Lesezeit: 4 Min
Welche Daten dürfen Chefs von Mitarbeitern sammeln?
Ein aktuelles Beispiel aus der Wirtschaft zeigt wie es nicht geht.
Die Zeiten, in denen der Chef alles über seine Mitarbeiter wusste, das Privatleben Auswirkungen auf die Arbeitswelt hatte und der Arbeitgeber über jeden Schritt des Arbeitnehmers Bescheid wusste sind seit den 80er Jahren Geschichte – sollte man meinen.
Wie ein aktuelles Beispiel aus der Wirtschaft zeigt, ist es gar nicht so unüblich, dass noch immer personenbezogene Daten über Mitarbeiter gesammelt, verwertet und gespeichert werden, die über das erlaubte Maß hinausgehen. Datenschutzberater.NRW klärt auf, welche Daten auf keinen Fall von Unternehmen über Ihre Mitarbeiter gespeichert werden dürfen und worauf Sie achten sollten, wenn Sie personenbezogene Daten von Ihren Angestellten verarbeiten.
Modelabel speichert Mitarbeiterdaten in großem Stil
Wie kürzlich durch die Medien berichtet, hatte ein schwedisches Modelabel persönliche Daten über seine Mitarbeiter gesammelt. Laut dem Beauftragten für Datenschutz in Hamburg, wurden Daten von Mitarbeitern durch Vorgesetzte erfasst und gespeichert, die auch Gesundheitsdaten und Familienstreitigkeiten umfassten.
Durch Zufall waren Mitarbeiter auf diese frei zugänglichen Daten gestoßen. Die Datenschutzbehörde Hamburg hat laut Medienberichten Anklage erhoben. Die Daten stammen von Mitarbeitern aus Deutschland und Österreich.
Auch wenn das Beispiel drastisch ist, es zeigt, dass manche Unternehmen die Rechte Ihrer Mitarbeiter im Datenschutz noch immer nicht ganz ernst nehmen.
Personenbezogene Daten der Mitarbeiter
Wieder möchten wir klarstellen, dass die Erhebung von personenbezogenen Daten grundsätzlich vom Gesetz her verboten ist – auch hier gilt: nur Daten, die benötigt werden, um gesetzliche Richtlinien zu erfüllen, die Sie benötigen, um den Mitarbeiter zu beschäftigen und jene, für die er sein Einverständnis gibt, dürfen verarbeitet werden.
Wie überall im Datenschutz, so gelten auch bei den personenbezogenen Daten der Mitarbeiter in einem Unternehmen die gleichen Betroffenenrechte der Datenschutzgrundverordnung (DS-GVO):
- Prinzip der Datenminimierung
- Recht auf Vergessenwerden (Recht auf Löschung)
- Informationsrechte / Informationspflichten für Betroffene
- Recht der Datenübertragbarkeit
- Recht auf Berichtigung
- Recht auf Einschränkung der Verarbeitung
Eins muss jedem Arbeitgeber und -nehmer deutlich werden: Es gibt im Arbeitsrecht keinen speziellen Bereich, der sich auf Datenschutz bezieht. Aber es gibt einen Arbeitnehmerdatenschutz, welche die Persönlichkeitsrechte des Arbeitnehmers schützen soll. Alle weiteren Regelungen sind nicht in einem Gesetz geregelt, sondern finden sich wieder in anderen Bereichen, wie dem Bundesdatenschutzgesetz (BDSG), dem Telekommunikationsgesetz usw.
Kontrolle ist nicht immer rechtens – zumindest nicht heimlich
Viele Firmeninhaber oder Vorgesetzte denken leider immer noch, dass Sie heimlich nachvollziehen dürfen, was der Mitarbeiter während der Arbeitszeit treibt. Die Betonung liegt hier in erster Linie auf heimlich. Abgesehen von der Frage des Arbeitsklimas, steht es natürlich jedem Unternehmer frei, seine Mitarbeiter und sein Handeln während der Arbeitszeit zu kontrollieren. Er darf es aber nicht ohne sein Wissen tun.
Wenn ein Mitarbeiter also auf dem Firmen-PC private Daten abruft, diesen also für private Zwecke nutzt, kann der Chef dabei nicht heimlich auf dessen Zugang zugreifen. Die Mitarbeiter müssen darüber aufgeklärt werden. Der Vorgesetze darf, je nach Arbeitsvertrag und Vereinbarung durchaus alle E-Mails, die von dem Firmen-Postfach geschrieben werden, sogar mitlesen. Personenbezogene Daten dürfen dabei aber nicht gespeichert werden. Auch das Auswerten von Firewalls in der Firma muss genau geprüft werden.
In jedem Fall sollte der Betriebsrat immer in die Entscheidungen einbezogen werden, welche Kontrollorganismen eingeführt werden und wann man zum Beispiel E-Mails oder ähnliches „mitliest“. Klar ist: hierfür bedarf es immer einer spezielle Vereinbarung und die Rücksprache mit einem Datenschutzbeauftragten und einem Anwalt. Beachtet man dies nicht, ist das Vorgehen mit dem Risiko einer Straftat verbunden.
Auch wenn der Chef das Recht auf Kontrolle seiner Arbeitnehmer hat: Eine heimliche Datenüberwachung (z.B. über Telefonnutzung, PC-Nutzung) ist nicht gestattet!
Auch eine Überwachungskamera muss klar gekennzeichnet sein, denn auch Bildaufnahmen sind personenbezogene Daten. Die Richtlinien zur Speicherung der Aufnahmen müssen in jedem Fall eingehalten werden.
Achtung bei IT-Sicherheit
Vergessen Sie nicht: Personenbezogene Daten müssen entsprechend sicher aufbewahrt und verschlüsselt verschickt werden. Senden Sie zum Beispiel personenbezogene Daten (Krankmeldungen, Personalbogen etc.) an Ihren Steuerberater, dann muss dies zwingend verschlüsselt passieren. Denken Sie auch daran, dass Hardware wie Faxgeräte oder Drucker auch über interne Speicher verfügen (siehe auch Datenvernichten aber richtig).
Fazit: Gleiche Rechte für Alle
Die Rechte, die Sie Ihrem Kunden, Lieferanten und Interessenten einräumen, müssen Sie auch Ihren Mitarbeitern zugestehen. Neben dem Vertrauensverhältnis, dass für die Zusammenarbeit immens wichtig ist, muss sich jeder Arbeitgeber an das geltende Recht und somit an die Einhaltung der EU-Datenschutzgrundverordnung halten. Egal wie gerne mancher Chef den gläsernen Angestellten hätte – bei personenbezogenen Daten räumt das Gesetz hier keine Freiräume ein.
Je nach Branche ist es aber natürlich schon von Gesetzes wegen notwendig, dass mehr personenbezogene Daten erfasst werden als üblich. Welche Daten Sie erfassen dürfen oder sogar müssen, sollten Sie regelmäßig von einem Fachmann überprüfen lassen – schon allein, um dem Mitarbeiter zu zeigen, dass der Datenschutz bei Mitarbeiterdaten in Ihrem Unternehmen eine wichtige Rolle spielt. Auch ein Mitarbeiter ist ein Betroffener im Bereich Datenschutz. Somit bestehen auch hier gleiche Pflichten gegenüber dem Betroffenen, wie in jedem anderen Bereich Ihres Unternehmens.
Wie kann ich sicher gehen, dass ich gesetzeskonform handle?
In Firmen, in denen von den gesetzlichen Vorgaben her eine Datenschutzbeauftragter berufen werden muss, prüft eben genau jener auch die Einhaltung der DSGVO im Bereich Mitarbeiter. Hier kann auch ein externer Datenschutzbeauftragter extrem hilfreich sein. Er beurteilt neutral und mit einem Blick von außen, ob die Vorgaben im Unternehmen eingehalten werden.
Der Vorteil bei einem durch einen Datenschutzberater gestellten externen Datenschutzbeauftragten ist auch, dass Sie sich gezielt einen Fachmann suchen können, der sich sowohl in Ihrer Branche auskennt als auch Fachkenntnisse in der IT-Sicherheit mitbringt.
Um den Datenschutz im Unternehmen auch und gerade gegenüber Ihrer Mitarbeiter einzuhalten, bedarf es verschiedener komplexer Vorgaben und ggf. spezieller Einverständniserklärungen der betroffenen Angestellten. Der Datenschutz im Unternehmen muss vor allem gegenüber den Mitarbeitern eingehalten werden. Wir von Datenschutzberater.NRW helfen Ihnen gerne dabei den Datenschutz praxisnah und zielorientiert bei Ihnen vor Ort umzusetzen.
Gerne prüfen wir den Datenschutz in Ihrem Unternehmen auf die Einhaltung der DSGVO und des BDSG. Wir stellen bei Bedarf einen externen Datenschutzbeauftragten, führen eine Datenschutz-Erstberatung, ein Datenschutz-Audit durch und ergänzen unsere Arbeit, wenn gewünscht auch durch eine Beratung in IT-Sicherheit und GoBD-Beratung.
Wir sind Datenschutzberater für Köln, Bonn, Düsseldorf und ganz NRW. Kontaktieren Sie uns gerne, wenn wir Ihnen weiterhelfen können oder nutzen Sie unser Angebot zum FREECALL.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.