Immer noch herrscht vielerorts die Ansicht, dass die Vorgaben der Datenschutzgrundverordnung (DSGVO) kleine Unternehmen gar nicht betreffen. Dies ist jedoch ein Trugschluss. Denn die DSGVO gilt für alle Betriebe, die personenbezogene Daten von Kunden oder Mitarbeitern verarbeiten. „Datenverarbeitung“ bedeutet dabei, diese Daten zu erheben, zu nutzen und zu speichern.
Jedes Unternehmen, das Mitarbeiter beschäftigt, ist also von den Vorgaben der DSGVO betroffen und muss sich mit dem Thema Beschäftigtendatenschutz auseinandersetzen.
Wie schützt die DSGVO Mitarbeiterdaten?
Die DSGVO legt fest, dass personenbezogene Daten – also auch Mitarbeiterdaten – nur dann verarbeitet werden dürfen, wenn dies durch eine bestimmte Rechtsgrundlage oder eine Einwilligung des Mitarbeiters erlaubt ist. Diese Rechtsgrundlage findet sich im Bundesdatenschutzgesetz (BDSG). Das BDSG bestimmt, dass Arbeitgeber auch ohne Einwilligung der Mitarbeiter solche personenbezogenen Daten verarbeiten dürfen, die für die Aufnahme, Durchführung oder Beendigung eines Arbeitsverhältnisses erforderlich sind.
Was sind personenbezogene Mitarbeiterdaten?
In der Datenschutzgrundverordnung werden „personenbezogene Daten“ definiert als „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen. Im Klartext: Eine Information ist dann „personenbezogen“, wenn sie Rückschlüsse auf einen konkreten Menschen erlaubt.
Im Beschäftigungsverhältnis fallen beispielsweise folgende Daten darunter:
Der richtige Umgang mit Bewerberdaten
Laut Bundesdatenschutzgesetz (BDSG) sind Bewerber bereits als Beschäftigte anzusehen. Damit sind auch ihre Daten durch die Vorgaben des Gesetzes geschützt. In einem Bewerbungsprozess dürfen deshalb nur die Daten gespeichert und verarbeitet werden, die wirklich für die Bewerberauswahl wichtig sind.
Datenschutz im Bewerbungsgespräch
Bereits im Bewerbungsgespräch sollten künftige Arbeitgeber darauf achten, dass sie nur solche personenbezogenen Fragen stellen, die für die Besetzung der Stelle relevant sind. Dies sind vor allem Fragen nach der Qualifikation, dem beruflichen Werdegang und nach bisherigen Arbeitszeugnissen. Antworten auf diese Fragen können auch in die Personalakte übernommen werden.
Fragen nach dem Gesundheitszustand oder auch nach möglichen Vorstrafen darf der Arbeitgeber nur dann stellen, wenn dies eine Rolle für die zu besetzende Stelle spielt. Soll also beispielsweise ein Kassierer oder Buchhalter eingestellt werden, kann danach gefragt werden, ob der Bewerber schon einmal mit dem Gesetz in Konflikt geraten ist. Die Frage nach einer chronischen Krankheit kann dann gerechtfertigt sein, wenn die Stelle erfordert, eine schwere körperliche Arbeit auszuführen.
Aufbewahrung von Bewerberdaten
Wird ein Bewerber abgelehnt, sollten seine Unterlagen spätestens sechs Monate nach Versendung der Absage gelöscht werden. Sollen die Unterlagen länger aufbewahrt werden, z. B. weil man damit einen Bewerberpool für künftige Stellen aufbauen möchte, muss dafür eine Einwilligung vom Bewerber eingeholt werden.
Datenschutz bei Mitarbeitern während des Arbeitsverhältnisses
Arbeitgeber dürfen laut Bundesdatenschutzgesetz (BDSG) nur Mitarbeiterdaten speichern und verarbeiten, die zur Durchführung des Beschäftigungsverhältnisses erforderlich sind. Dazu gehören vor allem die Stammdaten der Arbeitnehmer sowie Angaben zur Ausbildung und zur beruflichen Qualifikation. Der Arbeitgeber muss seine Mitarbeiter über die Verarbeitung ihrer Daten informieren. Dies kann entweder im Arbeitsvertrag oder in einem eigenen Infoblatt geschehen.
Mitarbeiterdaten dürfen auch an den Steuerberater oder ein Lohnbüro zur Datenverarbeitung weitergeleitet werden, wenn dies erforderlich ist. In dem Fall muss allerdings ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden.
Wann ist eine Einwilligung für die Datenverarbeitung nötig?
Möchte der Arbeitgeber zusätzliche Mitarbeiterdaten verarbeiten, die nicht hierunter fallen, oder Mitarbeiterdaten zu einem anderen Zweck verarbeiten, benötigt er laut Grundverordnung eine konkrete Einwilligung des Mitarbeiters. Dies kann beispielsweise bei einer Geburtstagsliste der Fall sein oder wenn Fotos von Mitarbeitern auf die Firmenwebsite gestellt werden sollen. Wichtig hierbei ist, dass der Mitarbeiter die Einwilligung freiwillig gibt – und normalerweise schriftlich. So hat der Arbeitgeber auch einen entsprechenden Nachweis.
Erfassung von Daten zur Arbeitszeit
Grundsätzlich dürfen Unternehmen die Arbeitszeiten der Mitarbeiter festhalten, da sie i. d. R. die Grundlage für den Arbeitslohn darstellen. Fällt ein Mitarbeiter unter das Mintestlohngesetz, muss die Dauer der täglichen Arbeitszeit sogar zwingend erfasst werden.
Wie die Arbeitszeiten erfasst werden (Stechuhr, Webanwendung etc.), ist dabei weitestgehend dem Arbeitgeber überlassen. Der Arbeitgeber muss allerdings darauf achten, dass er die Arbeitszeitdaten nur so lange speichert, wie dies zur Durchführung des Arbeitsverhältnisses benötigt wird. In der Regel dürfen diese Daten zwei Jahre aufbewahrt werden.
Der richtige Umgang mit Gesundheitsdaten
Gesundheitsdaten von Mitarbeitern genießen einen besonderen Schutz. Im Arbeitsalltag geht es hier vor allem um Arbeitsunfähigkeitsbescheinigungen. Diese Atteste dürfen vom Unternehmen natürlich verarbeitet werden, da aufgrund der Lohnfortzahlung im Krankheitsfall daran ein „berechtigtes Interesse“ von Seiten des Unternehmens besteht.
Allerdings muss darauf geachtet werden, dass diese Daten nur dem jeweiligen Vorgesetzten und dem Personalverantwortlichen bekannt gegeben werden dürfen. Aus diesem Grund ist es auch nicht erlaubt, einen öffentlich zugänglichen Kalender zu führen, in dem die Krankheitstage der Beschäftigten festgehalten werden. Dieses Problem kann man aber geschickt umgehen, indem anstelle des „Krankheitskalenders“ ein Abwesenheitskalender geführt wird, in dem alle Abwesenheiten der Mitarbeiter eingetragen werden – also auch Urlaube oder Fortbildungen.
Auskunftsrecht des Mitarbeiters
Jeder Mitarbeiter hat laut DSGVO das Recht, von seinem Arbeitgeber Auskunft zu verlangen, welche Daten zu welchen Zwecken von ihm verarbeitet werden.
Dabei darf der Arbeitnehmer auch die Herausgabe von personenbezogenen Leistungs- oder Verhaltensdatenverlangen. In so einem Fall verpflichtet die Datenschutzgrundverordnung den Arbeitgeber dazu, dem Mitarbeiter eine Kopie der entsprechenden Datenauszuhändigen.
Maßnahmen zum Schutz von Mitarbeiterdaten
Die wichtigsten Mitarbeiterdaten werden meistens in einer Personalakte gesammelt. Diese Akte muss der Arbeitgeber vor dem Zugriff von außen schützen. Dazu kann der Arbeitgeber u. a. folgende Maßnahmen treffen:
Datenschutz bei Beendigung des Arbeitsverhältnisses
Scheidet ein Arbeitnehmer aus dem Unternehmen aus, dürfen seine Daten in bestimmten Fällen weiterverarbeitet werden, z. B. bei einer betrieblichen Altersvorsorge. Allerdings dürfen die Daten nur so lange verarbeitet werden, wie es erforderlich ist.
Für bestimmte Unterlagen gibt es außerdem eine gesetzliche Aufbewahrungsfrist. So müssen Lohnunterlagen beispielsweise sechs Jahre lang aufbewahrt werden. Gehaltsunterlagen, die auch für die Gewinnermittlung wichtig sind, müssen sogar zehn Jahre lang aufbewahrt werden.
Welche Strafen drohen bei Verstößen?
Mit Inkrafttreten der DSGVO sind die Strafen für Datenschutzverstöße drastisch gestiegen. Dies betrifft auch die Verarbeitung von Mitarbeiterdaten. So können die Aufsichtsbehörden für bestimmte Verstöße Bußgelder in Höhe von bis zu 20 Millionen Euroverhängen. Auch wenn es eher unwahrscheinlich ist, dass kleinere Unternehmen so eine hohe Strafe zahlen müssen, sollten Arbeitgeber trotzdem alles tun, um die Daten ihrer Mitarbeiter DSGVO-konform zu schützen.