Beschäftigtendatenschutz: Das regelt das neue BDSG

18.04.2023 | J. Morelli – Online-Redaktion, Forum Verlag Herkert GmbH

articleimage
© magele-picture – stock.adobe.com
Die EU-Datenschutzverordnung (DSGVO) enthält keine eigenständigen Regelungen zum Beschäftigtendatenschutz. Vielmehr ist es durch die Öffnungsklausel jedem Mitgliedstaat überlassen, auf nationaler Ebene gesetzliche Regelungen einzuführen. Das hat Deutschland getan und entsprechende Vorschriften in das neugefasste Bundesdatenschutzgesetz (BDSG) aufgenommen. Dennoch ist die Umsetzung in der Praxis oft mit zusätzlichen Hürden verbunden. Vor allem im Einzelfall bleiben oft nur frühere Erfahrungswerte. Welche Schutzziele und Sicherheitsschwachstellen sind vor allem beim Beschäftigtendatenschutz wichtig?

Inhaltsverzeichnis

  1. Bewerber und Beschäftigte – personenbezogene Daten, wohin das Auge schaut
  2. Zweckbindung im Beschäftigtendatenschutz
  3. Regelungen zum Beschäftigtendatenschutz nach BDSG-neu
  4. Umsetzung des Beschäftigtendatenschutzes – worauf müssen Unternehmen achten?

Bewerber und Beschäftigte – personenbezogene Daten, wohin das Auge schaut

Unternehmen müssen sich um den Datenschutz ihrer Mitarbeiterinnen und Mitarbeiter kümmern. Doch was genau umfasst der Beschäftigtendatenschutz und worauf sollten Unternehmen achten?

Lebenslauf, Arbeitszeugnisse und Anschreiben: Bereits im Bewerbungsgespräch werden diverse persönliche Informationen übermittelt, gespeichert und ggf. weiterverarbeitet. Name, Alter, Anschrift, schulischer und beruflicher Werdegang sind nur einige der äußert sensiblen Daten, die zwischen Bewerbern und Unternehmen ausgetauscht werden.

Ist das Recruiting erfolgreich, kommen noch Gesundheitsdaten, Mobil- und Festnetzanschlüsse, Gehaltsinformationen etc. hinzu. All diese Informationen sind genau genommen Daten der Beschäftigten, aber eben auch unternehmenseigene Daten. Dem zufolge fallen sie auch nicht unter spezielle Regelungen, sondern sind stets Schutzziel des unternehmensweiten Datenschutzes. Dabei unterliegen die Unternehmen nicht nur einer gesetzlich vorgeschrieben, sondern auch ethischen Pflicht, diese zu schützen.

→ Personenbezogene Mitarbeiterdaten unterliegen stets der DSGVO, ganz gleich ob sie automatisiert oder nicht automatisiert verarbeitet, strukturiert oder unstrukturiert gespeichert werden.

Beschäftigtendatenschutz stellt die Mitarbeiter nicht nur passiv in den Mittelpunkt, sondern auch aktiv. Demnach ist nicht nur entscheidend, wie mit den Daten der Mitarbeiter im Unternehmen selbst umgegangen wird, sondern auch, wie die Mitarbeiter mit Unternehmensdaten umgehen.

Zweckbindung im Beschäftigtendatenschutz

Gleichwie bei jedweder Art von erhobenen Daten steht auch im Kontext des Beschäftigtendatenschutzes der Zweck im Vordergrund. Egal auf welche Art und Weise Daten verarbeitet werden, es muss ein formulierter Grund oder Zweck vorliegen (Zweckbindung). Diese formulierten Ziele mit der Fragestellung „die Daten werden erhoben, um/weil“ müssen stets für den Zweck legitim sein. Für das Beispiel der Mitarbeiterdaten heißt das: Nur für deren Interesse zulässige Zwecke dürfen die personenbezogenen Daten ermittelt und weiterverarbeitet werden. Als Beispiel: Die Kalender der Beschäftigten sollte nur zu dem Zweck der Termin- und Urlaubsplanung eingesehen werden können.

Regelungen zum Beschäftigtendatenschutz nach BDSG-neu

Wie und in welchem Umfang die einzelnen Mitgliedstaaten den Beschäftigtendatenschutz regeln, ist gemäß DSGVO ihnen selbst überlassen (Öffnungsklausel), solange Artikel 88 Abs. 2 DSGVO berücksichtigt wird. Damit ergeben sich folgende Vorschriften, die dem Schutz der personenbezogenen Daten von Beschäftigten dienen undeinzuhalten sind: 

  • Daten von Arbeitnehmern dürfen zum Zweck des Beschäftigtenverhältnisses verarbeitet werden, wenn die Verarbeitung für die Entscheidung über die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses notwendig ist. 
  • Zur Aufdeckung von Straftaten dürfen personenbezogene Beschäftigtendaten nur verwertet werden, wenn der Verdacht konkret begründet werden kann oder die Verwertung der Daten der Aufdeckung der Straftat dient. Dabei darf das schutzwürdige Interesse des Arbeitnehmers nicht überwiegen. 
  • Wenn der Arbeitnehmer in die Verarbeitung seiner persönlichen Daten einwilligt, muss für die Beurteilung der Freiwilligkeit der Einwilligung die im Beschäftigungsverhältnis bestehende Abhängigkeit des Beschäftigten berücksichtigt werden.
  • Der Arbeitgeber muss den Arbeitnehmer schriftlich über den Zweck der Datenverarbeitung und sein Widerrufsrecht aufklären. 
  • Die Verarbeitung besonderer Kategorien personenbezogener Daten ist zulässig, wenn sie der Ausübung von Rechten oder der Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes dienen. 
  • Die Verwertung personenbezogener Daten ist auf Grundlage von Kollektivvereinbarungen zulässig, sofern Artikel 88 Abs. 2 DSGVO beachtet wird. 
  • Die vorangegangenen Regelungen gelten auch, wenn die personenbezogenen Daten von Beschäftigten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. 

Beschäftigte im Sinne des BDSG-neu

Im neuen BDSG (§ 26 Abs. 8 BDSG-neu) werden im Gegensatz zum alten Bundesdatenschutzgesetz (§ 32 BDSG) auch Leiharbeitnehmer berücksichtigt, was „Beschäftigte“ im Sinne des Gesetzes wie folgt definiert: 

  • Arbeitnehmer
  • Leiharbeitnehmer
  • Mitarbeiter, die zu ihrer Berufsbildung beschäftigt werden (z. B. Azubis oder Duale-Studenten – auch Werkstudenten unter diese Definition).
  • Rehabilitanden nach Wiedereingliederung
  • Beschäftigte in anerkannten Behindertenwerkstätten oder ähnlichen sozialen Einrichtungen
  • Freiwillige („FSJler“), die den Jugendfreiwilligendienst oder den Bundesfreiwilligendienst leisten.
  • Arbeitnehmerähnliche Personen wie in Heimarbeit Beschäftigte und ihnen Gleichgestellte
  • Beamte, Richter, Soldaten sowie Zivildienstleistende 
  • Bewerber für ein Beschäftigungsverhältnis
  • Personen, deren Beschäftigungsverhältnis beendet ist

Produktempfehlung

Selbst erfahrenen Datenschutzprofis fällt es schwer, den Überblick über alle Neuerungen, die sich im durch die DSGVO und das BDSG-Neu ergeben haben, zu behalten. Deshalb haben Experten das Werk "Datenschutz 2024" konzipiert. Dieses Buch enthält alle relevanten Gesetzesgrundlagen und -änderungen zum Thema Datenschutz mit den Schwerpunkten DSGVO und BDSG-Neu. 

Direkt einsetzbar aufgrund einer Vielzahl von Checklisten, Merkblättern und Nachweisen unterstützt die "Dokumentenmappe: Beschäftigtendatenschutz unkompliziert und schnell den Datenschutz in der Personalarbeit.

Umsetzung des Beschäftigtendatenschutzes – worauf müssen Unternehmen achten?

Damit Unternehmen stets auf der rechtsicheren Seite sind, keine Bußgelder oder einen Vertrauensverlust bei ihren Mitarbeiterinnen und Mitarbeitern riskieren müssen u.a. folgende Maßnahmen ergriffen werden:

  • Benennung eines betrieblichen Datenschutzbeauftragten
  • Erstellung eines Verarbeitungsverzeichnisses
  • Technische und organisatorische Datenschutzmaßnahmen (IT-Sicherheit, Cybersecurity, Informationssicherheitsmanagement o. Ä.)
  • Einwilligung der Belegschaft für die Verarbeitung persönlicher Daten
  • Unterweisung der Mitarbeiterinnen und Mitarbeiter im Umgang mit personenbezogenen Daten.

Der Großteil dieser Maßnahmen sollte bereits ohne Fokus auf den Beschäftigtendatenschutz gang und gäbe in einem Unternehmen mit einer gewissen Angestelltenzahl sein.

Quelle: Bundesgesetzblatt