Neuer Datenschutz im Beschäftigungsverhältnis – die Anforderungen der DSGVO

Die neue Datenschutz-Grundverordnung, kurz DSGVO, betrifft alle Bereiche des Unternehmens, in dem personenbezogene Daten verarbeitet werden – also auch den Bereich des Personals.

Die neue Datenschutz-Grundverordnung, kurz DSGVO, betrifft alle Bereiche des Unternehmens, in dem personenbezogene Daten verarbeitet werden – also auch den Bereich des Personals. Die Verordnung ist bereits im Mai 2016 in Kraft getreten und mit dem 25. Mai 2018 anzuwenden. Wir befinden uns also am Ende der „Übergangsfrist“.
 
Durch die DSGVO ändert sich für die Arbeitgeber inhaltlich wenig – aber formell ergeben sich einige neue Verpflichtungen – der Dokumentationsaufwand wird also deutlich steigen, denn alle Unter-nehmer, die mindesten einen Arbeitnehmer beschäftigen, verarbeiten automatisch personenbezogene Daten. Sie sind deshalb für die Einhaltung der Vorschriften der DSGVO verantwortlich. Daher ist es zwingend erforderlich, alle Maßnahmen zur Beachtung des Datenschutzes von der Anbahnung des Arbeitsverhältnisses bis zur Beendigung zu dokumentieren.
 
Darüber hinaus zählt der Transparenzgrundsatz zu den wesentlichen Prinzipien der DSGVO. Unternehmen müssen ihre Bewerber und Mitarbeiter daher zukünftig genau darüber informieren ob, wie und weshalb ihre personenbezogenen Daten verarbeitet werden. Diese Informationen müssen in klarer und einfacher Sprache erfolgen, sie müssen leicht zugänglich sein und die Übermittlung muss schriftlich oder (nachvollziehbar) digital erfolgen – eine mündliche Mitteilung ist nicht ausreichend!

Erheben und Verarbeiten von personenbezogenen Daten
Werden die personenbezogenen Daten direkt bei der betroffenen Person erhoben, muss der Verantwortliche folgendes mitteilen: 

  • Name und Kontaktdaten des Verantwortlichen
  • Zweck und Rechtsgrundlage der Datenverarbeitung
  • Ggf. berechtigtes Interesse der Datenverarbeitung (z.B. Daten zur Gehaltsabrechnung benötigt)
  • Ggf. die Übermittlung der Daten (z.B. Weitergabe an den Betriebsrat, Buchung oder Abrechnung durch Steuerberater)

Daneben müssen die Dauer der Speicherung, die Rechte der Betroffenen und die Hintergründe der Bereitstellung mitgeteilt werden. Erfolgt die Information nicht direkt bei der Datenerhebung, muss sie innerhalb eines Monates nach Datenerhebung erfolgen.

Löschen nach Nutzung oder bei Widerruf der Einwilligung
Werden die personenbezogenen Daten nicht mehr benötigt oder wird eine Einwilligung wider-rufen sind die entsprechenden personenbezogenen Daten unverzüglich zu löschen.
Wurden im Zusammenhang mit der Verarbeitung Daten an andere Verantwortliche weitergeleitet, hat der Verantwortliche die anderen darüber zu informieren, dass die betroffene Person von ihm die Löschung aller personenbezogenen Daten verlangt hat.
 
Informationspflichten bei Datenschutzverletzungen
Wird der Datenschutz verletzt, muss der Verantwortliche die Verletzung unverzüglich und möglichst binnen 72 Stunden der zuständigen Aufsichtsbehörde mitteilen.
 
Vorsicht bei freiwilligen Leistungen im Rahmen eines Beschäftigungsverhältnisses
Grundsätzlich regelt § 26 des Beschäftigtendatenschutzes (BDSG), dass personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen, wenn dies für die Entscheidung über ein Beschäftigungsverhältnis oder – nach Begründung – für dessen Durchführung oder Beendigung erforderlich ist.
Diese Regelung hat aber bei freiwilligen Leistungen schon ihre Grenzen erreicht. Zum Beispiel muss der Arbeitnehmer zukünftig bei der Durchführung eines betrieblichen Gesundheitsmanagements separat zustimmen, da es sich hierbei um eine freiwillige Leistung handelt.
 
Religions- und Gewerkschaftszugehörigkeit sowie Gesundheitsdaten besonders geschützt
Besonderen Schutz genießen die Daten besonderer Kategorien wie bspw. Religionszugehörigkeit, Gewerkschaftszugehörigkeit und Gesundheitsdaten. Hier muss der Arbeitnehmer ebenfalls in die Verarbeitung der Daten ausdrücklich einwilligen. Die Einwilligung hat schriftlich zu erfolgen.
 
Bewerber genauso geschützt wie Mitarbeiter
Unter den Schutzbereich fallen auch Bewerber und Bewerberinnen. Personenbezogene Daten dürfen im Bewerbungsprozess daher verarbeitet werden, wenn dies erforderlich ist – es dürfen jedoch nur die Daten erhoben und verarbeitet werden, die für eine Beurteilung der Eignung benötigt werden.
Auch im Bewerbungsprozess gelten die Grundsätze der Datenminimierung und Speicherbegrenzung – es muss also gewährleistet sein, dass nur die in den Prozess eingebundenen Personen Zugriff auf die personenbezogenen Daten des Bewerbers bzw. der Bewerberin erhalten.
Tipp: Richten Sie für die Bewerbungen ein separates Email-Postfach ein, dann kann der Zugriff genau geregelt werden.
Ist das Bewerbungsverfahren beendet, müssen die Daten von abgelehnten Bewerbern zurückgeschickt, gelöscht oder vernichtet werden.
Achtung: Auch wenn eine Bewerberin bzw. ein Bewerber eingestellt wird, sind die Zeugnisse, das Anschreiben und weitere Daten zu löschen, sofern sie nicht für die Durchführung des Beschäftigungs-verhältnisses erforderlich sind.
 
Bestehendes Arbeitsverhältnis – Datenfluss prüfen!
Es können selbstverständlich die Daten für die Durchführung der Lohnabrechnung gespeichert und verarbeitet werden.
Wichtig: Gibt der Arbeitgeber die Daten zur Lohnabrechnung beispielsweise an einen Steuerberater weiter, so hat er die Beschäftigten zwingend darüber zu informieren. Für die Weitergabe der Daten an die Krankenkassen und das Finanzamt soll das wohl nicht gelten – eine endgültige Klärung steht hier jedoch leider noch aus.
 
Bearbeitung und Verwaltung von Krankheitsfällen
Gesundheitsdaten unterliegen besonderen Regelungen. Der Zugang zu den AU-Bescheinigungen ist durch den Arbeitgeber auf ein Minimum zu reduzieren und die Arbeitnehmer sind darüber zu informieren. Bereits die Weitergabe an direkte Vorgesetzte ist kritisch. Eine Information über die Dauer der Abwesenheit sei ausreichend, urteilen viele Datenschutzexperten.
Folgerichtig haben sich die Regelungen zum Betrieblichen Eingliederungsmanagement (BEM) auch entsprechend verschärft. Wird der Lohn extern abgerechnet, ist es im Regelfall ausreichend, die Dauer der Abwesenheit für die Abrechnung gegenüber den Krankenkassen zu übermitteln. Weitere Daten sind hier nicht erforderlich.
 
Veröffentlichung von Daten (z.B. Website, Broschüren, Intranet)
Der Arbeitnehmer hat der Veröffentlichung seiner Daten immer zuzustimmen. Auf der Einwilligungserklärung ist im Übrigen genau anzugeben, für welche Zwecke beispielsweise personenbezogene Kontaktdaten (E-Mail) oder Daten aus dem Lebenslauf (Abschluss, Stationen, Qualifikationen) oder gar dem Privaten (Sportvereine, soziales Engagement) verwendet werden sollen. Unverändert gelten zudem die gesetzlichen Regelungen für Fotografien im Hinblick auf das Recht am eigenen Bild.
 
Beendigung des Arbeitsverhältnisses
Die Daten des Beschäftigten sind zu löschen – soweit diese nicht noch benötigt werden um nachvertragliche Ansprüche zu erfüllen und gesetzliche Aufbewahrungsverpflichtungen. Bspw. sind nach § 147 Abs. 1 Nr. 5 und Abs. 3 AO und § 41 Abs. 1 S. 9 EstG eine 6-jähirge Aufbewahrungsfrist der für den Lohnsteuerabzug maßgeblichen Daten vor (Lohnsteuerklasse, Freibeträge etc.). Der Arbeit-nehmer kann dabei auch aktiv die Löschung seiner Daten verlangen. Dabei genügt es nicht die Daten zu löschen und in den „Papierkorb“ zu verschieben – die Daten müssen nach dem Stand der Technik so gelöscht werden, dass ein späteres Wiederherstellen nicht oder nur sehr schwer möglich ist.

Veröffentlicht im Juni 2018

 

Das könnte Sie auch interessieren

Christine Mayer-Stöcker

Dipl. Volkswirtin (FH) Christine Mayer-Stöcker ist Partnerin der Mayer & Kollegen Steuerberatungsgesellschaft. Die Steuerberaterin ist auf die Betreuung der grünen Gewerbebetriebe, Agrarunternehmen und das Agribusiness spezialisiert.

Mehr zur Person » Kontakt aufnehmen »