Person mit Dokumenten, Notizen und Laptop

Datenschutz bei Personaldaten

Laut DSGVO und BDSG-neu gibt es verschiedene Reglungen, die bei dem Umgang mit vertraulichen Informationen im Unternehmen beachtet werden müssen. Datenschutzexperte gibt Ihnen einen Überblick zum Thema Datenschutz von Personaldaten im Unternehmen und klärt Sie über Rechte und Pflichten von Mitarbeitern auf.

  1. Home
  2. Wissenswertes
  3. Datenschutz Blog

Unternehmen sind tagtäglich mit personenbezogenen Daten ihrer Beschäftigten konfrontiert (Personaldaten). Sie müssen im Umgang mit diesen vertraulichen Informationen den Datenschutz für Mitarbeiter laut DSGVO und BDSG-neu beachten, um nicht hohe Strafen zu riskieren. Personaldaten bezeichnen jene personenbezogenen Daten von Mitarbeitern, die der Arbeitgeber auf Basis des Beschäftigungsverhältnisses speichert und verwendet. Diese Informationen des Arbeitnehmers benötigt er, um seine arbeitsvertraglichen oder gesetzlichen Pflichten zu erfüllen.

Datenschutz von Personaldaten im Unternehmen

Beim Datenschutz für Mitarbeiter im Unternehmen müssen Arbeitgeber ebenso wie bei der Verwendung personenbezogener Kundendaten gesetzliche Vorgaben einhalten. Demnach dürfen Unternehmen Mitarbeiterdaten nur dann erheben, verarbeiten und nutzen, wenn der Arbeitnehmer eingewilligt hat oder eine gesetzliche Vorschrift (zum Beispiel Sozial- und Steuerrecht) es gestattet oder ausdrücklich verlangt. Für den Datenschutz von Personaldaten ist § 26 Abs. 1 Satz 1 BDSG-neu relevant. Aus diesem gesetzlichen Datenschutz für Arbeitnehmer ergibt sich, dass der Arbeitgeber nur jene personenbezogenen Daten erheben, verarbeiten und nutzen darf, die notwendig sind, um ein Beschäftigungsverhältnis aufzunehmen, zu beenden oder durchzuführen.

Unternehmen dürfen beispielsweise folgende Personaldaten verarbeiten:

  • Personendaten wie Name, Geburtsdatum und Anschrift des Mitarbeiters

  • Kontodaten

  • allgemeine Steuerinformationen für die Lohnabrechnung wie Steuerklasse und Steuer-ID

  • Krankenversicherungs- und Sozialversicherungsnummer

  • Gesundheitsdaten für Krankmeldungen

  • Religionszugehörigkeit für die Kirchensteuer

Bei Mitarbeiterdaten, die nicht das Beschäftigungsverhältnis betreffen, muss der Arbeitsgeber die schriftliche und freiwillige Zustimmung des Mitarbeiters einholen, um sie nutzen zu dürfen. Die gilt zum Beispiel für folgende Bereiche:

  • Geburtstagslisten

  • betriebliches Gesundheitsmanagement

  • private Verwendung dienstlicher EDV-Geräte, Fahrzeuge und Telefone

Die Zustimmung des Arbeitnehmers ist gemäß § 26 Abs. 2 BDSG-neu nur dann freiwillig, wenn sie ihm einen Vorteil bringt oder die Interessen beider Vertragsparteien gleichgelagert sind. Die Verarbeitung von Beschäftigtendaten kann auch aufgrund von Tarifverträgen oder einer Dienst- oder Betriebsvereinbarung gestattet sein.

Datenschutz und Personalabteilung

Neben der zweckgebundenen Verwendung normiert der Datenschutz von Mitarbeiterdaten Löschungspflichten, Speicherbegrenzung und Schutzmaßnahmen. So muss der Arbeitgeber Daten löschen, wenn sie für die Verarbeitungszwecke nicht mehr relevant sind und keinen gesetzlichen Aufbewahrungspflichten unterliegen. Sind gesetzliche Speicherungspflichten und Verjährungsfristen abgelaufen, muss das Unternehmen die betroffenen Mitarbeiterdaten löschen. Es hat zudem in einem Verzeichnis alle Verarbeitungstätigkeiten, wie die Lohnverrechnung und Arbeitszeiterfassung, anzuführen.

In puncto Datenschutz muss die Personalabteilung außerdem dafür sorgen, dass die Mitarbeiterdaten der Personalakte und der Zugang zur HR-Software (Softwarelösungen für das Personalmanagement) geschützt bleiben. Als Schutzmaßnahmen sind Verschlüsselungen, Passwörter und eine Authentifizierung verpflichtend, um den Zugang zu elektronischen Personalakten zu beschränken.

Datenschutz und Mitarbeiter – die Rechte

Der nunmehr durch die DSGVO gestärkte Datenschutz für Arbeitnehmer gibt dem Mitarbeiter das Recht,

  • über die verarbeitende Stelle sowie den Verarbeitungszweck der Daten informiert zu werden und eine Kopie zu erhalten (Art. 15 DSGVO).

  • dass nicht mehr benötigte Daten gelöscht werden (Art. 17 DSGVO).

  • dass unrichtige Mitarbeiterdaten berichtigt werden (Art. 16 DSGVO).

Möchte der Arbeitgeber Beschäftigtendaten oder Mitarbeiterfotos auf der Webseite oder in sozialen Netzwerken veröffentlichen, kann der Mitarbeiter dies verhindern. Daten, bei denen der Beschäftigte ausdrücklich in die Veröffentlichung einwilligen muss, sind beispielsweise:

  • Geburtsdatum

  • Berufsabschluss

  • Konfessionszugehörigkeit

  • Fotos

Endet das Beschäftigungsverhältnis, sind diese zustimmungspflichtigen Daten umgehend zu löschen. Eine Löschpflicht besteht ebenfalls im Falle eines Widerrufs der Einwilligung.

Mitarbeiter und Datenschutz – die Pflichten

Mitarbeiter müssen ebenfalls die Regelungen des Datenschutzes einhalten, wenn es um die Personaldaten ihrer Kollegen geht. Sie dürfen beispielsweise Geburtstagslisten und Mitarbeiterfotos ohne Zustimmung der Betroffenen nicht verwenden. Außerdem müssen sie Passwörter, Akten und Bescheinigungen vor den Zugriffen unberechtigter Dritter schützen. Mitarbeiter können darüber hinaus vom Arbeitgeber nicht verlangen, dass dieser den vollständigen Dienstplan veröffentlicht, zumal personenbezogene Daten wie Arbeits- und Urlaubszeiten erfasst sind. Dafür ist die Zustimmung der Beschäftigten notwendig. Eine Veröffentlichung von Krankheitstagen ist ebenfalls nur in sehr eingeschränktem Ausmaß möglich – beispielsweise mit der Kennzeichnung „abwesend“ und auf jeden Fall ohne Krankheitsgrund.

Um die Mitarbeiter für einen verantwortungsvollen Umgang mit personenbezogenen Daten zu sensibilisieren, ist eine regelmäßige Schulung aller Mitarbeiter unabdingbar. Dies betrifft sowohl den Umgang mit Mitarbeiterdaten – beispielsweise im Bereich Social Media oder beim Betriebsrat – als auch den Umgang mit Kundendaten im Berufsalltag.

Artikel veröffentlicht am: 27. Juli 2018

Bitte beachten Sie: Allgemeine Beiträge können eine datenschutzrechtliche Beratung im Einzelfall nicht ersetzen. Für die Richtigkeit und Vollständigkeit unsere Blogbeiträge können wir keine Gewähr übernehmen. Inhalte beziehen sich immer auf die Rechts- und Faktenlage zum Zeitpunkt der Veröffentlichung und sind deshalb zum Zeitpunkt des Aufrufs möglicherweise nicht mehr aktuell.

In den von uns erstellten Artikeln, Leitfäden, Checklisten, Whitepaper und anderen Beiträgen wird aus Gründen der besseren Lesbarkeit das generische Maskulinum verwendet. Wir möchten betonen, dass sowohl weibliche als auch anderweitige Geschlechteridentitäten dabei ausdrücklich mitgemeint sind, soweit es für die Aussage erforderlich ist.

Aktuelle Beiträge zum Thema Datenschutz

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr