Datenschutz am Arbeitsplatz – Umgang mit Beschäftigtendaten
In einer zunehmend digitalisierten Welt ist der Schutz von Daten zu einem der wichtigsten Anliegen geworden, insbesondere wenn es um sensible Informationen von Beschäftigten geht. Beschäftigte sind nach § 26 Abs. 8 BDSG neben den typischen Arbeitnehmer:innen, unter anderem Bewerber:innen, Auszubildende sowie arbeitnehmerähnliche Personen. Unternehmen stehen vor der Herausforderung, die Privatsphäre ihrer Mitarbeiter zu respektieren und gleichzeitig die Daten effektiv zu verwalten, um den reibungslosen Betrieb zu gewährleisten. Dabei müssen Betriebe die Datenschutzgrundverordnung (DSGVO) beachten sowie das Bundesdatenschutzgesetz (BDSG), welches den Datenschutz auf nationaler Ebene regelt während die DSGVO den Mitgliedsstaaten der EU einen Umsetzungsspielraum gewährt.
Die Verarbeitung personenbezogener Daten ist dem Grunde nach verboten, es sei denn, sie kann auf eine Rechtsgrundlage gestützt werden und damit ausnahmsweise legitimiert werden. Personenbezogene Daten sind alle Informationen, die eine natürliche Person identifizierbar machen.
Welche personenbezogenen Daten von Beschäftigten im Rahmen des Beschäftigungsverhältnisses verarbeitet werden dürfen, lässt sich mit Blick auf den Art. 88 Abs. 1 DSGVO i.V.m. § 26 Abs. 1 BDSG beantworten. Danach ist die Verarbeitung nur zulässig, wenn diese für die Geschäftsabläufe unbedingt erforderlich sind (Datenminimierungspflicht). Dies wäre der Fall, wenn die Verarbeitung für die Entscheidung über die Begründung eines Arbeitsverhältnisses (Bewerbungsunterlagen), nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung (Name, Anschrift, Bankverbindung, etc.) oder zur Beendigung bzw. zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs– oder Dienstvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich sind. Bei der sogenannten Erforderlichkeitsprüfung wird dann zwischen dem Interesse des Unternehmens und dem allgemeinen Persönlichkeitsrecht des Beschäftigten abgewogen. Beschäftigte müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zum Zeitpunkt der Erhebung darüber informiert werden, welche Daten erhoben werden, wie sie verwendet werden.
Sollen personenbezogene Daten erhoben, gespeichert oder genutzt werden, die nicht zur Durchführung des Vertrages nötig sind, ist die ausdrückliche Einwilligung der Beschäftigten einzuholen. Beispiele sind die Nutzung von Mitarbeiterfotos im Internet, die Nutzung von Spähsoftware oder der Fingerprint. Die Einwilligung sollte gesondert eingeholt werden, da sie freiwillig zu erfolgen hat und die Unterschrift im direkten Zusammenhang mit dem Abschluss eines Arbeitsvertrages nicht auf eine selbstbestimmte Entscheidung hindeutet.
Das Unternehmen hat gem. Art. 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten anzulegen, in dem die Verarbeitung personenbezogener Daten und der Umgang damit dokumentiert wird. Ab 20 Beschäftigten ist ein Datenschutzbeauftragter zu bestellen und bei der Aufsichtsbehörde anzumelden. Darüber hinaus sollten Unternehmen angemessene Sicherheitsmaßnahmen implementieren, um die Integrität und Vertraulichkeit der Daten zu gewährleisten, einschließlich Verschlüsselung, Zugriffskontrollen und regelmäßiger Sicherheitsüberprüfungen.
Dem Unternehmen drohen bei Datenschutzverstößen nicht nur Bußgelder, sondern auch Schadensersatzforderungen der Beschäftigten. Art. 82 DSGVO stellt eine eigene Haftungsgrundlage dar, nach der die Betroffenen den Schaden geltend machen können.
Insgesamt ist der verantwortungsvolle Umgang mit Beschäftigtendaten von entscheidender Bedeutung, um das Vertrauen der Mitarbeiter zu wahren und rechtliche Risiken zu minimieren. Indem Unternehmen transparente Richtlinien entwickeln, Daten minimieren und sicher aufbewahren, die Einwilligung der Mitarbeiter einholen, Schulungen durchführen und die Einhaltung überwachen, können sie sicherstellen, dass sie die Datenschutzbedürfnisse ihrer Mitarbeiter effektiv erfüllen und gleichzeitig die Integrität ihres Unternehmens bewahren.