Unternehmen sind tagtäglich mit personenbezogenen Daten ihrer Beschäftigten konfrontiert (Personaldaten). Sie müssen im Umgang mit diesen vertraulichen Informationen den Datenschutz für Mitarbeiter laut DSGVO und BDSG-neu beachten, um nicht hohe Strafen zu riskieren. Personaldaten bezeichnen jene personenbezogenen Daten von Mitarbeitern, die der Arbeitgeber auf Basis des Beschäftigungsverhältnisses speichert und verwendet. Diese Informationen des Arbeitnehmers benötigt er, um seine arbeitsvertraglichen oder gesetzlichen Pflichten zu erfüllen.
Datenschutz von Personaldaten im Unternehmen
Beim Datenschutz für Mitarbeiter im Unternehmen müssen Arbeitgeber ebenso wie bei der Verwendung personenbezogener Kundendaten gesetzliche Vorgaben einhalten. Demnach dürfen Unternehmen Mitarbeiterdaten nur dann erheben, verarbeiten und nutzen, wenn der Arbeitnehmer eingewilligt hat oder eine gesetzliche Vorschrift (zum Beispiel Sozial- und Steuerrecht) es gestattet oder ausdrücklich verlangt. Für den Datenschutz von Personaldaten ist § 26 Abs. 1 Satz 1 BDSG-neu relevant. Aus diesem gesetzlichen Datenschutz für Arbeitnehmer ergibt sich, dass der Arbeitgeber nur jene personenbezogenen Daten erheben, verarbeiten und nutzen darf, die notwendig sind, um ein Beschäftigungsverhältnis aufzunehmen, zu beenden oder durchzuführen.
Unternehmen dürfen beispielsweise folgende Personaldaten verarbeiten:
Personendaten wie Name, Geburtsdatum und Anschrift des Mitarbeiters
Kontodaten
allgemeine Steuerinformationen für die Lohnabrechnung wie Steuerklasse und Steuer-ID
Krankenversicherungs- und Sozialversicherungsnummer
Gesundheitsdaten für Krankmeldungen
Religionszugehörigkeit für die Kirchensteuer
Bei Mitarbeiterdaten, die nicht das Beschäftigungsverhältnis betreffen, muss der Arbeitsgeber die schriftliche und freiwillige Zustimmung des Mitarbeiters einholen, um sie nutzen zu dürfen. Die gilt zum Beispiel für folgende Bereiche:
Geburtstagslisten
betriebliches Gesundheitsmanagement
private Verwendung dienstlicher EDV-Geräte, Fahrzeuge und Telefone
Die Zustimmung des Arbeitnehmers ist gemäß § 26 Abs. 2 BDSG-neu nur dann freiwillig, wenn sie ihm einen Vorteil bringt oder die Interessen beider Vertragsparteien gleichgelagert sind. Die Verarbeitung von Beschäftigtendaten kann auch aufgrund von Tarifverträgen oder einer Dienst- oder Betriebsvereinbarung gestattet sein.
Datenschutz und Personalabteilung
Neben der zweckgebundenen Verwendung normiert der Datenschutz von Mitarbeiterdaten Löschungspflichten, Speicherbegrenzung und Schutzmaßnahmen. So muss der Arbeitgeber Daten löschen, wenn sie für die Verarbeitungszwecke nicht mehr relevant sind und keinen gesetzlichen Aufbewahrungspflichten unterliegen. Sind gesetzliche Speicherungspflichten und Verjährungsfristen abgelaufen, muss das Unternehmen die betroffenen Mitarbeiterdaten löschen. Es hat zudem in einem Verzeichnis alle Verarbeitungstätigkeiten, wie die Lohnverrechnung und Arbeitszeiterfassung, anzuführen.
In puncto Datenschutz muss die Personalabteilung außerdem dafür sorgen, dass die Mitarbeiterdaten der Personalakte und der Zugang zur HR-Software (Softwarelösungen für das Personalmanagement) geschützt bleiben. Als Schutzmaßnahmen sind Verschlüsselungen, Passwörter und eine Authentifizierung verpflichtend, um den Zugang zu elektronischen Personalakten zu beschränken.
Datenschutz und Mitarbeiter – die Rechte
Der nunmehr durch die DSGVO gestärkte Datenschutz für Arbeitnehmer gibt dem Mitarbeiter das Recht,
über die verarbeitende Stelle sowie den Verarbeitungszweck der Daten informiert zu werden und eine Kopie zu erhalten (Art. 15 DSGVO).
dass nicht mehr benötigte Daten gelöscht werden (Art. 17 DSGVO).
dass unrichtige Mitarbeiterdaten berichtigt werden (Art. 16 DSGVO).
Möchte der Arbeitgeber Beschäftigtendaten oder Mitarbeiterfotos auf der Webseite oder in sozialen Netzwerken veröffentlichen, kann der Mitarbeiter dies verhindern. Daten, bei denen der Beschäftigte ausdrücklich in die Veröffentlichung einwilligen muss, sind beispielsweise:
Geburtsdatum
Berufsabschluss
Konfessionszugehörigkeit
Fotos
Endet das Beschäftigungsverhältnis, sind diese zustimmungspflichtigen Daten umgehend zu löschen. Eine Löschpflicht besteht ebenfalls im Falle eines Widerrufs der Einwilligung.
Mitarbeiter und Datenschutz – die Pflichten
Mitarbeiter müssen ebenfalls die Regelungen des Datenschutzes einhalten, wenn es um die Personaldaten ihrer Kollegen geht. Sie dürfen beispielsweise Geburtstagslisten und Mitarbeiterfotos ohne Zustimmung der Betroffenen nicht verwenden. Außerdem müssen sie Passwörter, Akten und Bescheinigungen vor den Zugriffen unberechtigter Dritter schützen. Mitarbeiter können darüber hinaus vom Arbeitgeber nicht verlangen, dass dieser den vollständigen Dienstplan veröffentlicht, zumal personenbezogene Daten wie Arbeits- und Urlaubszeiten erfasst sind. Dafür ist die Zustimmung der Beschäftigten notwendig. Eine Veröffentlichung von Krankheitstagen ist ebenfalls nur in sehr eingeschränktem Ausmaß möglich – beispielsweise mit der Kennzeichnung „abwesend“ und auf jeden Fall ohne Krankheitsgrund.
Um die Mitarbeiter für einen verantwortungsvollen Umgang mit personenbezogenen Daten zu sensibilisieren, ist eine regelmäßige Schulung aller Mitarbeiter unabdingbar. Dies betrifft sowohl den Umgang mit Mitarbeiterdaten – beispielsweise im Bereich Social Media oder beim Betriebsrat – als auch den Umgang mit Kundendaten im Berufsalltag.
Artikel veröffentlicht am: 27. Juli 2018