder persönlicher Informationen anderer Mitarbeiter. Aus diesem Grund erklärte beispielsweise auch die Berliner Datenschutzbehörde, dass ein Auskunftsersuchen in aller Regel nicht die Herausgabe aller E-Mails rechtfertigen kann, in der der Name des Auskunftsersuchenden vorkommt.

    Fazit

    Die Prüfung von Fragen im Rahmen des Mitarbeiterdatenschutzes ist in vielen Fällen komplex, weshalb eine sorgfältige Prüfung im Vorfeld zu empfehlen ist. Über die hier dargestellten allgemeinen Leitlinien hinaus können rechtliche Regelungen aus speziellen Gesetzen wie etwa dem Allgemeinen Gleichbehandlungsgesetz (AGG) oder dem Betriebsverfassungsgesetz (BetrVG) relevant sein. Zudem können datenschutzrechtliche Sanktionen aus der DSGVO wie Bußgelder oder Schadensersatzforderungen drohen. Eine Verbesserung hin zu einer klareren und anwenderfreundlicheren Rechtslage könnte durch das auf Initiative des Bundesministeriums für Arbeit und Soziales diskutierte einheitliche Gesetz für den Mitarbeiterdatenschutz erfolgen. Die Überlegungen stehen hier allerdings noch am Anfang, weshalb Unternehmen sich für die nahe Zukunft weiterhin am Zusammenspiel von DSGVO und BDSG orientieren müssen.

    Weitere spannende Beiträge:

    Corona-Krise FAQ: Home-Office, Datenschutz & Co.
    Home-Office: Zutrittsrecht des Arbeitgebers – Zugang zur Wohnung

    Newsletter

    Bleiben Sie immer up to date in Sachen Datenschutz!