Wollen Sie sich als Arbeitnehmer darüber informieren, welche Grundsätze Ihr Arbeitgeber in Bezug auf den Datenschutz einhalten muss? Oder möchten Sie als Arbeitgeber überprüfen, worauf genau Sie achten müssen, um die Vorgaben der Datenschutzgrundverordnung (DS-GVO) korrekt anzuwenden?
Der Datenschutz hat im Arbeitsrecht eine zentrale Bedeutung, da Arbeitgeber und Arbeitnehmer im Rahmen des Beschäftigungsverhältnisses eine Vielzahl personenbezogener Daten austauschen. Die Einhaltung der DS-GVO sowie des Bundesdatenschutzgesetzes (BDSG) ist hierbei von besonderer Relevanz. Dieser Artikel beleuchtet die wichtigsten Aspekte des Datenschutzes im Arbeitsverhältnis und beantwortet häufig gestellte Fragen.
In diesem Artikel erläutern wir die Grundsätze des Datenschutzes im Arbeitsverhältnis (1.), welche Rechte und Pflichten Arbeitgeber haben (2.), wie die Datenschutzkontrolle im Unternehmen organisiert wird (3.), was genau die Aufgaben eines Datenschutzbeauftragten sind und welche Rechte Arbeitnehmer haben (5.).
Abschließend werden häufig gestellte Fragen (6.) und relevante Rechtsprechung (7.) behandelt.
1. Grundsätze des Datenschutzes im Arbeitsverhältnis
Die DS-GVO ist die wichtigste Rechtsvorschrift im Bereich des Datenschutzes in der Europäischen Union. Sie trat am 25. Mai 2018 in Kraft und harmonisiert den Datenschutz in der EU. Die DS-GVO legt fest, wie personenbezogene Daten verarbeitet werden dürfen und welche Rechte die betroffenen Personen haben.
Das BDSG ergänzt und konkretisiert die Regelungen der DS-GVO in Deutschland. Es enthält spezifische Bestimmungen, die die Umsetzung der DS-GVO im deutschen Recht regeln. Das BDSG betrifft vor allem Bereiche, in denen die DS-GVO den nationalen Gesetzgebern Gestaltungsspielraum lässt, und stellt sicher, dass Datenschutzvorschriften in Deutschland einheitlich angewendet werden.
Die Verarbeitung personenbezogener Daten im Arbeitsverhältnis muss stets auf einer rechtlichen Grundlage basieren. Diese Grundlagen können die Einwilligung des Betroffenen, die Erfüllung eines Vertrags, die Einhaltung rechtlicher Verpflichtungen oder berechtigte Interessen des Arbeitgebers sein.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4 Nr. 1 DS-GVO). Dazu gehören Name, Adresse, Geburtsdatum, E-Mail-Adresse und IP-Adresse.
Im datenschutzrechtlichen Sinne umfasst der Begriff “Verarbeitung” jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, unabhängig davon, ob diese mithilfe automatisierter Verfahren ausgeführt werden oder nicht (Art. 4 Nr. 2 DS-GVO).
Dazu zählen das Erheben, Erfassen, Organisieren, Ordnen, Speichern, Anpassen oder Verändern, Auslesen, Abfragen, Verwenden, Offenlegen durch Übermittlung, Verbreiten oder jede andere Form der Bereitstellung, sowie der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung von Daten.
Wann ist eine Datenverarbeitung rechtmäßig?
Eine Datenverarbeitung ist rechtmäßig, wenn sie auf einer der in der DS-GVO genannten Rechtsgrundlagen beruht, beispielsweise der Einwilligung der betroffenen Person, der Erfüllung eines Vertrags oder der Erfüllung einer rechtlichen Verpflichtung.
2. Rechte und Pflichten von Arbeitgebern
Speicherung und Verarbeitung von Daten:
Arbeitgeber dürfen personenbezogene Daten von Arbeitnehmern nur in dem Umfang speichern und verarbeiten, wie es zur Durchführung des Arbeitsverhältnisses erforderlich ist.
Dazu gehören beispielsweise:
- Stammdaten: Name, Adresse, Geburtsdatum, Kontaktdaten
- Arbeitsdaten: Arbeitszeiten, Urlaubsanträge, Krankheitstage
- Leistungsdaten: Beurteilungen, Zielvereinbarungen
Offenlegung von Daten:
Arbeitgeber müssen Arbeitnehmer über die Art der erhobenen Daten, den Zweck der Datenverarbeitung und die Dauer der Speicherung informieren. Dies geschieht in der Regel durch Datenschutzerklärungen oder Betriebsvereinbarungen.
Aufbewahrung von Daten:
Die Aufbewahrungsdauer von Daten richtet sich nach gesetzlichen Vorgaben. Bewerbungsunterlagen dürfen nach Abschluss des Auswahlverfahrens nur für einen kurzen Zeitraum aufbewahrt werden, es sei denn, der Bewerber hat einer längeren Speicherung zugestimmt. Abmahnungen sind nach einer bestimmten Frist aus der Personalakte zu entfernen, sofern keine neuen relevanten Vorfälle eintreten.
3. Datenschutzkontrolle im Unternehmen
Zur Sicherstellung des Datenschutzes im Unternehmen sind folgende Maßnahmen und Kontrollen relevant:
- Datenschutzfolgenabschätzung: Bei besonders risikoreichen Datenverarbeitungen ist eine Datenschutzfolgenabschätzung durchzuführen, um die Risiken für die betroffenen Personen zu bewerten und geeignete Schutzmaßnahmen zu ergreifen (Art. 35 DS-GVO).
- Datenschutzschulungen: Regelmäßige Schulungen und Sensibilisierungsmaßnahmen für Mitarbeiter sind essenziell, um das Bewusstsein für Datenschutzfragen zu stärken und sicherzustellen, dass alle Mitarbeiter die Datenschutzbestimmungen kennen und einhalten.
- Interne Audits: Regelmäßige Datenschutz-Audits helfen, die Einhaltung der Datenschutzvorgaben zu überprüfen und etwaige Schwachstellen im Datenschutzmanagement zu identifizieren und zu beheben.
- Technische und organisatorische Maßnahmen (TOMs): Unternehmen müssen geeignete technische und organisatorische Maßnahmen umsetzen, um den Schutz der personenbezogenen Daten zu gewährleisten. Dies umfasst unter anderem Zugriffskontrollen, Verschlüsselung, Pseudonymisierung und regelmäßige Sicherheitsüberprüfungen.
4. Was ist ein Datenschutzbeauftragter?
Mit der DS-GVO wurde das Konzept des Datenschutzbeauftragten auf europäischer Ebene verankert. Unternehmen sind unter bestimmten Voraussetzungen verpflichtet, einen Datenschutzbeauftragten zu bestellen (Art. 37 DS-GVO). Diese Pflicht tritt in Kraft, wenn die Kerntätigkeiten des Unternehmens eine umfangreiche Verarbeitung besonderer personenbezogener Daten umfassen oder wenn die Datenverarbeitung besonders einschneidend für die Betroffenen ist.
a) Voraussetzungen für die Bestellung eines Datenschutzbeauftragten
Unternehmen müssen einen betrieblichen Datenschutzbeauftragten bestellen, wenn:
- Die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird.
- Die Kerntätigkeiten des Unternehmens die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten beinhalten.
- Datenverarbeitungen durchgeführt werden, die besonders tief in die Rechte und Freiheiten der Betroffenen eingreifen.
Die Bestimmungen zum Datenschutzbeauftragten der DS-GVO werden durch das BDSG ergänzt (§ 38 BDSG). Nach dem BDSG ist ein Datenschutzbeauftragter zu benennen, wenn:
- in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
- Verarbeitungen erfolgen, die einer Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) unterliegen (das bedeutet, die für die betroffenen Personen besonders riskant sind, zum Beispiel: Videoüberwachung öffentlich zugänglicher Bereiche).
- Verarbeitungen erfolgen, die geschäftsmäßig zum Zweck der (gegebenenfalls anonymisierten) Übermittlung oder für Zwecke der Markt- oder Meinungsforschung dienen.
Am häufigsten ist der erste Fall einschlägig. Diese Regelung wird weit ausgelegt und ist bereits erfüllt, wenn mindestens 20 Mitarbeiter an Bildschirmarbeitsplätzen arbeiten oder auf gespeicherte Daten zugreifen. Die anderen Fällen greifen unabhängig von der Anzahl der mit der Datenverarbeitung befassten Personen.
Unternehmen, die dieser Pflicht unterliegen, können auch einen gemeinsamen Datenschutzbeauftragten für die gesamte Unternehmensgruppe benennen. Dieser muss für Aufsichtsbehörden, Betroffene und Mitarbeiter gut erreichbar sein.
b) Interner vs. externer Datenschutzbeauftragter
Unternehmen können wählen, ob sie einen internen Mitarbeiter zum Datenschutzbeauftragten ernennen oder einen externen Datenschutzexperten beauftragen. Dabei muss sichergestellt werden, dass der interne Datenschutzbeauftragte keinem Interessenskonflikt unterliegt – beispielsweise als Mitarbeiter der IT-Abteilung oder der Personalabteilung. Ein Datenschutzbeauftragter muss über umfassende Kenntnisse im Datenschutzrecht und in der IT-Sicherheit verfügen, wobei die Anforderungen je nach Komplexität der Datenverarbeitung und der Größe des Unternehmens variieren.
c) Aufgaben des Datenschutzbeauftragten
Der Datenschutzbeauftragte hat mehrere wichtige Aufgaben, die sicherstellen, dass Datenschutzvorschriften eingehalten werden (Art. 39 DS-GVO). Diese Aufgaben umfassen:
- Information und Beratung: Der Datenschutzbeauftragte informiert und berät den Verantwortlichen (zum Beispiel: den Arbeitgeber) und die Mitarbeiter, die mit der Datenverarbeitung betraut sind, über ihre Pflichten gemäß der DS-GVO und anderen relevanten Datenschutzgesetzen (zum Beispiel: BDSG).
- Überwachung der Einhaltung: Er überwacht die Einhaltung der DS-GVO und anderer Datenschutzgesetze sowie der internen Datenschutzstrategien des Unternehmens. Dazu gehört die Festlegung von Verantwortlichkeiten, die Sensibilisierung und Schulung der Mitarbeiter sowie die Überprüfung der Datenschutzmaßnahmen.
- Beratung bei Datenschutz-Folgenabschätzung: Auf Anfrage berät der Datenschutzbeauftragte bei der Durchführung von Datenschutz-Folgenabschätzungen und überwacht deren Durchführung gemäß Artikel 35 der DS-GVO.
- Zusammenarbeit mit der Aufsichtsbehörde: Der Datenschutzbeauftragte arbeitet eng mit der Datenschutzaufsichtsbehörde zusammen.
- Anlaufstelle für die Aufsichtsbehörde: Er fungiert als Ansprechpartner für die Aufsichtsbehörde in Fragen zur Datenverarbeitung und berät gegebenenfalls zu weiteren Themen.
Ein Datenschutzbeauftragter darf nicht wegen der Erfüllung seiner Aufgaben benachteiligt oder abberufen werden. Obwohl der Datenschutzbeauftragte eine Überwachungsfunktion hat, bleibt das Unternehmen selbst für die Einhaltung der Datenschutzvorschriften verantwortlich. Der Datenschutzbeauftragte muss ordnungsgemäß und frühzeitig in alle datenschutzrelevanten Entscheidungen einbezogen werden. Bei der Bestellung eines Datenschutzbeauftragten sind dessen Kontaktdaten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen.
d) Rechtliche Konsequenzen
Die vorsätzliche oder fahrlässige Versäumnis, einen Datenschutzbeauftragten zu bestellen, stellt eine bußgeldbewehrte Ordnungswidrigkeit dar.
Bußgelder können bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen, je nachdem, welcher Betrag höher ist (Art. 83 DS-GVO).
5. Rechte der Arbeitnehmer
a) Auskunftsrecht
Arbeitnehmer haben gemäß Art. 15 DS-GVO das Recht, von ihrem Arbeitgeber eine Bestätigung darüber zu verlangen, ob personenbezogene Daten über sie verarbeitet werden. Ist dies der Fall, haben sie Anspruch auf umfassende Auskunft über die verarbeiteten Daten. Dies beinhaltet:
- Zwecke der Datenverarbeitung: Der Arbeitgeber muss darlegen, zu welchen Zwecken die Daten verarbeitet werden.
- Kategorien der verarbeiteten Daten: Es muss transparent gemacht werden, welche Kategorien personenbezogener Daten verarbeitet werden.
- Empfänger: Die Arbeitnehmer haben das Recht zu erfahren, an welche Dritten oder Kategorien von Dritten ihre Daten weitergegeben wurden oder werden.
- Speicherdauer: Der Arbeitgeber muss mitteilen, für welche Dauer die personenbezogenen Daten gespeichert werden oder nach welchen Kriterien diese Dauer bestimmt wird.
- Rechte der Betroffenen: Arbeitnehmer müssen informiert werden über ihre Rechte auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Widerspruch sowie über ihr Beschwerderecht bei einer Aufsichtsbehörde.
Diese Auskünfte sind dem Arbeitnehmer grundsätzlich unentgeltlich zur Verfügung zu stellen. Ein Arbeitgeber kann jedoch im Falle offenkundig unbegründeter oder exzessiver Anfragen eine angemessene Gebühr verlangen oder die Bearbeitung der Anfrage verweigern.
b) Recht auf Berichtigung und Löschung
Nach Art. 16 DS-GVO haben Arbeitnehmer das Recht, unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Zudem können sie gemäß Art. 17 DS-GVO die Löschung ihrer personenbezogenen Daten fordern, wenn einer der folgenden Gründe vorliegt:
- Unzulässige Verarbeitung: Die Verarbeitung der Daten erfolgte unrechtmäßig.
- Zweckentfall: Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
- Widerruf der Einwilligung: Der Arbeitnehmer hat seine Einwilligung, auf die sich die Verarbeitung stützte, widerrufen und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Widerspruch gegen die Verarbeitung: Der Arbeitnehmer hat gemäß Art. 21 DS-GVO Widerspruch gegen die Verarbeitung eingelegt und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor.
- Erfüllung einer rechtlichen Verpflichtung: Die Löschung der Daten ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
Das Recht auf Löschung besteht jedoch nicht uneingeschränkt. Es gibt Ausnahmen, wie zum Beispiel, wenn die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
c) Recht auf Widerspruch
Arbeitnehmer haben nach Art. 21 DS-GVO das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihrer personenbezogenen Daten Widerspruch einzulegen. Dies gilt insbesondere, wenn die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. e (öffentliche Aufgabe) oder lit. f (berechtigte Interessen) DS-GVO erfolgt. Der Arbeitgeber darf die Verarbeitung der personenbezogenen Daten dann nicht mehr fortführen, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten des Arbeitnehmers überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Zusammenfassend stehen Arbeitnehmern umfassende Rechte zu, die sicherstellen sollen, dass ihre personenbezogenen Daten korrekt und rechtmäßig verarbeitet werden. Arbeitgeber sind verpflichtet, diese Rechte zu respektieren und entsprechende Maßnahmen zu ergreifen, um die Einhaltung der Datenschutzbestimmungen zu gewährleisten.
6. Häufig gestellte Fragen zum Datenschutz im Arbeitsrecht
a) Welche Daten darf der Arbeitgeber speichern?
Der Arbeitgeber darf nur solche Daten speichern, die für die Durchführung des Arbeitsverhältnisses erforderlich sind. Dies umfasst insbesondere Stammdaten, Arbeits- und Leistungsdaten.
b) Welche Daten muss man als Arbeitgeber offenlegen?
Arbeitgeber müssen Arbeitnehmer über die Erhebung und Verarbeitung ihrer personenbezogenen Daten umfassend informieren. Dies geschieht durch Datenschutzerklärungen oder Betriebsvereinbarungen.
c) Wie verhält es sich mit persönlichen E-Mails?
Persönliche E-Mails dürfen vom Arbeitgeber grundsätzlich nicht überwacht werden, es sei denn, es bestehen klare Regelungen und der Arbeitnehmer wurde zuvor informiert.
d) Wie lange dürfen Bewerbungsunterlagen oder Abmahnungen aufbewahrt werden?
Bewerbungsunterlagen sollten nach Abschluss des Auswahlverfahrens gelöscht werden, sofern keine Einwilligung des Bewerbers zur längeren Aufbewahrung vorliegt. Abmahnungen sind nach Ablauf einer bestimmten Frist aus der Personalakte zu entfernen, sofern keine neuen Vorfälle eintreten.
e) Wie kann man sensible Daten in einem Arbeitsverhältnis schützen?
Der Schutz sensibler Daten erfordert technische und organisatorische Maßnahmen wie Verschlüsselung, Zugangskontrollen und Schulungen der Mitarbeiter zum Datenschutz.
f) Wie behandelt man persönliche Daten richtig?
Persönliche Daten sind stets vertraulich zu behandeln. Arbeitgeber müssen sicherstellen, dass nur befugte Personen Zugriff auf diese Daten haben und die Verarbeitung im Einklang mit den datenschutzrechtlichen Bestimmungen erfolgt.
g) Was ist eine Datenschutz-Folgenabschätzung?
Eine Datenschutz-Folgenabschätzung ist ein Verfahren zur Identifizierung und Bewertung der Risiken für die Rechte und Freiheiten natürlicher Personen, die sich aus der Verarbeitung personenbezogener Daten ergeben. Sie ist insbesondere bei risikoreichen Verarbeitungen erforderlich.
h) Was muss ich tun, wenn meine Daten gehackt wurden?
Bei einer Datenschutzverletzung, wie z.B. einem Hackerangriff, muss der Verantwortliche unverzüglich die zuständige Aufsichtsbehörde und, in bestimmten Fällen, die betroffenen Personen informieren.
i) Wer ist für den Datenschutz in einem Unternehmen verantwortlich?
In einem Unternehmen ist der Verantwortliche für den Datenschutz verantwortlich. Dies ist in der Regel die Geschäftsführung oder eine andere leitende Person, die über die Zwecke und Mittel der Datenverarbeitung entscheidet. In bestimmten Fällen muss ein Datenschutzbeauftragter benannt werden.
7. Rechtsprechung zu Datenschutzrecht:
- Wird ein privat genutzter WhatsApp-Account ausgewertet, stellt dies einen schwerwiegenden Eingriff in das Persönlichkeitsrecht eines Arbeitnehmers dar. Ein Sachvortrags- und Beweisverwertungsverbot liegt vor, wenn die Auswertung lediglich auf einen vagen Hinweis und nicht auf einen hinreichende Tatsachen gestützten Anfangsverdacht erfolgte (LAG Bremen 07.11.2023 – 1 Sa 53/23).
- Arbeitgeber verletzten ihre Informationspflichten, wenn sie im betriebsinternen Intranet eine Richtlinie veröffentlichen, der Arbeitsvertrag hierauf aber keinen Verweis enthält. Hier führte eine verdeckte Datenerhebung des Arbeitgebers zur Unwirksamkeit einer zuvor erklärten fristlosen Kündigung des Arbeitnehmers wegen Arbeitszeitbetrugs (LAG Sachsen 06.7.2023 – 4 Sa 73/23).
- Nach Maßgabe der DS-GVO und der ZPO besteht grundsätzlich kein Verwertungsverbot in Bezug auf solche Aufzeichnungen aus einer offenen Videoüberwachung, die vorsätzlich vertragswidriges Verhalten des Arbeitnehmers belegen sollen. Das gilt auch dann, wenn die Überwachungsmaßnahme des Arbeitgebers nicht vollständig im Einklang mit den Vorgaben des Datenschutzrechts steht (BAG 29.06.2023 – 2 AZR 296/22).
- Ein Klageantrag, der ergänzend zum Wortlaut von Art. 15 DSGVO auslegungsbedürftige Begriffe enthält, über deren Inhalt nicht behebbare Zweifel bestehen, ist nicht hinreichend bestimmt (BAG 16.12.2021 – 2 AZR 235/21).
- Die Pflichten eines Datenschutzbeauftragten sind mit denen eines Betriebsratsvorsitzenden nicht zu vereinbaren. Der bei gleichzeitiger Wahrnehmung beider Funktionen bestehende Interessenkonflikt rechtfertigt es, die Bestellung des Betriebsratsvorsitzenden zum Datenschutzbeauftragten zu widerrufen (BAG 06.06.2023 – 9 AZR 383/19).
- Eine rechtswidrige und heimliche Überwachung des Arbeitnehmers durch eine von der Arbeitgeberin beauftragte Detektei, bei der zudem Bilder des Arbeitnehmers in verschiedenen Lebenssituationen zur Bewertung seines Gesundheitszustands gefertigt werden, begründet einen immateriellen Schaden im Sinne von Art. 82 Abs. 1 DSGVO (LAG Düsseldorf 26.4.2023 – 12 Sa 18/23).
Alle Fragen rund um die Datenschutzgrundverordnung (DS-GVO) im Arbeitsverhältnis beantworte ich Ihnen als zertifizierter Data Protection Risk Manager (FOM) jederzeit gern.
Dr. Daniel Weigert, LL.M. (Lund)
Rechtsanwalt · Fachanwalt für Arbeitsrecht
MBA
Data Protection Risk Manager
Wirtschaftsmediator (IHK)
Negotiator (EBS) · Negotiation Master Class (Harvard)
Ballindamm 6 · 20095 Hamburg
t +49 40 2285 11210
dw@danielweigert.de