Titelthema | Jetzt wird es ernst

Datenschutz achten!

Daten der Beschäftigten

0Kommentare

Mit Blick auf die Datenschutz-Grundverordnung ist der Um­gang mit Arbeitnehmerdaten grundlegend zu überdenken, insbesondere in Bezug auf den einzuhaltenden Grundsatz der Datensparsamkeit.

Täglich verarbeiten Personalabteilungen eine Vielzahl von Beschäftigtendaten, von den Per­so­nal­stamm- inklusive Gehaltsdaten über Daten der Zeiterfassung bis hin zu Gesund­heits­daten, die im Rahmen eines betrieblichen Eingliederungsmanagements erhoben werden. Die Datenverarbeitung ist dabei nicht auf das laufende Arbeitsverhältnis beschränkt; vielmehr beginnt sie bereits mit der Bewerbung und endet auch mit der Beendigung des Arbeitsverhältnisses nicht. Mit Blick auf die hohen Bußgelder, die bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes be­tra­gen können, müssen Personalabteilungen sich dringend fragen, wie sich die Datenschutz-Grund­verord­nung (DSGVO), ergänzt um das neue Bundesdatenschutzgesetz (BDSG n. F.), die ab dem 25. Mai 2018 gelten, auf die Verarbeitung personenbezogener Daten der Be­schäf­tig­ten aus­wirkt. Der schon nach altem Recht maßgebliche Grundsatz, wonach jeglicher Umgang mit per­so­nen­be­zo­genen Mitarbeiterdaten grundsätzlich unzulässig ist, es sei denn, ein Gesetz, eine Be­triebs­ver­ein­bar­ung beziehungsweise ein Tarifvertrag erlauben es oder der Arbeitnehmer hat in die Datenverarbeitung eingewilligt (Verbot mit Er­laub­nis­vorbehalt), gilt auch unter der DSGVO und dem BDSG n. F. Die zentrale Re­gelung im Beschäftigtendatenschutz ist § 26 BDSG n. F. (bislang § 32 BDSG), der bestimmt, dass die Datenverarbeitung zulässig ist, soweit sie zur Entscheidung über die Begründung eines Arbeitsverhältnisses, der Durchführung oder Beendigung eines Ar­beits­ver­hält­nisses, der Erfüllung der sich aus einem Tarifvertrag oder einer Betriebsvereinbarung ergebenden Rechte und Pflichten sowie der Aufdeckung von Straftaten bei bestehendem Tat­ver­dacht erforderlich ist.

Bewerbungsverfahren

Die Speicherfrist für personenbezogene Daten ist nun auf das unbedingt erforderliche Maß zu beschränken.

Dementsprechend darf der Arbeitgeber einen Be­wer­ber weiterhin nach Namen, Anschrift und E-Mail-Adresse sowie den fachlichen Kenntnissen, der Aus­bil­dung und dem beruflichen Werdegang fragen. Wie bislang ist es auch unter der DSGVO da­ge­gen grund­sätz­lich nicht zulässig, nach der Schwer­behin­der­ung, der Religions- oder Gewerkschaftszugehörigkeit oder einer Schwangerschaft zu fragen. Der Arbeitgeber darf lediglich fragen, ob der Bewerber an ge­sund­heit­lichen, seelischen oder ähnlichen Beeinträchtigungen leidet, durch die er zur Ver­richt­ung der beabsichtigten Tätigkeit ungeeignet ist. Problematisch ist ebenfalls die Erhebung von Daten des Bewerbers über ­Google oder soziale Netzwerke, wie bei­spiels­weise Xing oder Face­book. Denn soweit hier überhaupt berufsbezogene Daten erhoben werden – das Privatleben des Arbeit­neh­mers ist für den Arbeitgeber weiterhin tabu –, hätte der Arbeitgeber strenge Informationspflichten gemäß Art. 14 DSGVO gegenüber dem Bewerber zu beachten. So müsste er ihm beispielsweise die Kontaktdaten des Verantwortlichen sowie des Datenschutzbeauftragten ebenso mitteilen wie die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, und auch die Rechts­grund­lage für die Verarbeitung der Daten sowie die Dauer der Speicherung. Daher sollte man Abstand nehmen, auf diese Weise Zusatzinformationen über die Bewerber zu beschaffen. Die aufgezählten Mitteilungspflichten gelten aber auch dann bereits in der Bewerbungsphase, wenn die Daten vom Bewerber selbst erhoben werden (Art. 13 DSGVO), soweit er nicht bereits über die Informationen verfügt. Deshalb ist es zukünftig angeraten, den Bewerbern mit der Ein­gangs­be­stä­tigung ihrer Unterlagen die nach Art. 13 DSGVO erforderlichen Informationen, wie insbesondere die Kontaktdaten des Daten­schutz­beauf­tragten und die Speicherdauer, mitzuteilen. Unter der DSGVO wird es mit Blick auf die drohenden, empfindlichen Bußgelder noch wichtiger als bisher sein, den Grundsatz der Datensparsamkeit einzuhalten. So muss die Speicherfrist für per­so­nen­be­zo­ge­ne ­Daten auf das unbedingt erforderliche Maß beschränkt werden. Unterlagen abgelehnter Bewerber müssen innerhalb einer angemessenen Frist gelöscht werden. Sollen die Daten in einen Bewerber-Pool für zukünftig zu besetzende Stellen ­auf­genom­men werden, muss der Bewerber ausdrücklich zustimmen, wobei auch hier keine unbegrenzte Speicherung erfolgen darf und die konkrete Dauer dem Bewerber vor dessen Zustimmung mitzuteilen ist.

Arbeitsverhältnis

Weiterhin zulässig bleibt natürlich die Datenerhebung zur Zeiterfassung und Gehalts­abrechnung. Auch können beispielsweise im Rahmen eines betrieblichen Ein­glie­derungsmanagements ge­sund­heits­be­zo­ge­ne Daten erhoben und – getrennt von der eigentlichen Personalakte und besonders gesichert – aufbewahrt werden. Wichtig ist hier ebenfalls die neue Pflicht zum Hinweis auf die Dauer der Speicherung. Eine Daten­ver­arbeitung liegt zudem auch dann vor, wenn Mit­ar­bei­ter­da­ten, wie beispielsweise Name, Telefonnummer und E-Mail-Adresse, auf der Homepage des Ar­beit­ge­bers veröffentlicht werden sollen, um die Kontaktaufnahme durch Kunden und sonstige Ge­schäfts­part­ner zu erleichtern. Hier ist zwischen sogenannten Funktionsträgern und Nicht­funk­tions­trägern zu unterscheiden. Die Gruppe der Funktionsträger umfasst dabei alle offiziellen An­sprech­part­ner eines Unternehmens, zum Beispiel Kunden­betreuer, Geschäfts­führer oder Nieder­las­sungs­leiter. Daten, die zwingend zur Kontaktaufnahme erforderlich sind, also Name, Tätigkeitsbereich, Telefonnummer und E-Mail-Adresse, dürfen grundsätzlich auch weiterhin ohne ausdrückliche Einwilligung des Arbeitnehmers veröffentlicht werden. Handelt es sich dagegen um Nicht­funk­tions­trä­ger, wie beispielsweise eine reine Schreib­kraft, oder sollen weitere Daten des Funk­tions­trä­gers veröffentlicht werden, wie Ge­burts­datum, beruflicher Werdegang oder eine Fotografie, bedarf es der aus­drück­lichen – vorherigen – Einwilligung des Arbeitnehmers. Die Einwilligung in die Datenverarbeitung, bisher in § 4a BDSG geregelt, ist nun in Art. 7 DSGVO und § 26 Abs. 2 BDSG n. F. normiert. Sie bedarf grundsätzlich der Schriftform – bei Vorliegen besonderer Um­stän­de soll zwar eine weniger strenge Form möglich sein, was sich jedoch schon aus Beweisgründen nicht anbietet. Weiter erfordert eine wirksame Einwilligungserklärung Freiwilligkeit, weshalb die Einwilligung keinesfalls mehr mit dem Arbeitsvertrag verbunden oder gar in diesem enthalten sein darf, denn diese Koppelung hat den Anschein der Unfreiwilligkeit. Freiwillig sind Einwilligungen dagegen insbesondere dann, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und Beschäftigter gleichgelagerte Interessen verfolgen, § 26 Abs. 2 BDSG nF. Daneben muss der Zweck der Verarbeitung und Nutzung konkret benannt wer­den. Dazu ein Beispiel: Die Fotos werden zum Zweck der Außendarstellung des Unternehmens auf der Website www.unternehmen.de und auf den Social-Media-Kanälen (Facebook, Twitter, In­sta­gram) veröffentlicht. Zudem hat eine Belehrung über ein jederzeitiges Widerrufsrecht zu erfolgen. Abzuwarten bleibt dabei, ob der einzelne Mitarbeiter dieses – wie bisher vom Bun­des­ar­beits­ge­richt entschieden (BAG, Urteil vom 19.02.2015 – 8 AZR 1011/13) – nur bei Vorliegen eines plau­sib­len Grundes ausüben kann oder ob sich die Rechtsprechung unter der ­DSGVO und dem BDSG n. F. ändert. Bereits von den Mitarbeitern eingeholte Einwilligungen sollten ebenfalls auf ihre Ver­ein­bar­keit mit dem neuen Datenschutzrecht überprüft werden. Entsprechen sie den An­for­der­ung­en der DSGVO, gelten sie fort. Die Einholung neuer Einwilligungen ist in diesen Fällen also nicht erforderlich.

Neue Betriebsvereinbarungen

Infolge der nun drastisch verschärften Strafen bei Datenschutzverstößen ist es dringend an­ge­ra­ten, die Nutzung der Kommunikationsmittel, wie insbesondere E-Mail, zu privaten Zwecken zu untersagen. Denn datenschutzrechtliche Probleme treten spätestens dann auf, wenn der Mit­ar­bei­ter kurzfristig erkrankt und der Arbeit­geber oder Kollegen Zugriff auf E-Mails dieses Mitarbeiters benötigen. Ist die Privatnutzung erlaubt, darf der Arbeitgeber in derartigen Fällen nur dann auf das E-Mail-Postfach des erkrankten Mit­arbei­ters zugreifen, wenn der Mitarbeiter ausdrücklich darin eingewilligt hat und der Zugriff für betriebliche Zwecke erforderlich ist – so bereits die bis­he­ri­ge Ansicht der Daten­schutz­aufsichts­behörden des Bunds und der Länder. Besteht im Un­ter­neh­men zur Nutzung fir­men­be­zo­ge­ner Kom­muni­ka­tions­mittel bereits eine Betriebsvereinbarung, kann diese zwar wirksame datenschutzrechtliche Regelungen enthalten. Ob die ge­trof­fenen Ver­ein­ba­rungen aber auch mit dem neuen Datenschutzrecht vereinbar sind, sollte man vor dem 25. Mai 2018 zwingend prüfen. Gegebenenfalls müssen neue Be­triebs­ver­ein­ba­rungen ab­ge­schlos­sen werden.

Verdacht einer Straftat

Was aber kann konkret unternommen werden, wenn der Mitarbeiter beispielsweise im Verdacht steht, Produktionsmittel zu stehlen oder seine Arbeitszeit mit Surfen im Internet zu verbringen? Nach aktueller Entscheidung des BAG vom 27. Juli 2017 (Az.: 2 AZR 681/16) dürfen jedenfalls keine sogenannten Keylogger – deutsch: Tastenprotokollierer – eingesetzt werden, ohne dass der konkrete Verdacht einer Straftat oder einer schwer­wiegen­den Pflichtverletzung besteht. Derartige, anlasslose Überwachungen können sogar einen Schmerzensgeldanspruch des unzulässig über­wach­ten Arbeit­neh­mers begründen (BAG, Urteil vom 19.10.2015 – 8 AZR 1007/13). Die auf diese Weise erlangten Beweise sind zudem – so das BAG – im Prozess nicht verwertbar. Soll überprüft werden, ob sich die M­itarbeiter tatsächlich an das ausdrückliche Verbot privater Internetnutzung halten, müssen sie nach einer Entscheidung des Europäischen Gerichtshofs für Men­schen­rechte (Urteil vom 05.09.2017 – 61496/08) vor der Überprüfung zudem über die Möglichkeit, die Art und das Ausmaß der Kontrolle unterrichtet werden. Besteht dagegen der konkrete Verdacht einer Straf­tat oder einer schwerwiegenden Pflicht­ver­letz­ung, war die heimliche Mitarbeiterüberwachung bislang sogar in Form eines Detektiveinsatzes oder einer Videoüberwachung grundsätzlich zu­läs­sig, soweit keine weniger ein­schnei­denden Mittel zur Verfügung stehen, den Mitarbeiter zu über­füh­ren (vgl. BAG, Urteil vom 29.06.2017 – 2 AZR 597/16). Ob diese Vorgehensweise unter der DSGVO weiterhin zulässig bleibt, ist noch unklar, nachdem die strengen Informationspflichten der Art. 13, 14 DSGVO nach ihrem Wortlaut auch hier gelten. Der Arbeitnehmer müsste also vom Arbeitgeber vor der Erhebung von Bilddaten im Rahmen einer verdeckten Video­über­wachung über diese Maßnahme aufgeklärt werden, wodurch natürlich der Sinn der verdeckten Kontrolle ins Leere liefe. Ein Ausschluss heimlicher Datenverarbeitung würde aber unweigerlich zu einem wei­test­gehen­den Verbot verdeckter Arbeit­nehmer­kontrollen führen, was – so die bislang herrschende Meinung in der Literatur – nicht sein kann. Deshalb soll die Datenerhebung im Rahmen der heim­lichen Mit­arbei­ter­über­wachung weiterhin zulässig bleiben. Aufgrund der drohenden enorm hohen Bußgelder sollten Arbeitgeber jedoch bis zu einer gerichtlichen Klärung der Frage mit dem Einsatz heimlicher Kontrollen zurückhaltend umgehen und diesen zuvor sorgfältig prüfen. Anzumerken ist ferner, dass die Pflicht zur Datensparsamkeit auch uneingeschränkt im bestehenden Arbeits­ver­hält­nis gilt. Im Rahmen der Löschung von Daten sind dabei die Fristen, innerhalb derer Ansprüche geltend gemacht werden können beziehungsweise die zur Aufbewahrung für die Kontrolle durch Behörden erforderlich sind, zu beachten. So müssen beispielsweise Entgeltunterlagen mit so­zial­ver­sicher­ungs­recht­lichen Bezügen fünf Jahre, für den Jahresabschluss relevante Unterlagen sogar zehn Jahre aufbewahrt werden. Nicht vergessen werden darf dabei, dass es auch für bereits erhobene und gespeicherte Daten keine Übergangsregelungen gibt, sodass alle im Sinne der DSGVO und des BDSG n. F. nicht erforderlichen Daten bis zum 25. Mai 2018 gelöscht sein müssen.

Ende des Arbeitsverhältnisses

Nach Beendigung des Arbeitsverhältnisses werden bestimmte Daten des ehemaligen Mitarbeiters weiterhin benötigt, um nachvertragliche Ansprüche, wie etwa aus einer betrieblichen Alters­ver­sor­gung, zu erfüllen. Ausschließlich die zur Erfüllung des Anspruchs erforderlichen Daten – also nicht alle in der Personalakte gesammelten Daten – dürfen dafür gespeichert werden, wobei die Ver­ar­bei­tung eingeschränkt werden sollte. Werden die Daten dagegen weder zur Abwicklung des Arbeitsverhältnisses noch eines nachvertraglichen Anspruchs benötigt, sind sie mit Ablauf der insoweit zu beachtenden Aufbewahrungsfristen zwingend zu löschen. Arbeitnehmer haben also ein Recht auf Vergessenwerden und können die Datenlöschung gemäß Art. 17 DSGVO auch aktiv verlangen. Für das Löschen elektronischer Daten genügt es dabei nicht, die Daten lediglich in den Papierkorb zu schieben und diesen zu leeren; vielmehr müssen die Daten mit Zufallsdaten so überschrieben werden, dass eine Wiederherstellung auch mithilfe von speziellen IT-Kenntnissen nicht oder jedenfalls nur schwer möglich ist. Alle Maßnahmen zur Beachtung des Datenschutzes von der Bewerberphase bis zur Beendigung des Arbeitsverhältnisses sind zudem (daten­schutz­konform) zu dokumentieren, da die Einhaltung der datenschutzrechtlichen Vorschriften im Streit­fall bewiesen werden muss, eine ebenfalls wesentliche Neuerung, die die DSGVO bereithält.

Ausblick

Die neue DSGVO, ergänzt um das BDSG n. F., wird für Arbeitgeber einen Einschnitt darstellen, denn bei Nicht­beachtung der Vorschriften drohen dann em­pfind­liche Bußgelder. Der bisherige Umgang mit Bewerber- sowie Arbeitnehmerdaten muss daher grundlegend überdacht und überarbeitet werden, ins­be­son­dere in Bezug auf den einzuhaltenden Grund­satz der Datensparsamkeit. Das voll­stän­dige Ausmaß der Änderungen und der Heraus­for­der­ungen ist zum jetzigen Zeitpunkt noch nicht ab­seh­bar, vielmehr sind die Leit­linien, die von der Recht­sprech­ung in den nächsten Jahren entwickelt werden, zu beobachten.

0Kommentare Neuen Kommentar verfassen

Einen neuen Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.