Beschäftigtendatenschutz nach DSGVO

Frischzellenkur für den Beschäftigtendatenschutz

Wann, wie und unter welchen Umständen dürfen Unternehmen die Daten ihrer Mitarbeiterinnen und Mitarbeiter speichern, verwenden oder an Dritte weitergeben?

Ab dem 25. Mai 2018 regelt die neue EU-Datenschutzgrundverordnung (DSGVO) genau diese Fragen zum Beschäftigtendatenschutz.

Generell sind Arbeitgeberinnen und Arbeitgeber datenschutzrechtlich verantwortlich und müssen für einen entsprechenden Arbeitnehmerdatenschutz sorgen.

Arbeitnehmerdatenschutz und DSGVO: neue Herausforderungen

Personenbezogene Daten sind im Arbeitsleben allgegenwärtig: Diensthandys, E-Mails, Surfen im Netz, private Geräte, die dienstlich genutzt werden, oder Dienstwagen mit GPS-Tracking. In Zeiten der Digitalisierung fallen mehr Daten an als je zuvor – ständig und überall. Potenziell vereinfachen es die erhobenen Daten Führungskräften, ihre Mitarbeiter zu überwachen. Die DSGVO regelt die datenschutzrechtlichen Herausforderungen im Beschäftigtendatenschutz neu.

Beschäftigtendatenschutz: was sich alles ändert

Zwei wesentliche Punkte sind für Unternehmen im Zuge der DSGVO-Anforderungen an den Arbeitnehmerdatenschutz relevant: Zum einen erhalten Beschäftigte im Bereich des Personaldatenschutzes das Recht auf vollständige Transparenz ihrer Daten. „Die Geschäftsführung ist verpflichtet, die Angestellten zu informieren, welche Daten gesammelt werden, zu welchem Zweck das geschieht, wer Zugriff darauf hat, ob die Daten an Dritte weitergereicht werden und wer diese Dritten gegebenenfalls sind“, erklärt Prof. Dr. Ralf Imhof, Of Counsel der Kanzlei Schulz Noack Bärwinkel in Hamburg und Referent der TÜV NORD Akademie. Zum anderen besteht gegenüber den Mitarbeiterinnen und Mitarbeitern ab Mai eine Rechenschaftspflicht bezüglich der gesammelten Daten. Für den Beschäftigtendatenschutz bedeutet das konkret: Auf direkte Nachfrage muss das Unternehmen Auskunft darüber geben, weshalb es dazu befugt ist, die betroffenen Daten zu sammeln und zu verarbeiten.

Datenschutzbeauftragte gewährleisten Einhaltung des Beschäftigtendatenschutzes

Um die genannten Arbeitnehmerdatenschutzrechte sowie alle anderen Datenschutzrechte nach DSGVO korrekt einzuhalten, müssen die Verantwortlichen eine Person zum Datenschutzbeauftragten weiterbilden lassen oder einen externen Dienstleister beauftragen. Unternehmen mit mindestens zehn Bildschirmarbeitsplätzen sind grundsätzlich dazu verpflichtet, für den Personal- und Betriebsdatenschutz betriebliche Datenschutzbeauftragte zu beschäftigen, welche die Geschäftsleitung bei Fragen rund um den Datenschutz unterstützen. „Datenschutzbeauftragte kontrollieren die Einhaltung der Datenschutzrechte und weisen bei Bedarf auf Verstöße hin. Wichtig dabei ist, dass sie wirklich nur eine unterstützende Funktion haben und nicht zuständig sind, den betrieblichen Datenschutz zu organisieren“, so Imhof.

Bei Bedarf können sich Datenschutzbeauftragte auch Unterstützung von den Landesdatenschutzbeauftragten ihres jeweiligen Bundeslandes holen. Neben der Beratung überprüfen sie hauptsächlich die Einhaltung der Verordnung und verhängen gegebenenfalls entsprechende Bußgelder. Dabei können die Landesdatenschutzbeauftragten entweder proaktiv stichprobenartige Untersuchungen durchführen oder aufgrund eines Hinweises auf Verletzungen des Arbeitnehmerdatenschutzes aus der Belegschaft tätig werden.

Interview mit dem Datenschutz-Experten Prof. Dr. Ralf Imhof zum Thema Arbeitnehmerdatenschutz

Wenn sich der Arbeitgeber noch nie mit dem Thema Datenschutz auseinandergesetzt hätte, was wären die Maßnahmenpunkte, mit denen ich dem entgegenwirken kann? Was wären die ersten Schritte in diese Richtung?

Pro. Dr. Ralf Imhof: „Das ist eine schwierige Sache, weil so viele Daten anfallen. Das ist sehr arbeitsintensiv. Ich muss mich immer mit den Grundprinzipien auseinandersetzen: Zu welchem Zweck habe ich die Daten erhoben und ist dieser Zweck immer noch verfolgbar? Wenn zum Beispiel ein Mitarbeiter aus dem Unternehmen ausgeschieden ist, muss überlegt werden, ob die Daten noch gebraucht werden oder ob diese gelöscht werden müssen. Der Zweck ist wichtig, um feststellen zu können, ob die Daten gelöscht werden müssen. Die Berechtigungskonzepte sind wichtig. Für solche Zwecke verfolge ich die Datensammlung und stelle die Frage: Brauche ich die Daten und wann muss ich die Daten löschen? Dann kommt noch das Berechtigungskonzept für den Zugriff hinzu. Das wären die ersten vier wichtigen Schritte.“

Gibt es irgendwo Beratungsstellen für Unternehmen, um sich über das Thema Beschäftigtendatenschutz informieren zu können?

Pro. Dr. Ralf Imhof: „Die Unternehmen haben einen betrieblichen Datenschutzbeauftragten in ihrem Unternehmen, wenn mehr als neun Mitarbeiter angestellt sind, die an einem Rechner mit Zugriff auf personenbezogene Daten arbeiten. Dann muss das Unternehmen einen Datenschutzbeauftragten benennen. Wenn es sich um sensible Daten handelt, dann eventuell schon einen Datenschutzbeauftragten für unter neun Mitarbeiter, die auf sensible Daten Zugriff haben. Für Unternehmen mit zehn Bildschirmarbeitsplätzen und mehr ist ein betrieblicher Datenschutzbeauftragter Pflicht. Die Aufgabe der Datenschutzbeauftragten ist, die Geschäftsleitung bei Fragen zum Thema Datenschutz zu unterstützen. Ebenso haben sie Anspruch auf Fortbildung, beispielsweise eine Weiterbildung bei der TÜV NORD Akademie. Ein Datenschutzbeauftragter muss kontrollieren. Wenn er Verstöße bemerkt, muss er diese mit dem Unternehmen besprechen und verbessern. Erfolgt keine Verbesserung, muss der Landesdatenschutzbeauftragte bestellt werden. Falls Fragen aufkommen, stehen die Landesdatenschutzbeauftragten auch zur Unterstützung bereit. Oder man hat einen Anwalt, der sich damit auskennt. In Konzernen mit einer Konzernrechtsabteilung, wird der Konzerndatenschutzbeauftragte hinzugezogen."

Wenn im Arbeitsvertrag der Angestellten festgelegt ist, dass die technischen Geräte nur zur Nutzung von Arbeitszwecken verwendet werden dürfen, fällt das in eine andere Kategorie? Kann man sich freisprechen oder hat das keinen Einfluss darauf?

Pro. Dr. Ralf Imhof: „Das ist ein wesentlicher Punkt. Die ganzen technischen Geräte, die der Arbeitgeber zur Verfügung stellt und die nur dienstlich genutzt werden dürfen, sind alles Unternehmensdaten. Dann darf die Geschäftsleitung oder wer damit betraut ist, ohne Weiteres reinsehen, ohne dass der Arbeitnehmer was dagegen haben kann, da es Geschäftsunterlagen sind. Was in vielen Unternehmen der Fall ist. Mit Zustimmung oder Duldung der Geschäftsleitung, wo Mitarbeiter die Geräte auch privat nutzen dürfen, beispielsweise bei Amazon eine private Bestellung aufgeben oder Mails mit privatem Inhalt unter der Geschäftsadresse wegschicken, trifft der Datenschutz zu. Dann darf der Arbeitgeber in die Mails nur reinschauen, wenn es eine Rechtfertigung dafür gibt. Da bekommen allerdings die Arbeitgeber riesige Probleme, weil das Gesetz eine Rechtfertigung nur dann vorsieht, wenn der Arbeitgeber Nachteile befürchten muss, z.B. bei Geschäftsgeheimnissen oder sensiblen Daten. Wenn ich keine Anhaltspunkte habe, darf ich da nicht reinsehen, weil in den Mails Privates stehen könnte. Das führt dazu, dass die Betriebsabläufe beeinträchtigt werden, gerade wenn der Mitarbeiter im Urlaub ist, darf weder die Geschäftsleitung noch ein anderer Mitarbeiter reinschauen. Vorausgesetzt der Mitarbeiter, dem das Postfach gehört, hätte es erlaubt, was natürlich schwer aufzuführen ist. In dem Fall helfen die Betriebsvereinbarungen. Wenn ich einen Betriebsrat habe, kann ich mit dem Betriebsrat abklären, dass in diese Mails reingeschaut werden darf. Das hängt vom Betriebsrat ab, ob dieser mitmacht. Denn dieser handelt im Interesse der Arbeitnehmer - und Eingriffe in die Privatsphäre wird der Betriebsrat nicht immer mittragen.“

Welche Auslöser gab es, die zur neuen Datenschutz-Grundverordnung (DSGVO) geführt haben?

Pro. Dr. Ralf Imhof: „Das ist ein EU-Thema und die Europäische Union hat schon lange versucht, den Datenschutz innerhalb der Union zu harmonisieren, also anzugleichen. Dies geschieht über Richtlinien der EU. Richtlinien haben die Besonderheit, dass sie nach nationalem Recht umgesetzt werden müssen. Da muss der Gesetzgeber in Deutschland und auch in anderen Staaten ein Gesetz verabschieden. Bei den Richtlinien haben die Gesetzgeber ebenfalls Spielräume und können diese individuell gestalten, was dazu führt, dass in jedem EU Mitgliedstaat alles anders geregelt ist. Zwar im Wesentlichen ähnlich, aber eben nicht genau gleich. Deswegen hat die EU entschieden, dies zu ändern und hat die Verordnung erlassen. Eine Verordnung ist was anderes als eine Richtlinie. Eine Verordnung ist geltend. Da braucht der Gesetzgeber gar nichts mehr zu machen. In diesem Fall gilt diese EU-Verordnung und die geht auf allen nationalen Gesetzen vor. Das Problem hierbei ist, dass bei 28 Mitgliedstaaten jedes einzelne eine Sonderregelung haben möchte, sodass zwar eine Verordnung herrscht, jedoch mit Ausnahmen. Im Grunde funktioniert es dann doch eher wie eine Richtlinie. Der ganz große Schritt ist der EU nicht gelungen. Es gibt jetzt auch keinen Unterschied mehr zwischen Landesdatenschutz und Bundesdatenschutz, was eher für die öffentliche Verwaltung gilt und nicht für die private. Landesdatenschutzgesetze entfallen durch die Datenschutzgrundverordnung. Dort werden alle gleichbehandelt. Natürlich gibt es auch da Ausnahmemöglichkeiten, aber das ist sehr vereinheitlicht worden. Das ist schon ein großer Vorteil dieser Verordnung.“

Datenschutz für Arbeitnehmer: Sonderfall Betriebsrat

„Der Betriebsrat kümmert sich in Unternehmen um die Wahrung der Arbeitnehmerrechte. Dazu gehören auch die Datenschutzrechte. Mit diesem Verständnis ist der Betriebsrat quasi eine Art zweiter Datenschutzbeauftragter. Er überprüft im Interesse der Mitarbeiter, ob das Unternehmen korrekt mit den Daten umgeht“, erklärt Imhof. Probleme beim Datenschutz der Mitarbeiter gibt es vor allem bei der erlaubten privaten Nutzung von Computern. Private Informationen dürfen Arbeitgeberinnen und Arbeitgeber nur einsehen, wenn das datenschutzrechtlich zulässig ist.

Laut DSGVO könnten Unternehmen von jedem Mitarbeiter die Einwilligung einholen, beispielsweise das Postfach bei Abwesenheiten einsehen zu dürfen. Das ist jedoch aufwendig und wenig praktikabel. Wenn es einen Betriebsrat gibt, darf dieser stellvertretend für die Mitarbeiterinnen und Mitarbeiter im Rahmen einer Betriebsvereinbarung eine Einwilligung aussprechen. So hat die Geschäftsführung die Möglichkeit, mit dem Betriebsrat eine einheitliche Regelung für solche Situationen zu finden – sofern dieser kooperiert.