Beschäftigtendatenschutz

Von der Bewerbung bis zum Ausscheiden

 

Auch die Beschäftigten eines Unternehmens haben Anspruch darauf, dass ihre Daten vor unbefugtem Zugriff geschützt werden. Und das betrifft sogar schon Bewerber, ob sie nun eingestellt werden oder nicht.

Für wen gilt der Beschäftigten-Datenschutz?

Die Datenschutzregeln gelten von der Entstehung (Bewerbung) über das aktive Bestehen bis zum Ende (Kündigung, Rente) des Arbeitsverhältnisses. Dabei müssen Sie den erweiterten Beschäftigtenbegriff nach § 26 Absatz 8 BDSG-neu anwenden. Die Datenschutzbestimmungen gelten demnach unter anderem für

  • Arbeitnehmer,
  • Leiharbeiternehmer,
  • Auszubildende,
  • Heimarbeiter,
  • Freiwillige,
  • Rehabilitanden,
  • arbeitnehmerähnliche Personen,
  • Bewerber und
  • ehemalige Beschäftigte.

Welches sind die rechtlichen Grundlagen für den Beschäftigten-Datenschutz?

Bis zum Inkrafttreten der DSGVO galt der § 32 des Bundesdatenschutzgesetzes (BDSG) für den Beschäftigten-Datenschutz. Seit dem 25. Mai 2018 finden Sie die europaweit geltenden Regelungen in Artikel 88 DSGVO und die für Deutschland ergänzend geltenden Vorgaben in § 26 BDSG-neu. Ein eigenes Beschäftigten-Datenschutzgesetz gibt es nach wie vor nicht.
Artikel 4 Nummer 1 DSGVO definiert personenbezogene Daten als alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, also einer bestimmten Person zugeordnet werden können.

Generelle Regel: Nicht mehr Daten als nötig erheben

Auch im Zusammenhang mit Bewerbungen und Arbeitsverhältnis müssen Sie die Regeln der Datensparsamkeit beachten. Daher dürfen Sie nur solche personenbezogenen Daten ohne ausdrückliche Erlaubnis des Bewerbers bzw. Mitarbeiters erheben, verarbeiten und nutzen, die im Zusammenhang mit dem Bewerbungs- bzw. Anstellungsverhältnis tatsächlich erforderlich sind. Das sind nach § 26 BDSG-neu Daten,

  • ohne die ein Arbeitsverhältnis nicht begründet oder beendet werden kann (z. B. Name, aktuelle Anschrift, Geburtsdatum),
  • die für die Betriebsabläufe erforderlich sind (Kontoverbindung, Steuer-ID etc.),
  • die der Aufdeckung von Straftaten dienen (§ 26 Absatz 1 S. 2 BDSG),
  • zu deren Erhebung Sie als Arbeitgeber gesetzlich verpflichtet sind, etwa Angaben zur Schwerbehinderung.

Wenn Sie hingegen diese Daten zu anderen Zwecken verwenden, etwa das Geburtsdatum in den hauseigenen Geburtstagskalender übertragen wollen – was zur Durchführung des Arbeitsverhältnisses nicht notwendig ist – , oder wenn Sie Daten erheben, die überhaupt nicht für das Arbeitsverhältnis benötigt werden (z. B. Hobbies), muss Ihr Mitarbeiter schriftlich sein Einverständnis erklären. Bei Mitarbeiterumfragen müssen Sie die Anonymität der Datenerhebung garantieren (etwa durch Einschaltung eines neutralen Dienstleisters) und auf eine freiwillige Teilnahme setzen, denn solche Umfragen sind für die Durchführung des Beschäftigungsverhältnisses nicht erforderlich.

Datenschutz im Bewerbungs- und Einstellungsverfahren

Wie gehe ich mit Bewerberdaten um?

Bewerber sind Personen, die zwar personenbezogene Daten bei Ihnen einreichen, um sich auf eine Stelle bewerben, jedoch (noch) keine Mitarbeiter Ihres Unternehmens sind. Die Bewerbung dient als Einverständniserklärung, dass der Bewerber Ihnen die darin enthaltenen Daten zur Verfügung stellen wollte, Sie benötigen also keine zusätzliche Einverständniserklärung für deren Verarbeitung. Diese personenbezogenen Daten dürfen Sie so lange speichern, bis Rechtsstreitigkeiten im Besetzungsverfahren (z. B. AGG-Diskriminierungsklagen) ausgeschlossen sind. Als Richtwert gelten hierbei drei bis sechs Monate nach Bewerbungsschluss.

Dokumentieren Sie zu Ihrer eigenen Sicherheit, welche Daten Sie zu welchem Zweck speichern und wann sie – im besten Falle automatisch - gelöscht werden. Sollte doch ein Rechtsstreit entstehen, dürfen Sie die Daten bis zu dessen Ende speichern.

Hinweis

Von der Nutzung von Skype für Vorstellungsgespräche raten Datenschutzexperten dringend ab, da die 100prozentige Microsoft-Tochter dem Zugriff der US-Behörden unterliegt und die Datenweitergaberegelungen intransparent sind. Videoaufzeichnungen solcher Gespräche sind grundsätzlich verboten.

Abgelehnte und absagende Bewerber haben einen Anspruch darauf, dass Sie ihre Bewerbungsdaten umgehend sperren, sobald sie nicht mehr im Auswahlverfahren stehen, und nach Ablauf der Einspruchsfristen datenschutzkonform löschen bzw. vernichten. Beschreiben Sie diesen Prozess im Verzeichnis von Datenverarbeitungstätigkeiten und dokumentieren Sie, wie Sie mit den Daten wann vorgegangen sind.

Möchten Sie die Bewerberdaten in einen Talentpool aufnehmen, um vielleicht später nochmals darauf zurückzugreifen und dem Bewerber eine andere Stelle anbieten als die, auf die er sich beworben hat, benötigen Sie seine Erlaubnis zur Datenspeicherung. Hierfür müssen Sie über die Dauer der Speicherung und die Möglichkeiten zum späteren Widerruf der Speichererlaubnis informieren. Prüfen Sie dabei, wie lange eine solche Kontaktaufnahme wahrscheinlich ist – zumeist ist der Aussagegehalt jahrealter Bewerbungsunterlagen nicht mehr ausreichend für weitere Stellenbesetzungen, so dass die Daten dann auch gelöscht werden können.

TIPP

Sammeln und protokollieren Sie alle Bewerberdaten geordnet und systematisch so, dass es Ihnen keine Schwierigkeiten bereitet, sie später zu berichtigen, zu löschen oder Auskünfte über ihren Verbleib zu erteilen. Hierbei ist Ihnen das Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DSGVO eine gute Hilfe, auch wenn Sie weniger als 250 Mitarbeiter haben – ab dieser Mitarbeiteranzahl ist das Verzeichnis ohnehin vorgeschrieben.

Sonderfall: Bewerberdaten in Konzernen

In Konzernen muss zudem der Austausch von Bewerber- und Beschäftigtendaten zwischen Konzernteilen bzw. Zentralabteilungen beispielsweise durch Konzernbetriebsvereinbarungen nach Artikel 88 Absatz 2 DSGVO transparent geregelt werden, um eine rechtliche Grundlage zu haben. Im Vorfeld von Unternehmensverkäufen reicht eine anonymisierte und damit datenschutzkonforme Datenauskunft zu den Beschäftigten vollkommen aus.

Elektronische Bewerbungssysteme in der Cloud

Für Unternehmen, die Bewerbungssysteme auf Cloud-Basis nutzen, kommen allerdings neue Herausforderungen zu. Sofern die Systeme mitsamt den sehr persönlichen Bewerberdaten außerhalb des EWG, der Schweiz oder eines „Angemessenheitsstaates“ nach Artikel 45 DSGVO gehostet werden, müssen Sie einen Controller-to-Processor-Standardvertrag der EU gemäß Artikel 46 Absatz 2 Buchstabe a DSGVO mit dem jeweiligen Anbieter abschließen sowie eine Datenschutz-Folgeabschätzung nach Artikel 35 DSGVO durchführen, um sich abzusichern.

Diese Abschätzung, ob die Vertraulichkeit der Bewerberdaten gewährleistet ist, sollte insbesondere bei Cloud-Anbietern aus den USA unbedingt durchgeführt werden, weil die US-Behörden nicht der DSGVO unterliegen und grundsätzlich auf alle bei US-amerikanischen Unternehmen gespeicherten Daten zugreifen dürfen, selbst wenn deren Rechenzentren in Europa stehen. Prinzipiell sollten Sie deshalb vermeiden, Bewerberdaten auf Servern US-amerikanischer Unternehmen zu speichern. Lässt sich eine solche Speicherung nicht umgehen, sollten Sie eine vollständige Verschlüsselung auf Anwendungsebene einrichten, bei denen die Ver- und Entschlüsselungscodes bei Ihnen oder beim Hersteller der Datenbank liegen, um die Bewerberdaten vor dem Zugriff der US-Behörden zu schützen.

Welche persönlichen Daten dürfen im Bewerbungsprozess erfragt werden?

Zulässig ist die Erfassung von

  • Name
  • Einer Kontaktmöglichkeit (Anschrift oder Telefonnummer oder E-Mail-Adresse)
    Nur bei bestimmten Tätigkeiten erforderlich und damit zulässig ist die Frage nach
  • Fahrerlaubnis (nur wenn betrieblich erforderlich)
  • Sprachkenntnissen, ggf. mit Kenntnishöhe
  • Vorstrafen (nur im vorgesehenen Tätigkeitsbereich)
  • Pfändungen und Lohnabtretungen (nur bei Vertrauenspersonen mit erheblichem finanziellem Spielraum)
    Nicht erforderlich und damit nicht zulässig sind Fragen nach
  • Familienplanung
  • Geburtsort
  • Geburtsname
  • Alter
  • Nationalität

Sie dürfen sich im Bewerbungsgespräch den Personalausweis des Bewerbers vorlegen lassen, aber keine Kopie hiervon anfertigen.

TIPP

Überlegen Sie vor Beginn der Bewerbungsgespräche, welche personenbezogenen Daten Sie tatsächlich für die Begründung des Arbeitsverhältnisses benötigen. Erstellen Sie einen abschließenden Fragenkatalog und lassen Sie ihn von Ihrem Datenschutzbeauftragten auf die Datenschutzkonformität hin überprüfen. Weichen Sie später im Gespräch nicht von diesen Fragen ab.

Datenschutz im laufenden Beschäftigungsverhältnis

Ihre Schutz- und Informationspflichten

Informieren Sie Ihre Mitarbeiter von sich aus darüber, welche Daten Sie zu welchem Zweck wo und wie lange speichern und welche Widerspruchsrechte sie haben. Auch der Umgang mit sensiblen Daten im Unternehmen sollte dargestellt werden (Artikel 13 DSGVO). Erstellen Sie hierzu einen Informationsbogen, dessen Kenntnisnahme Sie sich schriftlich bestätigen lassen können. Sie können auch eine Rahmenvereinbarung mit dem Betriebsrat schließen, in der die Informationspflichten allgemein festgelegt werden, und sich dann in den konkreten Fällen darauf berufen. Stellen Sie Ihren Mitarbeitern die erforderlichen Informationen jederzeit zugänglich per Intranet, Arbeitsvertrags-Zusatz oder Aushang zur Verfügung.
Bei allen Datenerhebungen müssen die Beschäftigten im Vorhinein über folgende Aspekte informiert werden:

  • Welche Daten werden konkret erhoben,
  • zu welchem Zweck werden sie erhoben,
  • wie lange werden sie gespeichert und
  • wohin werden sie übermittelt?

Die Einwilligung in die Datenerhebung und –nutzung muss auf informierter und freiwilliger Basis erfolgen. § 26 Absatz 2 BDSG-neu schreibt vor, dass eine Einwilligung im Arbeitsverhältnis dann freiwillig gegeben wird, wenn

  • ein rechtlicher oder wirtschaftlicher Vorteil für den Beschäftigten erreicht wird oder
  • Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen.

Zudem muss die Einwilligung in Schriftform vorliegen und der Beschäftigte schriftlich zum einen über den Zweck der Datenverarbeitung und zum anderen über sein Widerrufsrecht informiert werden.

Senden Sie interne Dokumente wie etwa Schichtpläne oder Termine per Messengerdienst oder Outlook an das private Mobiltelefon des Mitarbeiters, benötigen Sie hierfür ebenfalls die schriftliche Zustimmung des Empfängers. Da hier abmahnfähige Vorgänge erfolgen, sollten Sie bzw. Ihr Datenschutzbeauftragter Verfahren etablieren, die einen Fremdzugriff auf die Daten sicher ausschließen – denn bei privaten Smartphones haben oft auch Familienangehörige Zugriff auf das Gerät. Der Messenger-Dienst darf auf keinen Fall die beruflichen Kontakte auf dem Smartphone auslesen und auf Server außerhalb der EU übertragen.

Fazit: Sie als Arbeitgeber haben für den Schutz Ihrer Beschäftigtendaten zu sorgen und müssen hierzu eventuell vor Gericht Rechenschaft ablegen.

Das Auskunftsrecht Ihres Mitarbeiters

Ihr Mitarbeiter darf jederzeit, auch nach Beendigung des Arbeitsverhältnisses, eine Betroffenenanfrage an Sie stellen und hat ein Recht auf wahrheitsgemäße Auskunft, welche Daten Sie als Arbeitgeber über ihn gespeichert haben (Artikel 15 DSGVO). Er darf dabei erfragen,

  • zu welchem Zweck seine Daten gespeichert werden,
  • wer darauf Zugriff hat,
  • wie lange die Daten voraussichtlich gespeichert bleiben,
  • woher nicht selbst übermittelte Daten stammen und
  • ob es im Unternehmen ein Profiling oder KI-Vorgänge gibt.

Entdeckt er hierbei falsche, widerrechtlich erhobene oder veraltete Daten über sich, müssen diese auf seinen Antrag hin gelöscht, berichtigt oder gesperrt werden. Die sichere Vernichtung von Daten, die nicht mehr benötigt werden (Löschkonzept), ist wie das Speicherkonzept und das Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DSGVO zur Dokumentation der Datenverarbeitungsvorgänge ein Thema für Ihren Datenschutzbeauftragten.

Datenschutz in der Personalarbeit

Welche persönlichen Daten darf die Personalabteilung nutzen?

Es sind immer wieder Berichte über Fälle zu lesen, in denen höchst private Schnappschüsse oder Kommentare in Social-Media-Netzwerken zur Nichteinstellung von Bewerbern oder zur Entlassung von Beschäftigten geführt haben. Die Informationsbeschaffung der Arbeitgeber in Profilen bei privaten sozialen Netzwerken (Twitter, Facebook, …) und auch das „Googeln“ von Bewerbern lässt sich nur schwer als „unbedingt erforderlich“ begründen, daher sollen Personalverantwortliche darauf grundsätzlich verzichten. Bei beruflichen Netzwerken hingegen (XING, LinkedIn…) wird davon ausgegangen, dass sie zur Darstellung der beruflichen Qualifikationen ihrer Mitglieder bestimmt sind und die Informationen bewusst präsentiert werden, daher können diese Angaben auch für die Bewerberauswahl genutzt werden.

In Personalangelegenheiten gilt weiterhin das Direkterhebungsgebot aus § 4 Absatz 2 BDSG: „Personenbezogene Daten sind beim Betroffenen zu erheben.“ - insbesondere bei Bewerberdaten. Daher dürfen Sie auch keine ehemaligen Arbeitgeber anrufen, um Angaben zu verifizieren oder Hintergründe zu erfragen.
Tatsächlich im Unternehmen beschäftigte Mitarbeiter haben allerdings auch eine Loyalitätspflicht: Öffentlich zugängliche Postings, die das Unternehmen oder den Vorgesetzten verunglimpfen oder falsche Behauptungen verbreiten, können zu Abmahnungen oder sogar Kündigungen führen.

Regelmäßige Kontrollen und Schulungen sind vorgeschrieben

Alle Beschäftigten im Personalbereich sowie alle Führungskräfte mit Personalverantwortung müssen mindestens einmal im Jahr vom Datenschutzbeauftragten eine Schulung zu Datenschutzaspekten erhalten. Außerdem sind Personaldokumente physisch wie elektronisch sicher unter Verschluss zu halten, wobei der Kreis der Personen, die darauf Zugriff haben, möglichst klein sein muss. Im Unternehmen muss ein stets aktuelles Verzeichnis von Datenverarbeitungstätigkeiten vorhanden sein, das beschreibt, welche Daten besonders sensibel sind, wie sie geschützt werden und wer das wann zuletzt kontrolliert hat.

Dienstanweisung zum Datenschutz

Arbeiten mehrere Personen in datenschutzrelevanten Bereichen, etwa im Personalbereich, hat sich das Verfassen einer Dienstanweisung zum Umgang mit personenbezogenen Daten bewährt. Darin könnte beispielsweise geregelt sein

  • die Wahl und die Verwaltung von Passwörtern für HR-Verwaltungsprogramme,
  • das Verwenden von Bildschirmsperren bei Abwesenheit,
  • die Aufbewahrung von Schlüsseln zu Büro und Aktenschränken mit sensiblem Inhalt,
  • der Umgang mit Akten und Dokumenten,
  • die Belehrung auf das Datengeheimnis,
  • die Vorgaben der Schweigepflicht.

Hier kann der Datenschutzbeauftragte bei der Dokumentenerstellung und den entsprechenden Schulungen helfen.

Externe Verarbeitung von Personaldaten

Arbeiten Sie mit einem externen Lohnbüro oder einer Steuerberatung zusammen, so lassen Sie sich eine schriftliche Zusicherung geben, dass auch dort die Datensicherheit gewährleistet ist, die Mitarbeiter in Datenschutzbelangen geschult wurden und die Weitergabe an unberechtigte Dritte ausgeschlossen ist. Um nicht in Haftung genommen zu werden, schließen Sie mit dem Dienstleister einen Datenverarbeitungsvertrag ab.

Wie gehe ich mit typischen Fällen im betrieblichen Alltag um?

Hier haben wir Ihnen einige typische, immer wieder auftretende Fälle zusammengestellt, die in der betrieblichen Praxis zu Datenschutzfragen führen.

Wann dürfen Mitarbeiter der Datenveröffentlichung widersprechen?

Manche Mitarbeiterdaten, etwa die Kontaktdaten der Vertriebsmitarbeiter oder des Datenschutzbeauftragten, dürfen auf der Webseite des Unternehmens und auf dessen Briefpapier veröffentlicht werden – dies ist „zur Erfüllung der Arbeitspflicht“ erforderlich. Für nicht erforderliche Angaben wie Angaben zum beruflichen Werdegang, die Erstellung eines Namensschildes z. B. für Verkäufer oder für die Veröffentlichung eines Mitarbeiterfotos des Mitarbeiters benötigen Sie dessen Zustimmung. Diese Zustimmung soll freiwillig und außerhalb des Arbeitsvertrages erfolgen und kann jederzeit folgenlos widerrufen werden. Widerruft der Mitarbeiter seine Zustimmung, dann müssen die entsprechenden Daten entfernt werden. Der Mitarbeiter darf wegen seines Widerrufs nicht abgemahnt oder anders sanktioniert werden.

Datenschutz bei ausscheidenden Mitarbeitern

Wie gehe ich vor, wenn ein Mitarbeiter das Unternehmen verlässt?

Endet der Arbeitsvertrag des Mitarbeiters, löschen Sie umgehend sämtliche nicht mehr benötigten personenbezogenen Daten über ihn und entfernen Sie seine Kontaktdaten und ggf. sein Foto aus allen Materialien des Unternehmens. Auch für ehemalige Arbeitnehmer gilt das „Recht auf Vergessenwerden“ nach Artikel 1 DSGVO. Wenn für einzelne Daten Aufbewahrungspflichten bestehen (Lohndaten, Sozialkassendaten, Arbeitszeitnachweise etc.), können Sie sie bis zu deren Ende aufbewahren, ohne dass der Mitarbeiter widersprechen kann. Wenn Sie beim Ausscheiden des Mitarbeiters kein Zeugnis ausgestellt haben, sollten Sie die dafür erforderlichen Daten ein Jahr lang aufbewahren (Anspruchsfrist) und danach vernichten. Zudem dürfen Sie ohne Erlaubnis des ausgeschiedenen Arbeitnehmers keine Auskünfte über ihn erteilen – auch nicht an andere Arbeitgeber, falls sich der Mitarbeiter dort beworben hat.

Wichtig

Sie dürfen auch dann keine Personalakten über die Aufbewahrungsfristen hinaus aufbewahren, wenn Sie den ausgeschiedenen Mitarbeiter später sachgrundlos befristet wieder einstellen möchten und das zeitlich unbegrenzte Vorbeschäftigungsverbot aus § 14 Absatz 2 Satz 2 TzBfG beachten müssen. In einem solchen Fall müssen Sie den Bewerber zu seiner Vorbeschäftigung befragen und dessen Antworten sorgfältig dokumentieren, um die gelöschte Personalakte zu „ersetzen“.

Was kostet der Verstoß gegen den Beschäftigten-Datenschutz?

Die DSGVO sieht in Artikel 83 Absatz 5 Buchstabe d für Verstöße gegen den Arbeitnehmer-Datenschutz Bußgelder in Höhe von vier Prozent des Jahresumsatzes bzw. 20 Millionen Euro vor, je nachdem, welche Summe höher ist. Hinzu kommen beträchtliche Klagekosten vor dem Arbeitsgericht, wenn der Prozess verloren wird. Es lohnt sich daher, frühzeitig auf den Datenschutz zu achten. Zusätzlich können Schadenersatzforderungen Ihres Mitarbeiters für die Verletzung seines Persönlichkeitsrechts nach § 42 BDSG-neu auf Sie zukommen.

Services und Leistungen zum Beschäftigtendatenschutz

  • Erstgespräch zur Orientierung
  • Beratung zu allen Themen des Datenschutzes
  • Review des vorhandenen Datenschutzkonzepts
  • Empfehlungen zur Vorgensweise
  • Anfertigung Datenschutz-Roadmap
  • Begleitung der Umsetzungsmaßnahmen
  • Beantworten von Betroffenenanfragen

Wir freuen uns auf Ihr Projekt!

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.

CORTINA CONSULT DURCHSUCHEN

Generic selectors
Exact matches only
Search in title
Search in content
Search in posts
Search in pages

Ihr Ansprechpartner

Externer Datenschutzbeauftragter Osnabrück - Jörg Ter Beek

Jörg ter Beek
+49 251 2979474-1
jtb@cortina-consult.de

Schreiben Sie uns:
0251 29794740 Schreiben Sie uns Remote-Desktop download