Was versteht man unter Mitarbeiterdatenschutz?
Der Mitarbeiterdatenschutz, auch Beschäftigtendatenschutz oder Arbeitnehmerdatenschutz genannt, bezeichnet die Summe aller Datenschutzanforderungen und Datenschutzmaßnahmen durch den Arbeitgeber gegenüber den Arbeitnehmern.
Es handelt sich dabei jedoch nach wie vor um eine Materie, die es de facto gar nicht gibt. Denn auf ein Beschäftigtendatenschutzgesetz warten wir in Deutschland nach wie vor vergeblich. Von der Ampelregierung wurde ein Gesetzesentwurf vorgelegt, der jedoch aufgrund des Scheiterns der Regierung nicht mehr verabschiedet wurde. Ob es wieder einen Anlauf geben wir, bleibt abzuwarten.
Dennoch gibt es Datenschutz für Mitarbeiter. Diese Datenschutzregeln stammen überwiegend aus der DSGVO, also der Datenschutzgrundverordnung der EU. Daneben stammt das Recht des Datenschutzes der Mitarbeiter aus dem deutschen BDSG, dem Bundesdatenschutzgesetz. Allerdings gibt es nur einen Paragraphen der den Mitarbeiterdatenschutz regelt: § 26 BDSG. Hier wird in erster Linie geregelt, welche Möglichkeiten der Arbeitgeber im Rahmen der Verarbeitung von Beschäftigtendaten hat, bspw. aufgrund der gesetzlichen Anforderungen, die auch die Verarbeitung von sensiblen Daten erforderlich macht.
Behandlung von Beschäftigtendaten
Viele Beschäftigtendaten müssen zwingend vom Arbeitgeber verarbeitet werden. Dabei handelt es sich in der Regel um personenbezogene Daten, womit der Umgang mit diesen Daten dem Datenschutzrecht unterfällt. In erster Linie geschieht dies aufgrund des geschlossenen Arbeitsvertrages. Rechtsgrundlage ist dann Art. 6 Abs. 1 Buchstabe b) DSGVO. Teilweise ist dies aufgrund gesetzlicher Anforderungen erforderlich, mithin gemäß Art. 6 Abs. 1 Buchstabe c) DSGVO.
Die Erhebung der Mitarbeiterdaten geschieht dabei in erster Linie zu Beginn des Arbeitsverhältnisses, wobei auch in dessen Verlauf das Erforderlich der weiteren Datenerhebung entstehen kann. Die Datenverarbeitung geschieht üblicherweise in Form der Führung einer Personalakte durch das Unternehmen als Arbeitgeber, was heutzutage regelmäßig in digitaler Form gemacht wird.
Dabei haben die Beschäftigten dieselben Rechte, wie jede betroffene Person, deren personenbezogene Daten verarbeitet werden. Der Datenschutz der Arbeitnehmer ist also weder geringer, noch höher als das sonstige Datenschutzniveau. Daher ist die Weitergabe der Daten an Dritte nur in engen Grenzen zulässig, bspw., wenn es eine gesetzliche Verpflichtung dazu gibt, wie etwa im Rahmen von Mutterschutz, Elternzeit u.ä. Ebenso gibt es Datenverarbeitungsvorgänge, die oftmals außerhalb des Unternehmens vorgenommen werden und grundsätzlich zulässig sind, wie bspw. im Bereich der Lohnbuchhaltung.
Die Mitarbeiterdaten dürfen dabei grundsätzlich mindestens für die Dauer des Beschäftigungsverhältnisses gespeichert werden, teilweise darüber hinaus, bspw., wenn es um mögliche zivilrechtliche oder arbeitsrechtliche Ansprüche geht oder im Bereich der betrieblichen Altersversorgung. Grundsätzlich aber sind Daten des Mitarbeiters zu löschen, wenn er aus dem Unternehmen ausscheidet, was in erster Linie auf die Nennung auf der Website des Unternehmens, in Social Media Accounts oder sonstigen öffentlichen Publikationen zutrifft.
Pflichten des Arbeitgebers im Umgang mit Beschäftigtendaten
Arbeitgeber müssen, wie jeder Datenverarbeiter, dafür Sorge tragen, dass die Beschäftigtendaten sicher und gemäß dem Stand der Technik verarbeitet werden. Der Arbeitgeber darf auch nur die zwingend erforderlichen Mitarbeiterdaten verarbeiten und benötigt stets eine Rechtsgrundlage für solche Verarbeitungen, insbesondere für die Weitergabe solcher Daten.
Der Überwachung der Mitarbeiter sind dabei enge Grenzen gesetzt. Besteht ein Betriebsrat, ist dieser hier i.d.R. vorab zu konsultieren.
Die inhaltliche Überwachung von E-Mails und Internetnutzung ist ebenso nur in engen Grenzen zulässig, bspw., wenn es Anhaltspunkte dafür gibt, dass missbräuchliche Nutzung erfolgt oder, wenn der Betriebsrat zugestimmt hat. Ähnliches gilt für die Videoüberwachung.
Datenschutzbeauftragter ab wieviel Mitarbeiter?
Zurzeit besteht in Deutschland die gesetzliche Pflicht ab 20 Mitarbeitern, die personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten zu bestellen und bei der zuständigen Datenschutzbehörde zu melden.
Sind Mitarbeiter im Datenschutz zu schulen und zu informieren?
Unternehmen sind verpflichtet, Ihren Beschäftigten, wie jedem Betroffenen, eine Datenschutzerklärung für Mitarbeiter zur Kenntnis zu geben, die alle im Rahmen des Beschäftigungsverhältnisses erfolgenden Datenverarbeitungen beschreiben und darstellen muss (vgl. Art. 13 DSGVO). Dies ist in der Praxis noch nicht flächendeckend der Fall.
Eine Datenschutzschulung für Mitarbeiter sollte jährlich erfolgen, um die Sensibilisierung und das Verständnis für den Datenschutz zu wecken, zu erhöhen und aufrechtzuerhalten. Dabei kann auch ein Datenschutztest sinnvoll, sein, um den Wissensstand im Unternehmen festzustellen.
Gleiches gilt für KI-Kompetenz und Informationssicherheit.
Der Schutz der Mitarbeiterdaten ist dabei nicht weniger wichtig, wie der Schutz von Kundendaten etc.
Folgen von Datenschutzverstößen
Das Gesetz sieht bei Verstößen von Datenschutzvorgaben Bußgelder und zivilrechtliche Ansprüche vor. Diese richten sich grundsätzlich nicht gegen den Mitarbeiter, sondern gegen das Unternehmen. Datenschutzverstöße der Beschäftigten werden dem Unternehmen zugerechnet.
Eventuell kann das Unternehmen durch arbeitsrechtliche Konsequenzen oder, bei Vorsatz oder grober Fahrlässigkeit des Mitarbeiters, zusätzlich mit Regressansprüchen, Ansprüche gegen den Mitarbeiter haben. Solche arbeitsrechtlichen Konsequenzen können in der Abmahnung der Mitarbeiter wegen einem Verstoß gegen den Datenschutz bestehen.
Weitere Informationen zu den Folgen von Datenschutzverstößen können Sie in unserem Beitrag „Datenschutzverstöße: So handeln Unternehmen richtig“ finden.
