Aktuelles

Urteile, Vorfälle, Kommentierungen...
11/18 Neue Vorgaben beim Datenschutz für Beschäftigte

11/18 Neue Vorgaben beim Datenschutz für Beschäftigte

by 15. Januar 2018

Auch im Verhältnis zwischen Arbeitgeber und Arbeitnehmer gilt das Datenschutzrecht: Namen, Anschrift, Konfession usw. sind personenbezogene Daten des Arbeitnehmers, die der Arbeitgeber speichert – und damit die Anforderungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG) auslöst. Im Folgenden stelle ich die Anforderungen nach “neuem” Recht ab 25.05.2018 dar.

Wer ist betroffen?

§ 26 Abs. 8 BDSG-neu regelt, wer “Beschäftigter” im Sinne des BDSG/der DSGVO ist, dazu gehören u.a.

  • Arbeitnehmerinnen und Arbeitnehmer,
  • Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher sowie
  • zu ihrer Berufsbildung Beschäftigte.

Das bedeutet u.a., dass auch bei der Arbeitnehmerüberlassung der Entleiher den Beschäftigtendatenschutz gegenüber den fremden Leiharbeitnehmern beachten muss.

Außerdem regelt § 26 Abs 8 BDSG-neu auch ausdrücklich, dass auch Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, als Beschäftigte gelten = so dass auch hier der Arbeitgeber die Vorgaben zu beachten hat.

Banner DSGVO

Was ist zu beachten?

Für den Beschäftigtendatenschutz gelten die allgemeinen Regelungen der DSGVO. Allerdings erlaubt die DSGVO darüber hinaus, dass die EU-Staaten nationale Sonderregelungen schaffen können.

Deutschland hat das mit § 26 BDSG-neu auch getan.

Allgemein gilt künftig genauso wie bisher auch schon: Die personenbezogenen Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, soweit dies erforderlich ist für

  • die Entscheidung über die Begründung eines Beschäftigungsverhältnisses, oder
  • nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung, oder
  • zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten.

Die Verarbeitung sog. “besonderer Kategorien personenbezogener Daten” (vgl. Art. 9 Absatz 1 DSGVO) ist erlaubt, wenn

  • sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist

und

  • kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt,

(siehe § 26 Absatz 3 BDSG-neu).

Denn: Grundsätzlich ist die Verarbeitung von Daten untersagt, aus denen hervorgeht

  • die rassische und ethnische Herkunft,
  • politische Meinungen,
  • religiöse oder weltanschauliche Überzeugungen,
  • die Gewerkschaftszugehörigkeit,
  • genetische Daten,
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten oder
  • Daten zum Sexualleben oder der sexuellen Orientierung.

Diese Daten sind im Sinne der DSGVO “besondere Kategorien von Daten” (= sog. sensible Daten), die einem besonderen Schutz unterliegen. Im Beschäftigtendatenschutz spielt dabei insbesondere die Datenerfassung zur Konfession (“katholisch”, “evangelisch” usw.) eine Rolle, da diese Bestandteil der Lohnabrechnung sind.

Gerade die Speicherung der Konfessionsdaten sind also nach den vorstehend genannten zwei Voraussetzungen zulässig.

Einwilligung des Arbeitnehmers

Eine Einwilligung nach DSGVO (= ab 25.05.2018) ist nicht wirksam, wenn sie im Rahmen eines Über-/Unterordnungsverhältnisses erteilt wurde. Das aber wird bei Arbeitnehmern regelmäßig der Fall sein: Der Arbeitgeber ist der “Große”, der Arbeitnehmer der “Kleine”. Somit kann nach den neuen Voraussetzungen der Einwilligung der Arbeitgeber grundsätzlich keine Einwilligung seines Mitarbeiters einholen, um dessen Daten zu speichern, soweit sie nicht unter § 26 Absatz 1 BDSG-neu fallen (also zur Abwicklung des Arbeitsverhältnisses notwendig sind, siehe oben).

Mitarbeiter können aber dann freiwillig in eine Datenverarbeitung einwilligen, wenn für sie ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird (siehe § 26 Absatz 2 BDSG-neu). Nach Ansicht der Datenschutzkonferenz (einem Zusammenschluss der unabhängigen Datenschutzbehörden des Bundes und der Länder) wird die Einwilligung daher zumeist Fälle betreffen die “nicht das Arbeitsverhältnis als solches, sondern Zusatzleistungen des Arbeitgebers betreffen”.

Die Datenschutzkonferenz nennt hier als Beispiele die Gestattung privater Nutzung dienstlicher Fahrzeuge, Telefone und EDV-Geräte, die Einführung eines betrieblichen Gesundheitsmanagements zur Gesundheitsförderung oder die Aufnahme in Geburtstagslisten.

Urheberangabe für das/die Foto(s) (Symbolfoto):

  • Aktenschrank mit offener Schublade: © Ralf Geithe - Fotolia.com