Arbeitnehmerdatenschutz:
Das sollten Sie darüber wissen

Aufgrund der Entwicklungen im Bereich des Datenschutzes sah sich der deutsche Gesetzgeber veranlasst, den Konflikt zwischen der Erfassung (teilweise sensibler) personenbezogener Daten und dem grundrechtlich garantierten Recht auf informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG) zu lösen.

Strenge Vorschriften sollen Bußgelder und andere Sanktionen für Datenschutzverstöße normieren (Art. 83 DSGVO). Der beabsichtigte Schutz des Arbeitnehmers, der sich in diesem Zusammenhang wohl in einer schwächeren Position befindet, soll daher sicherstellen, dass der Arbeitgeber personenbezogene Daten des Arbeitnehmers nur in einem begrenzten und kontrollierten Umfang erhebt und verarbeitet.

Unsere Anwälte beraten Sie bei der Umsetzung der Datenschutzbestimmungen. Die Weiterentwicklung des Datenschutzes macht Ihre bisherige IT-Infrastruktur nicht obsolet, sondern es erfordert lediglich eine sorgfältige Analyse, um festzustellen, an welchen Stellen Verbesserungsbedarf besteht. Unsere Anwälte prüfen auch, wie schnell und effizient dies umgesetzt kann.

Darüber hinaus zeigen wir Ihnen die notwendigen Vorkehrungen auf, um künftig Lücken im Datenschutz zu vermeiden und einen gesetzeskonformen Umgang mit Daten zu gewährleisten. Dieser Service ist unerlässlich, wenn es um die Erfassung und Speicherung von Mitarbeiterdaten und die Nutzung privater Geräte für berufliche Zwecke geht.

Ein ebenso wichtiges Thema ist die Kontrolle von Mitarbeiterdaten, da diese nur in begrenztem Umfang zulässig ist. So dürfen beispielsweise Internet- und Telefonaufzeichnungen nur dann kontrolliert werden, wenn ein konkreter Anlass dazu vorliegt.

Die Einschätzung unserer Fachanwälte kann hier verlässliche Informationen liefern und so den rechtlichen Rahmen für Ihre Maßnahmen schaffen. Auch die IT-Technik muss in diesem Zusammenhang den gesetzlichen Standards entsprechen. Mit Hilfe der arbeits- und dienstrechtlichen Expertise unserer Anwälte kann darüber hinaus der besondere Zusammenhang zwischen dem Datenschutz und einschlägigen Betriebs-, Tarif- oder Dienstvereinbarungen festgestellt und damit angemessen berücksichtigt werden.

Das zentrale Regelwerk ist die allgemeine Datenschutzverordnung (DSGVO), die in allen EU-Ländern gleichermaßen gilt.

Darüber hinaus gilt in Deutschland zudem das Bundesdatenschutzgesetz (BDSG). Die GDPR, die seit Mai 2018 in Kraft ist, ersetzt und ergänzt teilweise die Bestimmungen des Bundesgesetzes. Die Verordnung regelt, was bei der Nutzung personenbezogener Daten einer Person nach den Grundsätzen der Datenverarbeitung erlaubt ist.

Diese Datenverarbeitungsgrundsätze sind in Art. 5 DSGVO normiert:

• Die Rechtmäßigkeit der Verarbeitung: Wurden die Daten korrekt verarbeitet? Die Daten müssen rechtmäßig, nach Treu und Glauben und in einer für die betroffene Person transparenten Weise verarbeitet werden.
• Rechtmäßigkeit der Datenerhebung: Wurden die Daten auf rechtmäßige Weise erhoben?
• Transparenz: Ist Ihr Arbeitgeber transparent in Bezug auf den Grund für die Erhebung und Verarbeitung Ihrer Daten?
• Minimierung der Datenerhebung: Hat Ihr Arbeitgeber mehr Daten erhoben als nötig? Warum hat er scheinbar zusätzliche Daten erhoben? Angemessenheit, Relevanz und Beschränkung auf das, was für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
• Richtigkeit: Sind die von Ihrem Arbeitgeber erhobenen Daten korrekt und aktuell? Die Daten müssen richtig sein und erforderlichenfalls auf den neuesten Stand gebracht werden. Der Arbeitgeber muss alle angemessenen Maßnahmen ergreifen, um sicherzustellen, dass unrichtige personenbezogene Daten in Bezug auf die Zwecke, für die sie verarbeitet werden, unverzüglich gelöscht oder berichtigt werden.
• Korrekte Aufbewahrung der Daten: Die Daten müssen in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht, und zwar nicht länger, als es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist.
• Integrität und Vertraulichkeit: Die Verarbeitung erfolgt in einer Weise, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung durch geeignete technische oder organisatorische Maßnahmen.

Durch eine sorgfältige Analyse der Datenschutz-Grundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) stellen unsere Anwälte sicher, dass Mandanten genau wissen, was nach deutschem Datenschutzrecht von ihnen erwartet wird.

Artikel 4 DSGVO enthält die relevanten Definitionen im Datenschutzrecht gemäß der Verordnung. Dieser Abschnitt ist als Ausgangspunkt für die Anwendung der datenschutzrechtlichen Vorschriften und Konsequenzen zu sehen. In diesem Abschnitt werden die Begriffe „für die Datenverarbeitung Verantwortlicher“, „Auftragsverarbeiter“ und „Datenempfänger“ definiert.

Artikel 4 DSGVO definiert auch den Begriff „personenbezogene Daten“. Personenbezogene Daten im Sinne der Verordnung sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Eine identifizierbare Person kann direkt oder indirekt identifiziert werden, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, einer Kennnummer, Standortdaten, einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

Als personenbezogene Daten gelten:

• Name, Alter, Anschrift,
• Geburtsdatum,
• Kontaktinformationen (Telefonnummer, E-Mail-Adresse),
• Nummer des Personalausweises,
• Angaben zur Gesundheit,
• Familienstand,
• Religion,
• schulische Ausbildung,
• Berufserfahrung.

„Verarbeitung“ im Sinne von Art. 4 DSGVO bedeutet „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung“.

Hinweis: Die DSGVO beruht auf dem Grundsatz des Verbots der Datenverarbeitung mit Erlaubnisvorbehalt. Das bedeutet, dass die Datenverarbeitung generell verboten ist, unter bestimmten Umständen jedoch erlaubt ist. Daher kann eine andere Person Ihre Daten nicht auf die oben genannte Weise verwenden, ohne vorher Ihre Erlaubnis einzuholen. Die Erlaubnis kann erteilt werden:

• mit Einwilligung der betroffenen Person (Art. 6 Abs. 1 lit. a DSGVO) oder
• durch den Erhalt einer allgemeinen Erlaubnis (Art. 6 Abs. 1 lit. b, c, d, e, f DSGVO).

Tipp: Ersteres steht wegen der Widerrufbarkeit auf einem wackligeren rechtlichen Fundament. Es sollte daher versucht werden, die Rechtmäßigkeit der Datenverarbeitung, zumindest zusätzlich, auf die allgemeinen Erlaubnistatbestände des Art. 6 lit. b-f DSGVO zu stützen. Diese sind:

• Erfüllung von (vor-)vertraglichen Verpflichtungen,
• Wahrung der berechtigten Interessen,
• Erfüllung gesetzlicher Verpflichtungen,
• Schutz von lebenswichtigen Interessen,
• Schutz der öffentlichen Interessen und Ausübung öffentlicher Gewalt.

Sollten Sie eventuelle Fragen bezüglich Ihrer Situation haben so zögern Sie nicht, sich direkt an uns zu wenden.

Unternehmen überprüfen sich selbst und die von ihnen verwendeten Systeme regelmäßig auf ihre Übereinstimmung mit der geltenden Rechtslage.

Die Zusammenarbeit mit einem Experten für Datenschutzrecht stellt sicher, dass die entsprechenden Kontrollmechanismen im Unternehmen vorhanden sind. Darüber hinaus wird durch die Sicherstellung der richtigen Maßnahmen innerhalb des Unternehmens verhindert, dass in Zukunft rechtliche Probleme in diesem Bereich auftreten.

Was die Datenschutzrechte der Mitarbeiter betrifft, so beginnt es mit der richtigen Datenschutzerklärung für Mitarbeiter und Bewerber.

Hier ist es ratsam, Formulierungen zu wählen, die einerseits allen gesetzlichen Anforderungen entsprechen und andererseits klar und verständlich sind. Eine verwirrende oder zu komplexe Terminologie kann zu zukünftigen Schwierigkeiten führen. Die Neuformulierung solcher Erklärungen kann zudem zeitaufwendig sein, weshalb es besser ist, es gleich beim ersten Mal richtig zu machen. Daher ist es ratsam, die Erklärungen gemeinsam mit einem erfahrenen Anwalt zu überprüfen, um sicherzustellen, dass diese korrekt sind.

Aufgrund ihrer regelmäßigen Erhebung und Verarbeitung erfordern die folgenden Bereiche einen sorgfältigen Umgang mit personenbezogenen Daten:

• Daten von Bewerbern,
• Daten für die Personalakte (siehe § 26 BDSG),
• die Weitergabe von Mitarbeiterdaten an Dritte,
• Gesundheitsdaten von Mitarbeitern,
• Unternehmenskommunikation (insbesondere Telefon und E-Mail),
• Nutzung von Daten im Internet (Stichwort: Firmenhomepage; Karriereplattformen).

Wenn Sie weitere Fragen hierzu haben und eine persönliche Rechtsberatung wünschen, zögern Sie nicht, uns über das unten stehende Online-Formular zu kontaktieren. Wir freuen uns auf die Zusammenarbeit mit Ihnen.