Die Verarbeitung personenbezogener Daten von Arbeitnehmern stellt sowohl im Arbeitsrecht als auch im Datenschutzrecht einen zentralen Punkt dar. Besonders im Kontext der Datenschutz-Grundverordnung (DSGVO) gibt es zahlreiche Überschneidungen, da Arbeitgeber bei der Erhebung, Verarbeitung und Speicherung von Mitarbeiterdaten strenge Vorgaben beachten müssen.

Diese Anforderungen betreffen nicht nur den Schutz der Privatsphäre der Arbeitnehmer, sondern auch die rechtlichen Rahmenbedingungen, die im Arbeitsverhältnis eingehalten werden müssen. In diesem Artikel beleuchten wir zentrale Bereiche, die in nahezu jedem Unternehmen eine Rolle spielen.

1. Erhebung und Verarbeitung von Arbeitnehmerdaten

Arbeitgeber verarbeiten viele personenbezogene Daten von Arbeitnehmern, wie etwa:

• Bewerbungsdaten (Lebenslauf, Zeugnisse)
• Personaldaten (Adresse, Gehalt, Sozialversicherungsnummer)
• Gesundheitsdaten (für Krankmeldungen, arbeitsmedizinische Untersuchungen)

Die DSGVO legt dabei fest, dass die Erhebung und Verarbeitung dieser Daten auf einer rechtlichen Grundlage basieren muss, z.B.:

• Erfüllung eines Vertrags (Arbeitsvertrag)
• Erfüllung rechtlicher Verpflichtungen (z.B. Sozialversicherungspflichten)
• Einwilligung der Mitarbeiter (wo erforderlich)

2. Transparenzpflichten und Informationsrechte

Nach der DSGVO müssen Arbeitgeber den Arbeitnehmern klar und transparent mitteilen, welche Daten von ihnen erhoben und verarbeitet werden, zu welchem Zweck und wie lange diese gespeichert werden. Dies kann durch Datenschutzerklärungen, Informationsblätter oder Unternehmensrichtlinien erfolgen. Diese Transparenzpflicht betrifft:

• Bewerbungsprozesse
• Überwachung am Arbeitsplatz (z.B. Kameraüberwachung, IT-Systeme)

3. Rechte der Arbeitnehmer

Die DSGVO gibt den Arbeitnehmern zahlreiche Rechte in Bezug auf ihre personenbezogenen Daten:

• Recht auf Auskunft über gespeicherte Daten
• Recht auf Berichtigung falscher Daten
• Recht auf Löschung (wenn keine rechtliche Grundlage für die weitere Speicherung besteht)
• Recht auf Einschränkung der Verarbeitung
• Recht auf Widerspruch gegen bestimmte Verarbeitungen (z.B. bei Direktmarketing)

4. Überwachung am Arbeitsplatz

Die Überwachung von Arbeitnehmern, sei es durch Videoüberwachung, GPS-Tracking oder Monitoring von E-Mails und Internetnutzung, stellt eine bedeutende Schnittstelle zwischen Arbeitsrecht und Datenschutz dar. Hier gilt:

• Überwachung muss zwingend notwendig und dabei verhältnismäßig sein.
• Arbeitgeber müssen die Arbeitnehmer im Voraus über die Überwachungsmaßnahmen informieren.
• Es müssen legitime Gründe für die Überwachung vorliegen, z.B. zur Verhinderung von gefährlichen Unfällen oder Straftaten.
• Es ist das Mittel zu wählen, das den Zweck bei möglichst geringem Eingriff in die Rechte der Mitarbeiter erfüllt.

5. Datenübermittlung an Dritte

Im Arbeitsverhältnis kommt es oft zur Weitergabe von Arbeitnehmerdaten an Dritte, z.B.:

• Steuerberater
• Lohnabrechnungsdienstleister
• Verbundene Unternehmen
• HR-Management-Lösung
• IT-Dienstleister oder Cloud-Anbieter
• Versicherungen
• Krankenkassen
• Behörden

Die DSGVO verpflichtet den Arbeitgeber als Verantwortlichen, sicherzustellen, dass auch an der Verarbeitung beteiligte Dritte den Datenschutz einhalten. Sie legt detailliert fest, unter welchen Bedingungen eine Datenübermittlung personenbezogener Daten zulässig ist. In vielen Fällen sind daher Auftragsverarbeitungsverträge sowie regelmäßige Überprüfungen (Audits) bei den beteiligten Dritten bzw. Auftragsverarbeitern erforderlich.

6. Datensicherheit

Arbeitgeber sind nach der DSGVO verpflichtet, technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit der Arbeitnehmerdaten zu gewährleisten. Dies umfasst:

• Zugriffsbeschränkungen auf Daten
• Verschlüsselung sensibler Informationen
• Regelmäßige Datensicherheitsaudits
• Überprüfung der bestehenden Konzepte und Prozesse

7. Einwilligung

In bestimmten Fällen, z.B. für das Einholen und die Veröffentlichung von Fotos oder das Monitoring von IT-Systemen, kann eine Einwilligung des Arbeitnehmers erforderlich sein. Diese Einwilligung muss freiwillig und jederzeit widerrufbar sein, was im Arbeitsverhältnis oft problematisch ist, da in der Regel ein Machtungleichgewicht zwischen Arbeitgeber und Arbeitnehmer bestehen kann. Es muss daher darauf geachtet werden, das Einwilligungen wirksam und am besten schriftlich eingeholt werden.

8. Datenschutzbeauftragter (DSB)

Unternehmen, die regelmäßig sensible personenbezogene Daten verarbeiten, müssen gemäß der DSGVO möglicherweise einen internen oder externen betrieblichen Datenschutzbeauftragten benennen und bei der zuständigen Aufsichtsbehörde melden. In jedem Fall sollten sich Unternehmen aber regelmäßig in Datenschutzfragen beraten lassen, da die Geschäftsführung stets für alle datenschutzrechtlichen Verstöße haftbar ist – unabhängig von der Pflicht zur Benennung eines DSB.

Der Datenschutzbeauftragte berät die Geschäftsführung und sorgt für die Einhaltung der datenschutzrechtlichen Vorgaben. Alle Prozesse zur Verarbeitung personenbezogener Daten sind mit ihm abzustimmen, bevor diese eingesetzt werden, damit Mitarbeiter- und Kundendaten rechtmäßig verarbeitet werden.