Beschäftigtendatenschutz unter der DSGVO – Der Mitarbeiter im Unternehmen

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) hat ein Informationsblatt zum Beschäftigtendatenschutz herausgegeben.

Darin enthalten sind einige nützliche Informationen, die ich nachfolgend für Sie einmal zusammenfassen möchte, wobei ich nicht jedes dort genannte Beispiel aufliste. Wer Interesse hat, kann sich das pdf hier ansehen.

I. Bewerbungsverfahren

  1. Bewerbungsfragebogen

Verwenden Sie Bewerbungsfragebögen, achten Sie bitte darauf, nur die für das Beschäftigungsverhältnis erforderlichen Daten abzufragen. Sie benötigen hierfür in der Regel nicht Angaben zum Ehepartner, Name und Alter der Kinder unter 18 Jahren und verschiedenste Gesundheitsfragen. Die Erhebung solcher Daten ist somit unzulässig. Es geht bei dem Bewerbungsverfahren um die Begründung eines Arbeitsverhältnisses. Sollten Sie in Ausnahmefällen einmal Gesundheitsdaten benötigen, kann dies für den Ausnahmefall natürlich zulässig sein. Generell jedoch gilt die absolute Datensparsamkeit.

  1. Speicherung von Bewerbungsunterlagen

Nach § 15 Abs. 4 AGG besagt, dass abgelehnte Bewerber Ansprüche wegen etwaiger Benachteiligung haben. Diese können binnen 2 Monaten nach Ablehnungsentscheidung geltend gemacht werden. Es ist somit erforderlich, die Bewerbungsunterlagen für diesen Zeitraum zu speichern. Anspruchsgrundlage hierfür ist § 26 BDSG.

Das gilt übrigens auch für zurückgezogene Bewerbungen, wobei hier das Schreiben der Rücknahme der Bewerbung aufzubewahren ist.

II. Mitarbeiter im Beschäftigtenverhältnis

Es gibt mehrere Möglichkeiten, die es erlauben, Daten der Mitarbeiter zu verarbeiten. Einerseits gibt es Daten, die verarbeitet werden MÜSSEN, damit das Beschäftigungsverhältnis überhaupt durchgeführt werden kann. Andererseits gibt es auch die Möglichkeit, die Daten aufgrund einer Einwilligung des Mitarbeiters zu verarbeiten. Mit dem Thema Einwilligung hat sich die LfD Niedersachsen umfassend auseinandergesetzt.

  1. Wann benötigt man eine Einwilligung?

Die Einwilligung ist immer erforderlich, wenn die Verarbeitung der Daten des Mitarbeiters nicht direkt etwas mit seinem Arbeitsverhältnis zu tun haben. Es ist z.B. nicht notwendig, das Foto und den vollständigen Namen des Mitarbeiters auf der Unternehmens-Homepage zu platzieren. Das Argument, der Kunde möchte doch sehen, mit wem er es zu tun hat, ist da wenig überzeugend.

Es gibt auch Situationen, da ist die Verarbeitung zwar nicht zwingend zur Durchführung des Arbeitsverhältnisses erforderlich. Allerdings überwiegt das Interesse des Arbeitgebers zur Verarbeitung der Daten in gewissen Fällen das Interesse des Mitarbeiters, dessen Daten nicht zu verarbeiten. Muss der Arbeitgeber zum Beispiel in einem Notfall bei einem Kunden einen Außendienstmitarbeiter dort hinschicken, kann es angebracht sein, die Standorte der Firmenwagen für den Notfall (und nicht dauerhaft) zu tracken, um den Mitarbeiter zu kontaktieren, der am schnellsten beim Kunden sein kann. Es handelt sich in jedem Fall um Einzelentscheidungen, die stets nach ihren eigenen Gesamtumständen zu betrachten sind.

  1. Wann ist die Einwilligung wirksam?

Der Mitarbeiter muss genau wissen, wofür er seine Einwilligung abgegeben hat, Stichwort Transparenz.

Nur so kann sichergestellt sein, dass der Mitarbeiter die Einwilligung auch freiwillig und autonom abgegeben hat. An das Erfordernis der Freiwilligkeit sind dabei hohe Anforderungen zu stellen.

Die LfD Niedersachsen geht davon aus, dass ein Mitarbeiter nur dann freiwillig eine Einwilligung abgibt, wenn er/sie persönlich einen Vorteil daraus schöpft. Hier werden Bsp. aufgelistet wie:

  • Private Nutzung von Internet/Email
  • Private Nutzung des Dienstfahrzeugs
  • Aufnahme in Geburtstags- /Gratulationslisten
  • Einführung eines betrieblichen Gesundheitsmanagements

Lehnt der Beschäftigte die Abgabe einer Einwilligung ab, kann er diese Leistungen zwar nicht in Anspruch nehmen. Weitere negative Auswirkungen hat das aber nicht.

  1. Wie muss die Einwilligung eingeholt werden?

Schriftlich (§ 26 Abs. 2 S. 3 BDSG)!! Der Arbeitgeber muss den Mitarbeiter zuvor über die gewünschte Datenverarbeitung aufgeklärt und über dessen Rechte informiert haben, wozu auch das Widerrufsrecht des Mitarbeiters zählt.

  1. Beispiele zur Zeiterfassung (siehe LfD Niedersachen)

a) In einem Fall konnten alle 100 Mitarbeiter an zwei verschiedenen Standorten „live“ sehen, ob Kollegen ein- oder ausgebucht sind. Der Arbeitgeber begründete dies mit der Notwendigkeit zügiger Kontaktaufnahme.

Grundsätzlich bestehen keine Bedenken gegen eine Darstellung von An- und Abwesenheitszeiten. Je nach Ausgestaltung und Zweck kann dies zulässig sein. Insbesondere bei größeren Einheiten kann eine An-/Abwesenheitsinformation auf Tagesbasis zulässig sein.

Erforderlich ist jedoch gerade bei großen Abteilungen bzw. Firmen, dass ausweislich Geschäftsmodell und Umfang tatsächlich in nennenswertem Maß Terminplanungen unter den einzelnen Kollegen erfolgen, die eine solche Permanentinformation sämtlicher Beschäftigten notwendig machen.

b) In einem Unternehmen hing in einem nicht-zugangsgeschützten Büro ein Kalender mit differenzierten Angaben zu persönlich bedingten Abwesenheitszeiten (Urlaub, Krankheit mit/ohne Lohnfortzahlung).

Die Angabe der Gründe persönlich bedingter Abwesenheitszeiten müsste für die Durchführung des Beschäftigtenverhältnisses erforderlich sein. Für die Weiterleitung (Übermittlung) dieser Daten an Mitarbeiter oder externe Dritte ist die Erforderlichkeit nicht festzustellen, sofern diese keine Personalsachbearbeiter sind.

  1. Kopie des Führerscheins des Beschäftigten

Hier, und das sage ich allen unseren Mandanten, reicht es aus, sich einen Vermerk zu machen, wie z.B. das Abhaken in einer Tabelle. Die Kopie eines Führerscheins ist in der Regel nicht zu rechtfertigen. Das Passfoto z.B. ist für diese Datenerhebung nicht erforderlich und kann auch nicht im Rahmen eines berechtigten Interesses begründet werden. Außerdem muss der Arbeitgeber beachten, dass er für die Aufbewahrung der Kopie des Führerscheins unter Umständen eine erhöhte Datensicherheit herstellen muss. Denn die Angaben im Führerschein inklusive des Passfotos sind z.B. für einen Identitätsdiebstahl attraktiv. Es ist somit insgesamt zu überlegen, ob eine Liste nicht ausreichend ist.

Lassen Sie sich von uns beraten. Wir stehen Ihnen mit unserem Wissen gerne zur Verfügung.

 

 

 

Weitere Beiträge

DSA – Der Digital Service Act reguliert Online-Plattformen

Der Digital Service Act (DAS ersetzt in weiten Teilen die alte E-Commerce-Richtlinie, wie z.B. auch die Haftungsregelungen, erweitert diese und führt neue Pflichten insbesondere für die großen Online-Plattformen ein. Der DSA zielt darauf ab, die digitale Landschaft der Europäischen Union

Mehr lesen »

CRA – Cyber Resilienz Act Verordnung Nr. 2022/0272

Cybersicherheit für Digitale Produkte in der EU Die zunehmende Bedeutung der IT-Sicherheit und der Cyberrisiken im Finanzsektor verzahnt in diesem Kontext insbesondere auch das Thema Business Continuity Management, bzw. Notfallmanagement. Und nicht nur bedingt durch die zunehmende Digitalisierung des Bankgeschäfts und

Mehr lesen »

Online-Plattformen und ihre Haftung

Bei der Frage der Haftung lässt sich keine pauschale Aussage treffen. Und doch versuche ich nachfolgend, eine kurze Übersicht zu geben, worauf Plattformbetreiber achten müssen. Hosting-Provider Wenn Sie nur für andere Nutzer die Plattform zur Verfügung stellen, ansonsten aber keinen

Mehr lesen »
Nach oben scrollen