22.05.2017

Mitarbeiterdatenschutz nach der DSGVO und dem neuen BDSG

Das neue BDSG ist am 25. Mai 2018 mit der DSGVO in Kraft getreten und ergänzt diese vor allem im Beschäftigten- und Mitarbeiterdatenschutz (Update 29.01.2019).

Zulässigkeit der Datenverarbeitungen zum Zweck der Durchführung des Beschäftigungsverhältnisses

Personenbezogene Daten von Beschäftigten dürfen verarbeitet werden sofern dies für Zwecke der Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlich ist. Da die Interpretation von „Erforderlichkeit“ viel Spielraum lässt, enthält die Gesetzesbegründung hierzu einen Hinweis: “Im Rahmen der Erforderlichkeitsprüfung sind die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen. Dabei sind die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht des Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessen möglichst weitgehend berücksichtigt.” Damit wird also auf die Grundsätze des aktuellen BDSG zurückgegriffen: Datenverarbeitung von Beschäftigten ist damit erlaubt, wenn sie für Zwecke des Beschäftigungsverhältnisses geeignet ist, das mildeste aller dem Arbeitgeber zur Verfügung stehenden gleich effektiven Mittel ist und schutzwürdige Interessen des Beschäftigten nicht überwiegen.

Zulässigkeit der Datenverarbeitung zum Zwecke der Aufdeckung von Straftaten

Auch weiterhin bleibt die Verwertung von Daten zulässig, wenn tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Allerdings sollte bereits im Vorfeld geklärt werden, welche Compliance-Maßnahmen nötig sind und wie sie implementiert werden können. Als Beispiel dafür dienen spezielle Richtlinien über die private E-Mail und/oder Internetnutzung im Büro. In Leitlinien sollten die Voraussetzungen transparent festgelegt werden, beispielsweise, welche Personen zur Einsichtnahme eines E-Mail-Postfachs befugt sind, damit gegebenenfalls entgegenstehende Interessen des betroffenen Mitarbeiters beachtet werden können.

Zulässigkeit der Einsichtnahme in E-Mail-Postfächer bei krankheitsbedingter Abwesenheit

Falls ein Mitarbeiter langfristig erkrankt und Kollegen auf das E-Mail-Postfach dringend zugreifen müssen, sollte dies in den Compliance-Leitlinien mitgeregelt werden.
Für Unternehmen als auch Mitarbeiter ist es sinnvoll, bereits vorab zu klären, wie Zugriff und Einsicht in besonderen Fällen geregelt sind. Es empfiehlt sich, einen Plan für konkrete Maßnahmen zu entwickeln.

Zulässigkeit der Datenverarbeitung nach Einwilligungen durch den Beschäftigten

Datenverarbeitungen können durch vorherige Einwilligung der Beschäftigten durchgeführt werden. Das bedeutet, dass der Gesetzgeber davon ausgeht, dass im Beschäftigungsverhältnis auch eine Freiwilligkeit bei der Abgabe anzunehmen ist. Jedoch wird dann eine Freiwilligkeit angenommen, wenn die Beschäftigten dadurch einen rechtlichen oder wirtschaftlichen Vorteil erhalten oder es gleichgelagerte Interessen bei dem Arbeitgeber oder den Beschäftigten gibt. Eine Einwilligung darf nur eingeholt werden, wenn der Arbeitnehmer eine wirkliche Wahlfreiheit hat, welche vorliegt, wenn die Verarbeitung nicht auf eine andere Rechtsgrundlage gestützt werden kann (z.B. zum Zweck der Durchführung des Arbeitsverhältnisses) und ein Ablehnen der Einwilligung darf keine negative Konsequenzen für den Arbeitnehmer haben. .. Die Einwilligung muss einer Form entsprechen: schriftlich oder soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Des Weiteren treffen den Arbeitgeber höhere Transparenzpflichten. Der Arbeitgeber muss den Beschäftigten über den Zweck der Datenverarbeitung und über sein Widerrufsrecht aufklären. Bei der Verarbeitung besonderer Arten personenbezogener Daten (u.a. Religion, sexuelle Neigung, Gesundheitsdaten) besteht zudem eine spezielle Hinweispflicht.

Zulässigkeit der Verarbeitung besonderer Kategorien personenbezogener Daten

Die Verarbeitung besonderer Kategorien von Daten: rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur Identifizierung, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung für Zwecke des Beschäftigungsverhältnisses ist zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist. Zudem darf kein Grund zu der Annahme bestehen, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Zulässigkeit der Verarbeitung auf Grundlage von Betriebsvereinbarungen

Betriebsvereinbarungen dienen insbesondere zur Konkretisierung der Datenverarbeitung in Bezug auf die Transparenzvorschriften. Der Gesetzgeber hat klargestellt, dass Betriebsvereinbarungen und andere Kollektivvereinbarungen weiterhin die Verarbeitung von Beschäftigtendaten erlauben können. Jedoch müssen die Betriebsvereinbarungen das Datenschutz Niveau der DSGVO einhalten und dürfen dieses nicht unterlaufen. Das bedeutet, dass Datenverarbeitungen grundsätzlich nach § 26 BDSG gerechtfertigt werden müssen, ansonsten kann die Datenverarbeitung nur durch eine Einwilligung der Mitarbeiter gerechtfertigt werden. Denn Betriebsvereinbarungen können nicht über das informationelle Selbstbestimmungsrecht der Beschäftigten verfügen und dieses einschränken. Das kann nur der Betroffene selbst, indem er in die Datenverarbeitung einwilligt.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte rechnen Sie 8 plus 7.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Beachtung von Datenschutzgrundsätzen

Die in der DSGVO festgelegten Datenschutzgrundsätze: Rechtmäßigkeit der Datenverarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datensparsamkeit, Richtigkeit, Integrität und Vertraulichkeit personenbezogener Daten sowie die Rechenschaftspflicht müssen vom Arbeitgeber und dessen verbundene Unternehmen, aber auch von dem Betriebsrat oder anderen Betriebsverfassungsorganen, die personenbezogene Daten von Beschäftigten verarbeiten, beachtet werden.

Nicht-automatisierte Verarbeitung von Beschäftigtendaten

Nach dem neuen BDSG, wie auch nach dem alten, soll auch die nicht automatisierte (bzw. nicht elektronische) Datenverarbeitung von Mitarbeiterdaten in den Anwendungsbereich des Gesetzes fallen. Dies spielt z.B. bei der Durchführung von Mitarbeiterumfragen oder bei Überwachungsmaßnahmen eine Rolle.

Nähere Definition des Beschäftigten

Die DSGVO bestimmt, dass der datenschutzrechtliche Beschäftigtenbegriff neben Arbeitnehmern, Leiharbeitnehmern und Auszubildenden auch noch Heimarbeiter, Beamte, Richter, Soldaten und weitere in § 26 Abs. 8 BDSG-neu genannten Personengruppen meint.

Fazit und unsere Empfehlung

Die neuen Regelungen bringen viel neuen Gesetzestext, der „tacheles“ aber den bisherigen Anforderungen der deutschen Rechtsprechung im Wesentlichen entspricht. Arbeitgeber, Beschäftigte und Betriebsräte die sich bisher auch an den Vorgaben der Rechtsprechung zu § 32 BDSG orientiert haben, sind gut beraten, dies auch weiterhin so zu tun und einige zusätzliche Punkte zu beachten. Bis Mai 2018 sollte bei den folgenden wesentlichen To-Do’s nochmal sichergegangen werden, dass diese geprüft und gegebenenfalls den Anforderungen der DSGVO entsprechend angepasst wurden, denn wie auch bei allen anderen Datenschutzverstößen, bringen auch Verstöße im Bereich Beschäftigtendatenschutz, mit der DSGVO hohe Risiken: Es drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des globalen Umsatzes (dies entscheidet sich danach, welcher Betrag höher ist). Es können auch Schadensersatzansprüche von Arbeitnehmern auch wegen Nichtvermögensschäden geltend gemacht werden. Die Beweislast liegt bei dem datenverarbeitenden Arbeitgeber.

Ihre Lösung für den besten Datenschutz

Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.

Kostenfreien Kennenlerntermin vereinbaren

To-Do’s

  • Bei jeder Datenverarbeitung, die Mitarbeiterdaten umfasst, sollte die Erforderlichkeit hinterfragt und bei nicht offensichtlich erforderlichen Projekten gegebenenfalls dokumentiert werden.
  • Einwilligungen und Betriebsvereinbarungen bleiben gangbare Mittel zur rechtskonformen Verarbeitung von personenbezogenen Daten für Zwecke des Beschäftigungsverhältnisses. Diese sollten aber dahingehend geprüft werden, ob Sie auch nach dem neuen Gesetz Bestand haben.
  • Die Einwilligung sollte den Vorgaben von § 26 Abs. 2 BDSG-neu genügen. D.h. alle Einwilligungen sollten auf die Einhaltung der Voraussetzungen geprüft werden, ggf. vom Fachmann, da auch weiterhin die Frage nach der Freiwilligkeit einer Einwilligung nicht unstrittig bleiben dürfte.
  • Tarifverträge, Betriebsvereinbarungen und andere Kollektivvereinbarungen in Bezug auf Mitarbeiterdatenverarbeitung sollten den Anforderungen von Art. 88 Abs. 2 DSGVO genügen. Hier besteht bei vielen bereits abgeschlossenen Betriebsvereinbarungen einiger Handlungsbedarf.
  • Für die Verarbeitung von sensiblen Daten (Krankheitsdaten, Religionsdaten von Mitarbeitern) müssen gesonderte Schutzmaßnahmen wie zum Beispiel die Pseudonymisierung oder Verschlüsselung ergriffen werden.
  • Erstellung von Compliance Maßnahmen um die Rechtmäßigkeit einer Einsichtnahme in E-Mail-Postfächern abzusichern und im Unternehmen global zu regeln.

Weitere Neuigkeiten

24.07.2024

Windows-Ausfall durch CrowdStrike-Update öffnete Tür und Tor für Betrüger

Vielen Experten zufolge war es der größte IT-Ausfall der Geschichte. Am 19. Juli 2024 stieß CrowdStrike auf ein bedeutendes Problem mit einem Inhaltsupdate für seinen Falcon-Sensor auf Windows-Betriebssystemen. Dieses Update verursachte unerwartetes Systemverhalten, das insbesondere zu Blue-Screen-Fehlern (BSOD) auf den betroffenen Windows-Systemen führte. Viele Betrüger nutzen diesen Ausfall sofort aus. CrowdStrike reagierte schnell und stellte einen Fix bereit, um das Problem zu beheben und negative Auswirkungen auf die Betriebsabläufe ihrer Kunden zu minimieren.

Weiterlesen …

17.07.2024

Neue Regelungen für Ihr ISMS: Diese gesetzlichen Anforderungen muss Ihre IT-Sicherheit erfüllen

In den letzten Jahren haben zahlreiche neue gesetzliche Regelungen zur IT-Sicherheit Unternehmen vor erhebliche Herausforderungen gestellt. Diese Gesetze fordern von Unternehmen umfassende Maßnahmen zur Sicherung ihrer IT-Infrastruktur und Daten. Angesichts dieser wachsenden Anforderungen bietet sich die Einführung eines Informationssicherheits-Managementsystems (ISMS) an. Ein ISMS hilft nicht nur dabei, die gesetzlichen Anforderungen zu erfüllen, sondern trägt auch zur Verbesserung der allgemeinen Sicherheitslage eines Unternehmens bei.

Weiterlesen …

09.07.2024

NIS2-Richtlinie: Machen Sie Ihr Unternehmen fit für Oktober 2024 – mit unserem Leitfaden zum Download

Mit der nahenden Deadline im Oktober 2024 für die nationale Umsetzung der Network and Information Security (NIS) Directive 2 (NIS2) stehen schätzungsweise 30.000 deutsche Unternehmen vor der Herausforderung, gesetzliche Vorgaben zu erfüllen und die Sicherheit ihrer Informationstechnologie nachhaltig zu verbessern. In diesem Zusammenhang bieten wir umfassende Lösungen an, die darauf ausgerichtet sind, Ihr Unternehmen durch maßgeschneiderte Risikoanalysen, die Implementierung fortschrittlicher Cyber-Risikomanagementpraktiken und robuste Geschäftskontinuitätspläne auf den neuesten Stand der Technik zu bringen.

Weiterlesen …