Was dürfen Arbeitgeber eigentlich über ihre Arbeitnehmer wissen? Damit der „gläserne Mitarbeiter“ nicht zum Standard in Unternehmen wird, haben auch Arbeitnehmer gewisse Rechte auf Datenschutz. Dieser Beitrag fasst zusammen, was Sie als Arbeitgeber rund um den Arbeitnehmerdatenschutz wissen sollten und was im Falle einer Datenschutzverletzung durch den Arbeitgeber zu tun ist.
Welche Rechte haben Arbeitnehmer bezüglich ihrer personenbezogenen Daten?
Der Arbeitnehmerdatenschutz wird insbesondere durch § 26 des BDSG geregelt, es gelten aber auch die „üblichen“ Grundsätze und Rechte aus Art. 5 und Art. 12 DSGVO. Arbeitnehmer haben den gleichen Anspruch auf Datenschutz wie jeder andere Mensch auch. Dabei ist es egal, ob es sich um einen Zwei-Mann-Betrieb oder eine große Firma handelt. Im Gegensatz zu einer normalen Privatperson, die mehr oder weniger selbst darüber entscheiden kann, wo sie welche Daten hinterlässt, ist die Erhebung von Mitarbeiterdaten aber in vielen Fällen unvermeidlich. Das beginnt schon, wenn ein Bewerber seine Unterlagen an ein Unternehmen versendet.
Beim Arbeitnehmerdatenschutz geht es also in erster Linie darum, Grenzen zu ziehen und Transparenz zu schaffen. Die Datenverarbeitung muss auch im Arbeitsverhältnis für den Betroffenen nachvollziehbar sein. Der Arbeitgeber darf Daten nur in einem Rahmen erheben, wie sie für Beginn, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich sind. Heißt: Teilen Sie dem Arbeitnehmer zu Beginn des Arbeitsverhältnisses mit, welche Daten Sie erheben, wozu Sie die erheben und wovon es abhängt, wann sie gelöscht werden.
Dazu braucht es eine schriftliche Einwilligung; Daten dürfen Sie nicht hinter dem Rücken Ihrer Leute erheben oder weitergeben.
Richten Sie technische und organisatorische Maßnahmen (TOMs) ein, um die Mitarbeiterdaten sicher aufzubewahren. Wie diese Maßnahmen aussehen sollten, habe ich in meinem Beitrag über Art. 32 DSGVO verständlich für Sie zusammengefasst. Sobald Sie die Daten nicht mehr benötigen – z.B., weil das Arbeitsverhältnis endet oder weil Sie einen Bewerber abgelehnt haben – müssen Sie die Daten entsprechend den Löschfristen löschen.
Welche Daten darf der Arbeitgeber vom Arbeitnehmer verlangen?
Grundsätzlich darf der Arbeitgeber zumindest folgende Daten erheben und verarbeiten, ohne den Arbeitnehmerdatenschutz auszureizen:
- Allgemeine Personendaten wie Name, Adresse und Geburtsdatum
- Kontodaten
- Sozial- und Krankenversicherungsnummer
- Steuer-ID
- Religion
Hier liegen völlig legitime Zwecke vor: Die bereits erwähnte Anbahnung oder Durchführung des Arbeitsverhältnisses, die Lohnbuchhaltung, die Kirchensteuer, die Abwicklung der Versicherung und die Gehaltszahlung.
Welche Daten dürfen vom Arbeitgeber nicht ohne Weiteres erhoben werden?
Informationen, die laut Art. 9 DSGVO in eine besondere Kategorie fallen – also personenbezogene Daten, aufgrund derer Ihr Mitarbeiter diskriminiert werden könnte – dürfen Sie nicht einfach so erheben:
- Informationen über die rassische oder ethnische Herkunft
- Politische Meinungen
- Genetische oder biometrische Daten
- Gesundheitsdaten
- Sexuelle Orientierung
Hier gilt für Sie als Arbeitgeber: Augen auf! Unter die Gesundheitsdaten fällt natürlich, sofern aktuell, der 3G-Status oder die Information über eine Corona-Infektion. Ich habe Ihnen in den Beiträgen „Kranke Mitarbeiter? Das zählt“ und „3G am Arbeitsplatz“ alles Wissenswerte zusammengefasst.
Außerdem greift hier § 8 des Allgemeinen Gleichbehandlungsgesetzes (AGG) . Sofern zum Beispiel die Gesundheit eine „wesentliche und entscheidende berufliche Anforderung“ darstellt, ist laut AGG eine unterschiedliche Behandlung erlaubt. Es wäre demnach etwa mit einer rechtmäßigen Begründung möglich, vor der Einstellung eines neuen Mitarbeiters Informationen über dessen Gesundheit einzuholen.
Kritisch sind außerdem:
- Das Auswerten von Mail- und Chatverläufen
- Der Betrieb von Überwachungssoftware (z.B. am Computer)
- Überwachung der Internetnutzung
Es gilt hier der Grundsatz, der sich durch den gesamten Datenschutz und so auch den Arbeitnehmerdatenschutz zieht: Nur so viele Daten erheben, wie tatsächlich nötig ist! Fragen an den Bewerber nach Lebensplanung bzw. Kinderwunsch sind zwar in der Praxis gang und gäbe, datenschutzrechtlich aber ein No-Go. Den Grund der Krankschreibung kann Ihnen Ihr Mitarbeiter freiwillig mitteilen, aber Sie dürfen keine Auskunft darüber verlangen.
Kurz gesagt: Die Erhebung aller Daten und Informationen zum Privatleben ist für Sie als Arbeitgeber tabu.
Was steht Arbeitnehmern bei einer Datenschutzverletzung durch den Arbeitgeber zu?
Bei einer Datenschutzverletzung durch Sie als Arbeitgeber ist nicht unbedingt Panik angesagt. Ich möchte hier noch einmal ausdrücklich darauf hinweisen, dass eine Datenschutzpanne differenziert zu betrachten ist.
Hat die Panne eine ernsthafte Datenschutzverletzung zur Konsequenz (z.B. mit unbefugtem Datenzugriff und Schaden für den Mitarbeiter), müssen Sie die Panne innerhalb von 72 Stunden der Aufsichtsbehörde melden. Zweitens sollten Sie den betroffenen Mitarbeiter informieren. Wie Sie die Meldepflicht abwägen und welche Informationen zu melden sind, lesen Sie ausführlich im Beitrag „Datenschutzpanne im Unternehmen? Das sind die nächsten Schritte“.
In jedem Fall müssen Sie in der Lage sein, nachzuweisen, dass Sie sich beim Datenschutz Ihrer Mitarbeiter stets an die gesetzlichen Vorgaben gehalten haben.
Im Falle einer Verletzung des Arbeitnehmerdatenschutzes müssen Sie vonseiten der Behörden mit einem Bußgeld rechnen. Kommt es für den Mitarbeiter zu einem Schaden (z.B. Rufschädigung, Diskriminierung oder psychische Belastung), ist außerdem eine Schadenersatz-Forderung denkbar.
Mein Fazit: Arbeitnehmerdatenschutz am besten in Absprache mit einem Datenschutzbeauftragten
Sie merken schon: Arbeitnehmerdatenschutz ist ein weites Feld, bei dem es in der Praxis auch gerne mal zu Unsicherheiten und Pannen aufgrund von mangelndem Wissen kommt. Es ist ganz klar, dass Arbeitgeber neben all den anderen Aufgaben auf ihrem Tisch kaum Zeit haben, sich auch noch damit gewissenhaft auseinanderzusetzen.
Ich rate Ihnen deshalb dringend, das Thema mit Ihrem Datenschutzbeauftragten anzugehen. Haben Sie noch keinen oder haben Sie das Gefühl, dass der Sie nicht ausreichend unterstützt? Dann bin ich gerne für Sie da. Auch mit kleinen Tools, um den Datenschutz auch in kleinen Betrieben mit wenigen Mitarbeitern machbar zu gestalten.