Lesezeit: 4 Min
Was beim Datenschutz mit Beschäftigten gilt
Der Beschäftigtendatenschutz und ein mögliches Gesetz dazu stehen schon länger im Raum. Auch wenn eine Umsetzung noch final auf sich warten lässt, gibt es bereits jetzt Vorgaben im Datenschutz, die umgesetzt werden müssen im Umgang mit Mitarbeiterdaten.
Mitarbeiter und Bewerber sind Betroffene im Sinne des Datenschutzes, denn es werden personenbezogene Daten dieser natürlichen Personen verarbeitet. Daher greifen hier ebenfalls die Vorgaben im Datenschutz. Wir haben Ihnen in diesem Blogartikel einmal die wichtigsten Punkte dazu zusammengefasst, damit Ihr Unternehmen oder Ihre Organisation den Datenschutz ausreichend nach den Vorgaben von Bundesdatenschutzgesetz (BDSG) und Datenschutzgrundverordnung (DS-GVO) umsetzen kann.
Schutz personenbezogener Daten von Mitarbeitern
Personenbezogene Daten umfassen alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Im Arbeitsverhältnis sind dies beispielsweise Name, Anschrift, Kontaktdaten, Gehaltsinformationen, Gesundheitsdaten oder Leistungsbeurteilungen. Unternehmen sind verpflichtet, diese Daten vertraulich zu behandeln und nur für festgelegte, rechtmäßige Zwecke zu verarbeiten. Die Verarbeitung muss auf einer Rechtsgrundlage beruhen, wie etwa der Erfüllung eines Arbeitsvertrags oder einer gesetzlichen Verpflichtung.
Besonders zu beachten ist, dass auch Gesundheitsdaten wie Krankmeldungen, Angaben zu einer Schwerbehinderung oder unter Umständen andere relevante Einschränkungen verarbeitet werden. Dabei ist zu beachten, dass es sich dabei um personenbezogene Daten besonderer Kategorien handelt. Die generelle Erhebung dieser Daten muss also zum einen genau geprüft werden auf die rechtliche Basis der Verarbeitung und außerdem müssen bei dieser Verarbeitung weitere wichtige Vorgaben eingehalten werden.
BLOG-TIPP: PERSONENBEZOGENE DATEN BESONDERER KATEGORIEN IM DATENSCHUTZ
Datenschutz bei Bewerbungsprozessen und Personalakten
Bereits im Bewerbungsprozess fallen zahlreiche personenbezogene Daten an. Bewerberdaten dürfen nur erhoben und verarbeitet werden, soweit dies für die Entscheidung über die Begründung eines Arbeitsverhältnisses erforderlich ist. Unzulässig ist die Verarbeitung sensibler Daten ohne ausdrückliche Einwilligung, etwa Gesundheitsinformationen.
Nach Einstellung des Mitarbeiters werden die relevanten Daten in der Personalakte gespeichert. Auch hier gilt das Prinzip der Datenminimierung: Es dürfen nur solche Daten aufgenommen werden, die für das Arbeitsverhältnis notwendig sind. Die Personalakte muss sicher aufbewahrt werden, um unbefugten Zugriff zu verhindern. Zudem sind Löschfristen zu beachten, etwa bei Beendigung des Arbeitsverhältnisses.
Umgang mit Überwachung am Arbeitsplatz
Die Überwachung von Mitarbeitern, beispielsweise durch Videoaufnahmen oder die Kontrolle von E-Mails und Internetnutzung, ist nur unter strengen Voraussetzungen zulässig. Sie muss verhältnismäßig sein, einen legitimen Zweck verfolgen und die Rechte der Mitarbeiter wahren.
Eine umfassende Information der Betroffenen über Art, Umfang und Zweck der Überwachung ist gesetzlich vorgeschrieben. Zudem sind technische und organisatorische Maßnahmen (TOM) zu implementieren, um den Datenschutz sicherzustellen.
Welche personenbezogenen Daten dürfen Arbeitgeber speichern?
Arbeitgeber dürfen ausschließlich personenbezogene Daten speichern, die für das Arbeitsverhältnis erforderlich sind. Dazu zählen beispielsweise Kontaktdaten, Qualifikationen, Gehaltsinformationen oder Angaben zur Sozialversicherung.
Die Erhebung und Verarbeitung weiterer Daten ist nur zulässig, wenn eine gesetzliche Grundlage besteht oder der Mitarbeiter ausdrücklich eingewilligt hat. Sensible Daten, wie Gesundheitsinformationen, dürfen nur unter besonderen Voraussetzungen verarbeitet werden und nur zu einem notwendigen Zweck.
Aufbewahrungsfristen von Mitarbeiterdaten
Die Speicherung von Mitarbeiterdaten ist grundsätzlich auf den Zeitraum zu beschränken, der für den jeweiligen Zweck notwendig ist. Während des Arbeitsverhältnisses dürfen relevante Daten für die Personalverwaltung vorgehalten werden.
Nach Beendigung des Arbeitsverhältnisses sind gesetzliche Aufbewahrungsfristen, etwa für steuer- und sozialversicherungsrechtliche Dokumente, zu beachten. Sobald diese Fristen abgelaufen sind, müssen die Daten gelöscht oder anonymisiert werden, um den Datenschutz sicherzustellen.
Betroffenenrechte für Mitarbeiter
Mitarbeiter und Interessenten sind Betroffene im Sinne des Datenschutzes, da deren personenbezogene Daten erhoben und verarbeitet werden. Daher gelten für diese auch die sogenannten Betroffenenrechte im Datenschutz.
Betroffene besitzen umfassende Rechte hinsichtlich ihrer personenbezogenen Daten. Dazu gehören das Recht auf Auskunft über die gespeicherten Daten, das Recht auf Berichtigung unrichtiger Informationen, das Recht auf Löschung oder Einschränkung der Verarbeitung unter bestimmten Voraussetzungen sowie das Recht auf Datenübertragbarkeit. Zudem können Mitarbeiter der Verarbeitung widersprechen, sofern keine zwingenden berechtigten Gründe dagegen sprechen.
BLOG-TIPP: BETROFFENENRECHTE IM DATENSCHUTZ
Was ist bei der Verarbeitung von Bewerberdaten zu beachten?
Im Bewerbungsprozess dürfen personenbezogene Daten nur erhoben und verarbeitet werden, soweit sie für die Auswahlentscheidung erforderlich sind. Unzulässig ist die Verarbeitung sensibler Daten ohne ausdrückliche Einwilligung des Bewerbers.
Die Bewerbungsunterlagen sind vertraulich zu behandeln und dürfen nur den Personen zugänglich gemacht werden, die an der Auswahl beteiligt sind. Nach Abschluss des Auswahlverfahrens müssen nicht berücksichtigte Bewerbungsunterlagen zeitnah gelöscht werden, sofern keine Einwilligung zur längeren Speicherung vorliegt.
BLOG-TIPP: DATENSCHUTZ BEI BEWERBUNGEN FÜR UNTERNEHMEN
Die Personalakte datenschutzkonform führen
Die Personalakte ist so zu führen, dass der Zugriff ausschließlich berechtigten Personen möglich ist. Sie muss sicher aufbewahrt werden, beispielsweise in verschlossenen Schränken oder durch Zugriffsbeschränkungen bei digitalen Akten.
Nur für das Arbeitsverhältnis relevante Daten dürfen darin enthalten sein. Zudem sind Löschfristen zu beachten, um eine unnötige Speicherung personenbezogener Daten zu vermeiden.
Technische und organisatorische Maßnahmen (TOM) im Mitarbeiterdatenschutz
Technische und organisatorische Maßnahmen (TOM) dienen dem Schutz personenbezogener Daten vor unbefugtem Zugriff, Verlust oder Manipulation. Dazu zählen unter anderem Zugangskontrollen, Verschlüsselung von Daten, regelmäßige Datensicherungen sowie Schulungen der Mitarbeiter zum Datenschutz.
Die Maßnahmen müssen dem Stand der Technik entsprechen und regelmäßig überprüft sowie angepasst werden, um einen angemessenen Schutz zu gewährleisten.
Mitarbeiter über ihre Betroffenenrechte informieren
Unternehmen sind verpflichtet, ihre Mitarbeiter transparent und verständlich über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Dies geschieht häufig durch Datenschutzhinweise, Betriebsvereinbarungen oder ggf. Aushänge. Die Informationen sollten Auskunft über den Zweck der Datenverarbeitung, die Rechtsgrundlage, die Speicherdauer sowie die Rechte der Mitarbeiter enthalten.
Die Information der Betroffenen, also in diesem Fall der Mitarbeiter, muss bei der Datenerhebung erfolgen.
Alle aufgezeigten Maßnahmen betreffen Betroffene im Datenschutz gleichermaßen, d.h. diese müssen sowohl bei Mitarbeitern als auch bei Bewerbern umgesetzt werden. Bei der Umsetzung des Datenschutzes kann auch ein Datenschutzmanagementsystem gut unterstützen.
Wenn Sie eine Fragen zum Thema Datenschutz bei Mitarbeiterdaten haben, stehen wir Ihnen gerne zur Verfügung.
Das Team von Datenschutzberater.NRW bietet Organisationen unterschiedlicher Art Beratung im Datenschutz an. Mit unseren Fachleuten aus dem Bereich Datenschutz, IT und Steuerrecht erstellen wir Ihnen gerne ein individuelles Angebot für eine Datenschutz-Erstberatung, die Betreuung durch einen externen Datenschutzbeauftragten und entwickeln ein für Sie passendes Konzept. Nehmen Sie einfach Kontakt zu uns auf.
Wir betreuen Mandanten bundesweit. Lesen Sie mehr zu unserem individuellen Angebot. Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Wenn Sie sich unsicher sind, ob Sie den Datenschutz ausreichend umsetzen, dann lassen Sie sich von uns professionell beraten.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.