Menschen im Büro

Arbeitnehmerdatenschutz

Der Datenschutz für Arbeitnehmer ist ein weites Feld, in dem sich Arbeitnehmer und Arbeitgeber gleichermaßen auskennen sollten. Wir geben Ihnen einen Überblick.

2021-02-25

Logo

Der Datenschutz für Arbeitnehmer:innen ist ein weites Feld, in dem sich Arbeitnehmer:innen und Arbeitgeber:innen gleichermaßen auskennen sollten. Wir geben Ihnen einen Überblick.

Mit dem Begriff Arbeitnehmerdatenschutz – es wird auch von Beschäftigtendatenschutz, Mitarbeiterdatenschutz oder Betriebsdatenschutz gesprochen – wird vorwiegend der Schutz des allgemeinen Persönlichkeitsrechts und hier speziell das Recht auf informationelle Selbstbestimmung im Rahmen eines Arbeitsverhältnisses verbunden.

Erste Ansätze zu einem geregelten Datenschutz in Unternehmen bzw. Arbeitnehmerdatenschutz gab es bereits Mitte der 1980er Jahre. Zwischenzeitlich musste der Mitarbeiterdatenschutz immer wieder den entsprechenden neuen technischen Möglichkeiten angepasst werden und ist zurzeit überwiegend im Bundesdatenschutzgesetz geregelt. Mit der im Mai 2018 rechtlich verbindend gewordenen EU-Datenschutzgrundverordnung sowie dem flankierenden neuen Bundesdatenschutzgesetz sind auch Änderungen im Bereich Arbeitnehmerdatenschutz enthalten. Daneben bleibt das Thema auch im Hinblick auf die neue Mobilität im Arbeitsleben und den Schutz betrieblicher Daten nicht nur für Arbeitgeber:innen, die sehr häufig mit vielen Arbeitnehmern:innen zu tun haben – wie dies etwa bei Personalberatungen der Fall ist – hoch aktuell.
 

Grundsätze im Arbeitnehmerdatenschutz

Arbeitnehmerdatenschutz lässt sich prinzipiell in drei Bereiche aufteilen, die sich teilweise überlappen:

  • Zum einen geht es um die rechtlichen Grundlagen für die Verarbeitung personenbezogener Daten der Arbeitnehmer:innen durch den/die Arbeitgeber:in.
  • Zum anderen beschäftigen sich Gerichte, Behörden und Rechtsexperten:innen immer wieder mit dem Thema Datenschutz im Zusammenhang mit Überwachungs- und Kontrollmaßnahmen, die der/die Arbeitgeber:in gegenüber dem/der Arbeitnehmer:in ausübt, um betriebliche Belange zu schützen.
  • Schließlich berührt der Arbeitnehmerdatenschutz auch den betrieblichen Datenschutz nach außen, bei dem es vor allem um die Wahrung betrieblicher Geheimnisse geht.

Typische Stichworte beim Thema Kontrollen am Arbeitsplatz sind etwa Telefon-Nutzung, E-Mail-Verkehr, Internetzugang, Videoüberwachung und Nutzung geschäftlicher Geräte im privaten Bereich – diese Themen werden wir gegen Ende des Artikels beleuchten.

Dreh- und Angelpunkt im Arbeitnehmerdatenschutz sowohl für den Umgang mit personenbezogenen Daten als auch für entsprechende Kontrollmaßnahmen ist stets eine entsprechende Rechtsgrundlage, die dem/der Arbeitgeber:in bestimmte Eingriffe erlaubt. Gerade, wenn es um Überwachungs- und Kontrollmaßnahmen geht, fehlen solche klaren Rechtsgrundlagen oder Vereinbarungen häufig. Das führt nicht selten zu ernsthaften Konflikten im Arbeitsverhältnis sowie auch zu arbeitsgerichtlichen Auseinandersetzungen.
 

Regelungen zum Arbeitnehmerdatenschutz nach DSGVO und Bundesdatenschutzgesetz (neu)

Das neue Bundesdatenschutzgesetz (BDSG) greift in § 32 BDSGden Grundsatz des § 26 BDSG (alt) auf, nach dem die Verarbeitung von personenbezogenen Beschäftigungsdaten unter bestimmten Voraussetzungen erlaubt ist. Insbesondere dürfen personenbezogene Beschäftigungsdaten erhoben und verarbeitet werden, wenn dies zur Erfüllung gesetzlicher Pflichten, in einem Bewerbungsverfahren für einen Arbeitsplatz oder für die Durchführung, beziehungsweise die Beendigung des Arbeitsverhältnisses notwendig ist.

Das neue Bundesdatenschutzgesetz schafft Klarheit über die Rechtsgrundlagen für die Datenverarbeitung personenbezogener Arbeitnehmerdaten, weil auch explizit Tarifverträge, Betriebs- oder Dienstvereinbarungen gültige Rechtsgrundlagen für die Datenverarbeitung sein können. Dabei ist bei allen Vereinbarungen und Verträgen das Spannungsverhältnis zwischen den Grundrechten/Persönlichkeitsrechten des/der Arbeitnehmers:in gegenüber den entsprechenden Interessen des/der Arbeitgebers:in zu beachten.

Das Bundesdatenschutzgesetz beinhaltet ein Schriftformerfordernis für die Einwilligungserklärung von Arbeitnehmern:innen zur Verarbeitung ihrer personenbezogenen Daten. Damit geht es sogar teilweise über die Anforderungen der EU-DSGVO hinaus. Wie alle Dateninhaber:innen profitieren Arbeitnehmer:innen zukünftig von zusätzlichen Informationspflichten des/der datenverarbeitenden Arbeitgebers:in im Hinblick auf die Art. 13, Art. 14 und Art. 15 EU-DSGVO. Unter anderem können Beschäftigte in weitaus höherem Maße Auskunft über die gespeicherten Daten von Arbeitgebern:innen verlangen.
 

Was regelt der Beschäftigtendatenschutz?

Der Beschäftigtendatenschutz fasst wichtige Regelungen zusammen, die sich auf personenbezogene Arbeitnehmerdaten und deren Verarbeitung und Speicherung beziehen. Allerdings gibt es hier kein konkretes Beschäftigtendatenschutzrecht, sondern die Regelungen finden sich verteilt im Bundesdatenschutzgesetz und der DSGVO. Arbeitnehmerdaten dürfen nur unter folgenden Gesichtspunkten erhoben werden:

  • Es gibt eine konkrete gesetzliche Grundlage
  • Es ist eine Zweckbindung gegeben
  • Es werden Betroffenenrechte, wie Recht auf Löschung, Auskunft, Berichtigung und Widerruf gewährleistet

Auch besondere personenbezogene Daten dürfen grundsätzlich nach einer Einwilligung der Arbeitnehmer:innen verarbeitet und gespeichert werden. Dies ist beispielweise bei Bewerberdaten in der Personalabteilung der Fall.

Um Arbeitnehmer:innen bestmöglich zu informieren und die datenschutzrechtlichen Anforderungen einzuhalten bietet es sich an, diesen eine Information zum Datenschutz auszuhändigen. Hier finden Sie eine Mustervorlage zur Datenschutzinformation für Mitarbeiter.
 

Datenschutzrechte als Arbeitnehmer:in

Das Bundesdatenschutzgesetz und die EU-DSGVO definieren keine Arbeitnehmerrechte im Einzelnen. Die Rechte ergeben sich aus den Pflichten und Vorgaben für die Arbeitgeber:innen, welche aus Gesetzestexten wie dem Telekommunikationsgesetz, Betriebsverfassungsgesetz und vielen weiteren hervorgehen.

Für Mitarbeiterdaten gelten grundsätzlich dieselben Bestimmungen wie für andere personenbezogene Daten. Im Folgenden haben wir die wichtigsten Punkte im Bereich Datenschutz am Arbeitsplatz aufgelistet:

  • Das Recht auf informationelle Selbstbestimmung gilt auch am Arbeitsplatz. Arbeitnehmer:innen dürfen personenbezogene Daten nur unter Zustimmung des Betroffenen verarbeiten oder soweit Rechtsvorschriften die Verarbeitung erlauben (z.B. zur Aufnahme, Durchführung und Beendigung eines Beschäftigungsverhältnisses).
  • Als Arbeitnehmer:in besitzen Sie ein allgemeines Recht auf Auskunft. Daten, die Ihr/Ihre Arbeitgeber:in von Ihnen speichert, dürfen Sie jederzeit einsehen.
  • Besondere Kategorien personenbezogener Daten (z.B. Sexualität, politische Meinung, Gesundheitsdaten etc.) darf Ihr/Ihre Arbeitgeber:in nur verarbeiten, wenn Sie hierzu eindeutig Ihre Einwilligung erteilt haben.
  • Falls falsche oder veraltete Daten von Ihnen gespeichert sind, haben Sie das Recht auf Berichtigung: Sie dürfen diese Daten berichtigen lassen oder auch einen Antrag auf Löschung stellen.

Falls Sie aufgrund einer Erkrankung vorübergehend arbeitsunfähig sind, müssen Sie Ihrem/Ihrer Arbeitgeber:in keine Informationen über die genauen Gründe Ihrer Arbeitsunfähigkeit mitteilen.
 

Arbeitnehmerdatenschutz-Probleme in der Praxis

Was die entsprechenden Problemfelder Telefonnutzung, E-Mail-Verkehr und weiteres im Arbeitsverhältnis betrifft, ändern die EU-Datenschutzgrundverordnung und das Bundesdatenschutzgesetz hier zunächst einmal nichts.

Telefonnutzung und Co. im Arbeitsverhältnis:

Nicht nur, aber gerade auch im Hinblick auf das Thema Datenschutz entstehen immer wieder Auseinandersetzungen zwischen Arbeitgebern:innen und Arbeitnehmern:innen über die private Nutzung des Telefons durch die Beschäftigten. Bei der Telefonnutzung hat der Datenschutz eine besondere Intensität, weil das sogenannte Fernmeldegeheimnis Bestandteil des Art. 10 Grundgesetz (GG) ist. Insoweit werden auch private Telefongespräche am Arbeitsplatz vollumfänglich vom Fernmeldegeheimnis gedeckt. Der/die Arbeitgeber:in darf sich folglich prinzipiell keine Informationen darüber verschaffen, was Inhalt privater Telefongespräche am Arbeitsplatz ist und was die näheren Umstände solcher Gespräche betrifft. Das umfasst auch die Teilnehmer:innen am Telefongespräch auf der anderen Seite.

Kompliziert wird die Angelegenheit deshalb, weil der/die Arbeitgeber:in zumindest stichprobenartig überwachen darf, was der/die Arbeitnehmer:in dienstlich am Telefon macht -- insbesondere bei der Kostenüberwachung.

Außerdem darf der/die Arbeitgeber:in die private Telefonnutzung grundsätzlich im Unternehmen untersagen.

Da die Grenzen einer zulässigen Erfassung sowie Kontrolle im Telefonbereich schnell erreicht sind und der/die Arbeitgeber:in hier mit entsprechenden Schadenersatzklagen sowie gegebenenfalls sogar Strafanzeigen durch den/die Arbeitnehmer:in rechnen muss, empfiehlt sich eine sorgfältige Ausarbeitung entsprechender Vereinbarungen/Richtlinien und Weisungen unter Einbeziehung des betrieblichen Datenschutzbeauftragten. Keinesfalls ohne Weiteres zulässig ist eine Telefonüberwachung zum Zwecke der Leistungsüberprüfung seitens des/der Arbeitgebers:in.

Arbeitnehmerdatenschutz: Einsatz von Überwachungssoftware wie Videoüberwachung

Auch das Thema Videoüberwachung ist aus datenschutzrechtlicher Sicht ein besonders heikles. Hier trifft der teilweise berechtigte Kontrollanspruch des/der Arbeitgebers:in insbesondere zur Vermeidung von Vermögensdelikten auf das allgemeine Persönlichkeitsrecht der Arbeitnehmer:innen aus Art. 2 Abs. 1 GG. Aufgrund dieses Spannungsverhältnisses ist die Einführung entsprechender Videokontrollmaßnahmen nur in engen Grenzen rechtlich zulässig.

Die entsprechende Begrenzung gilt auch deshalb, weil einseitige Arbeitgeber:innen-Maßnahmen hier zusätzlich das Mitbestimmungsrecht des Betriebsrates nach § 87 Betriebsverfassungsgesetz verletzen können.

Daraus folgt, dass Videoüberwachungsmaßnahmen entweder einvernehmlich im Arbeitsvertrag geregelt werden oder aber durch eine Betriebsvereinbarung, respektiv auf Basis eines Tarifvertrages, zugelassen werden müssen. Auch dann bestehen allerdings Grenzen, die einer Verhältnismäßigkeitsprüfung standhalten müssen.

Darüber hinaus hat die höchstrichterliche Rechtsprechung in Einzelfällen, bei einer entsprechenden Interessen- und Güterabwägung, Videoüberwachungsmaßnahmen zugelassen, wenn zum Beispiel konkrete Verdachtsmomente gegen bestimmte Arbeitnehmer:innen bestehen.

Da eine andauernde Videoüberwachung, die verdachtsunabhängig durchgeführt wird, einen besonders intensiven Eingriff in das Persönlichkeitsrecht der einzelnen Arbeitnehmer:innen darstellt, wird eine solche Maßnahme entsprechend kritisch gesehen.

Auch hier sind die Grenzen zwischen zulässigen und nicht mehr zulässigen Maßnahmenfließend, so dass bei entsprechenden Regelungen im Unternehmen immer der/die Datenschutzbeauftragte einbezogen werden sollte.

Überwachung des E-Mail-Verkehrs und der Internetnutzung

Bei der privaten Nutzung dieser Medien muss ebenfalls für eine eindeutige und klare Vereinbarung, beziehungsweise Weisung durch den/die Arbeitgeber:in gesorgt werden. Er / Sie kann die private Nutzung des Internetzuganges und der E-Mail-Funktion grundsätzlich untersagen. Unter dieser Voraussetzung sind stichprobenartige Kontrollen möglich, jedenfalls dann, wenn konkrete Verdachtsmomente auf Verstöße bestehen. Jedoch muss auch an dieser Stelle erneut darauf hingewiesen werden, dass solche Maßnahmen schnell rechtliche Grenzen überschreiten und unverhältnismäßig sein können.

Arbeitnehmerdatenschutz: Private Nutzung betrieblicher Geräte

Im Gegensatz zum Bring Your Own Device-Ansatz gibt es auch den Trend, Arbeitshardware privat zu nutzen. Bei der Privatnutzung betrieblicher Geräte, wie zum Beispiel Smartphones und Tablets, können sich datenschutzrechtliche Probleme aus verschiedenen Richtungen ergeben. Zum einen geht es darum, ob der/die Arbeitgeber:in die private Nutzung grundsätzlich erlaubt oder untersagt sowie um die Zulässigkeit entsprechender Kontrollmaßnahmen.

Auf der anderen Seite kann die private Nutzung von betrieblichen Geräten durch den/die Arbeitnehmer:in erhebliche Datenschutzlücken nach außen öffnen, die betriebliche Interna und Betriebsgeheimnisse gefährden können. Gerade die zunehmende Mobilität im Arbeitsleben, mit der Nutzung entsprechender Geräte von verschiedenen Orten aus, erfordert vielfach gesteigerte Sicherheitsmaßnahmen beim Zugriff auf betriebliche Daten. Es empfiehlt sich deshalb, ein spezielles betriebliches Datenschutzmanagement (z.B. in Form verschlüsselter Daten) und technisches Zugangsmanagement in Bezug auf die Nutzung betrieblicher Geräte aufzubauen.

Beim Arbeitnehmerdatenschutz geht es nicht nur um die Rechte der Arbeitnehmer:innen im Hinblick auf ihre personenbezogenen Daten. Vielmehr geht es auch um die Sicherheit von betrieblichen Daten. Arbeitnehmerdatenschutz gehört deshalb ganz oben auf die Agenda Datenschutzmanagement, gerade da es bei vielen Fragen keine zu 100% konkreten gesetzlichen Vorschriften gibt. Wir beraten Sie gern zu entsprechenden technischen und rechtlichen Möglichkeiten, um den Arbeitnehmerdatenschutz in Ihrem Sinne zu gestalten.

 

Mitarbeiterdaten managen mittels Software

Schon gewusst? Mitarbeiterdaten nach den Vorgaben der DSGVO zu managen geht auch mittels Software. Eine Datenschutzsoftware wie Proliance 360 hilft bei der digitalen Verwaltung von Mitarbeiterdaten: In einem digitalen Assessment werden sämtliche Verarbeitungstätigkeiten im Unternehmen, die sich auf Mitarbeiterdaten beziehen, abgefragt und geprüft. Daraufhin werden sowohl Handlungsempfehlungen abgeleitet als auch Hilfestellungen gegeben für den korrekten Umgang mit Mitarbeiterdaten im Unternehmen. Dieser Teil der Datenschutzsoftware ist vor allem für den HR-Bereich interessant, weil so mittels Software mit sämtlichen Mitarbeiterdaten datenschutzkonform verfahren werden kann.

Autor:innen: Kathrin Strauß und Dennis Lenczowski
Artikel veröffentlicht am: 25.02.2021

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

Wie ist es um das Thema Datenschutz bestellt in Ihrem Unternehmen? Machen Sie unseren Datenschutz Check und finden Sie es in wenigen Klicks heraus.

Zum Check

Laptopscreen auf dem man sehen kann, wie man sich durch die ersten Seiten des Datenschutz Checks klickt

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr