Worum geht's?
Wenn Sie Arbeitnehmer beschäftigen, ist die DSGVO gleich in mehrfacher Hinsicht relevant: Sie spielt nicht nur für die Außenwirkung Ihres Unternehmens eine Rolle, sondern auch im Innenverhältnis. Geht es um den Datenschutz von Mitarbeiterdaten, liegen Ihnen oftmals sensible Informationen über Abwesenheiten aufgrund von Krankheit oder Angaben zur Religionszugehörigkeit vor. Manche Daten dürfen Sie erst gar nicht erheben. Und auch für alle anderen Angaben müssen Sie angemessene Schutzmaßnahmen ergreifen. Wir zeigen Ihnen, wie Sie Ihre Mitarbeiter und Ihr Unternehmen gleichermaßen schützen.
1. Welche Personaldaten darf ich als Arbeitgeber erheben?
Der Schutz von Mitarbeiterdaten unterliegt gemäß der Datenschutzgrundverordnung (DSGVO) strengen Regeln. Das Erheben, Speichern, Verarbeiten und Übermitteln von personenbezogenen Daten – also auch von Personaldaten – ist nur dann erlaubt, wenn mindestens eine der folgenden Bedingungen erfüllt ist:
- Die betroffenen Personen haben der Verarbeitung ihrer Daten zugestimmt.
- Die Erhebung und Verarbeitung der Daten ist notwendig, um einen Vertrag zu erfüllen.
- Eine gesetzliche Grundlage rechtfertigt die Datenverarbeitung.
Für Sie als Arbeitgeber bedeutet das: Sie dürfen nur dann die Daten Ihrer Mitarbeiter erheben, wenn die Datenverarbeitung laut der DSGVO zulässig ist. Denn: Grundsätzlich hat jede Person (und damit auch die Beschäftigten Ihres Unternehmens) ein Recht auf informationelle Selbstbestimmung und auf Schutz der eigenen Daten.
Spezifiziert werden die Vorgaben der Datenschutz-Grundverordnung in Deutschland vom neuen Bundesdatenschutzgesetz (BDSG-neu). Dort ist unter anderem festgehalten, dass eine Verarbeitung personenbezogener Daten im Beschäftigungskontext zulässig ist, wenn diese für die Begründung, Durchführung oder Beendigung eines Arbeitsverhältnisses benötigt werden.
Welche Mitarbeiterdaten kann ich ohne Einschränkung erheben?
Als Arbeitgeber kommen Sie um die Erhebung bestimmter Personaldaten nicht herum. Ob Sie jemanden einstellen möchten, Gehalt auszahlen oder einen Aufhebungsvertrag vorbereiten – ohne personenbezogene Daten geht es nicht, wenn Sie Ihre Pflichten als Arbeitgeber ordnungsgemäß erfüllen wollen.
Daher geben Ihnen die DSGVO und das BDSG das Recht, gewisse Daten Ihrer Arbeitnehmer zu erheben, wenn diese für das Arbeitsverhältnis notwendig sind. Dazu zählen:
- Name
- Adresse
- Kontaktdaten
- Kontoverbindung
- Allgemeine Steuerangaben (Steuerklasse, Steuer-ID etc.)
Für welche Personaldaten besteht ein besonderer Schutz?
Daneben gibt es Datenkategorien, die nur unter bestimmten Bedingungen verarbeitet werden dürfen, da diese besonders schützenswert sind. Darunter fallen:
- Gesundheitsinformationen
- Religionszugehörigkeit
- Gewerkschaftszugehörigkeit
- Genetische und biometrische Daten
- Daten zum Sexualleben oder der sexuellen Orientierung
Der Großteil dieser personenbezogenen Daten ist für Sie als Arbeitgeber tabu, da sie gemäß Artikel 9 DSGVO grundsätzlich nicht verarbeitet werden dürfen. Es gibt aber auch Daten wie Gesundheitsdaten und Religionszugehörigkeit, die Sie für die Lohnabrechnung erheben müssen – etwa, um Krankheitstage zu berechnen oder um die Kirchensteuer zu berücksichtigen.
AUSNAHME
In diesem Fall greift eine Ausnahmeregel (das sogenannte “berechtigte Interesse”), da Sie die Daten zu arbeits- und sozialrechtlichen Zwecken verarbeiten. Die Datenverarbeitung muss aber deutlich wichtiger sein als die Persönlichkeitsrechte der einzelnen Person.
Bei allen personenbezogenen Daten, die Sie von Ihren Arbeitnehmern erheben – und ganz besonders den schützenswerten Datenkategorien – müssen Sie einen angemessenen Datenschutz sicherstellen. Das heißt, Krankheitstage von Kollegen dürfen zum Beispiel nicht öffentlich für alle anderen Mitarbeiter einsehbar sein.
2. Für welche Mitarbeiterdaten benötige ich eine Einwilligung?
Es gibt auch Personaldaten, die Sie gar nicht erheben dürfen, sofern Ihnen nicht die ausdrückliche Einwilligung der betreffenden Arbeitnehmer vorliegt. Das gilt insbesondere für folgende Vorgänge:
- Videoüberwachung am Arbeitsplatz
- Erstellen öffentlicher Dienstpläne oder Geburtstagslisten
- Veröffentlichung von Mitarbeiterfotos auf der Firmenwebsite
- Veröffentlichung von Personaldaten im Intranet
Wichtig ist: Der Mitarbeiter muss freiwillig einwilligen, Sie müssen ihn vorab umfassend über die Datenerhebung und über seine Möglichkeit zu widerrufen informieren und die Einwilligung muss schriftlich oder elektronisch vorliegen.
Eine Einschränkung gibt es bei bestimmten Veröffentlichungen auf der Firmenwebsite, in Broschüren und dem Firmen-Intranet: Ohne gegen den Arbeitnehmerdatenschutz zu verstoßen, dürfen Sie den Namen, die Tätigkeit sowie die dienstliche E-Mail-Adresse und Telefonnummer auch ohne ausdrückliche Zustimmung Ihres Mitarbeiters veröffentlichen.
Es gilt der Grundsatz der Erforderlichkeit: Diese Daten sind notwendig, damit andere Abteilungen und Geschäftspartner die verantwortlichen Personen im Unternehmen kontaktieren können. Das gilt jedoch nicht für Fotos oder persönliche Angaben zum Lebenslauf der Person. Möchten Sie mit diesen Ihre Firmenwebsite ansprechender gestalten, brauchen Sie in jedem Fall die Zustimmung der betreffenden Mitarbeiter.
PRAXIS-TIPP
Bedenken Sie: Ihre Mitarbeiter haben jederzeit das Recht, eine erteilte Einwilligung zu widerrufen. Spätestens, wenn ein Arbeitnehmer das Unternehmen verlässt, sollten Sie prüfen, wie und wann seine Mitarbeiterdaten gemäß DSGVO zu löschen sind – und zwar nicht nur diejenigen, die sich auf der Firmenwebsite befinden. Lesen Sie dazu gerne unseren Artikel zum Thema “Datenschutz für ausgeschiedene Mitarbeiter”.
3. Dürfen meine Mitarbeiter wissen, welche Daten ich von ihnen gespeichert habe?
Ja, das dürfen sie – Ihre Mitarbeiter haben sogar einen gesetzlich verankerten Anspruch darauf, nämlich das Recht auf Auskunft gemäß Artikel 15 DSGVO.
Verlangt einer Ihrer Beschäftigten Einsicht in die von ihm gespeicherten personenbezogenen Daten – etwa denen in seiner Personalakte – müssen Sie seinem Auskunftsgesuch nachkommen. Das gilt nicht nur für Daten wie Adresse oder Kontoverbindung, sondern auch für Informationen über sein Verhalten am Arbeitsplatz oder sein Leistungsvermögen. Ihr Arbeitnehmer hat ein Recht auf eine Kopie seiner Daten, die Sie ihm aushändigen müssen.
Sind Angaben nicht mehr relevant bzw. falsch oder unvollständig, haben Mitarbeiter zudem gemäß der DSGVO Anspruch auf Berichtigung und Löschung der fehlerhaften Daten.
4. Datenschutz Mitarbeiterdaten: Was ist noch wichtig?
Der Arbeitnehmerdatenschutz schützt die Daten Ihrer Mitarbeiter umfangreich. Möchten Sie beispielsweise Personaldaten erheben, um eine vermeintliche Straftat aufzuklären, brauchen Sie dafür einen tatsächlichen, verdachtsbezogenen Anhaltspunkt.
WICHTIG
Das heißt für Arbeitgeber: Eine verdachtsunabhängige, anlasslose Generalkontrolle – etwa durch eine Videoüberwachung am Arbeitsplatz – ist unzulässig.
Wenn Sie die private E-Mail-Nutzung am Arbeitsplatz nicht ausdrücklich untersagen, dürfen Sie nicht auf das Postfach des Mitarbeiters zugreifen – es gilt das Fernmeldegeheimnis. Besuchte Internetseiten gehen Sie als Arbeitgeber ebenfalls nichts an, wenn Sie die private Internetnutzung am Arbeitsplatz erlaubt haben.
Ist einer Ihrer Arbeitnehmer krank, dürfen Sie auch nicht erfragen, warum genau dieser sich krank gemeldet hat. Ihr Mitarbeiter muss Ihnen hierüber keine Auskunft erteilen.
5. Wie stelle ich den Datenschutz der Mitarbeiterdaten im Unternehmen sicher?
Um das Thema “Datenschutz im Unternehmen” kommt heute kein Arbeitgeber mehr herum. Doch nicht alle Firmen haben einen eigenen Datenschutzbeauftragten, der bei diesem Thema versiert ist. Gerade für kleinere Unternehmen ist die Umsetzung der DSGVO oftmals eine Herausforderung – dabei ist es gar nicht so schwer, die Daten richtig zu schützen.
Personaldaten durch geeignete Maßnahmen schützen
In der Regel befinden sich alle relevanten Daten eines Arbeitsverhältnisses in der Personalakte. Diese kann in Papierform oder elektronisch geführt werden – wichtig ist aber in jedem Fall, dass nur berechtigte Personen Zugriff auf die dort gespeicherten Daten haben.
Den Datenschutz der Mitarbeiterdaten in der Personalakte können Sie durch folgende Maßnahmen sicherstellen:
- Abschließbare Aktenschränke, zu denen nur die personalverantwortlichen Personen Zugang haben (bei Personalakten in Papierform)
- Firewalls, Zugangsbeschränkungen durch starke Passwörter, passwortgeschützte Ordner, aktuelle Anti-Viren- und Malware-Software (bei elektronischen Personalakten)
Als Arbeitgeber müssen Sie den Datenschutz der Mitarbeiterdaten durch geeignete technische und organisatorische Maßnahmen – kurz TOM – sicherstellen. Diese sind lückenlos zu Nachweiszwecken in einem Verarbeitungsverzeichnis zu dokumentieren.
Mitarbeitende im Datenschutz schulen
Schulen und sensibilisieren Sie Ihre Mitarbeiter für den Datenschutz. Erklären Sie ihnen, wie mit eigenen und Unternehmensdaten umzugehen ist. Hier kann es sinnvoll sein, für jede Abteilung eigene Schulungen anzubieten, denn Mitarbeiter aus der Buchhaltung werden andere Fragen bezüglich des Datenschutzes von Mitarbeiterdaten haben als die Marketing- oder Personalabteilung.
Die Schulungen sollten regelmäßig durchgeführt werden, um das Wissen über den Beschäftigtendatenschutz und andere Vorschriften der DSGVO auf dem aktuellen Stand zu halten.
Bei Unternehmen ab 20 Mitarbeitern ist es Aufgabe des Datenschutzbeauftragten, die Mitarbeiter in Sachen Datenschutz zu sensibilisieren. Führen Sie einen kleineren Betrieb, kann auch ein externer Datenschutzbeauftragter die Schulungen durchführen.
Betriebliche Prozesse DSGVO-konform gestalten
Beim Datenschutz von Mitarbeiterdaten kommt es nicht nur darauf an, die Personalakten der Beschäftigten für andere unzugänglich aufzubewahren, sondern sämtliche Prozesse im Unternehmen datenschutzkonform zu gestalten.
Dazu gehört, dass Sie schriftlich festhalten,
- welche Personaldaten und sonstigen personenbezogenen Daten (etwa von Geschäftspartnern oder Kunden) erhoben,
- zu welchem Zweck sie verarbeitet,
- für welchen Zeitraum sie gespeichert
- und wann sie gelöscht werden.
Auch wer Zugriff auf die Daten von Mitarbeitern, Kunden und Geschäftspartnern hat, sollte transparent definiert werden. Hinsichtlich bestimmter Löschfristen ist ein Löschkonzept gemäß DSGVO sinnvoll – denn egal von wem Sie personenbezogene Daten erheben: Unbegrenzt aufbewahren und speichern dürfen Sie diese nicht.
6. Welche Besonderheiten beim Datenschutz gelten für Daten von Bewerbern?
Laut Bundesdatenschutzgesetz zählen Bewerber bereits als Beschäftigte. Das bedeutet: Sobald sich jemand bei Ihrem Unternehmen auf eine Stelle bewirbt, gelten für diese Person die gleichen Anforderungen hinsichtlich des Datenschutzes wie für langjährige Arbeitsverhältnisse. Es gibt aber auch ein paar Besonderheiten.
GUT ZU WISSEN
Als Arbeitgeber dürfen Sie in Bewerbungsprozessen nur die personenbezogenen Daten Ihrer Kandidaten erfragen und speichern, die auch tatsächlich für die Bewerberauswahl wichtig sind.
Beim Datenschutz in Bewerbungsprozessen gilt also:
- Allgemeine Daten zur Person sowie deren Kontaktdaten dürfen Sie im Bewerbungsprozess erheben. Kontoverbindung oder Steuerabgaben sind beim Bewerbungsgespräch jedoch noch nicht relevant.
- Erfragen Sie nur Punkte, die für die Besetzung der Position wichtig sind. Während Fragen nach dem beruflichen Werdegang, Qualifikationen und Beurteilungen früherer Arbeitgeber zulässig sind, sollten Sie davon absehen, Zukunftspläne, Familienplanung oder politische Anschauungen in Erfahrung zu bringen.
- Nachfragen im Bewerbungsgespräch nach sensiblen Informationen wie dem Gesundheitszustand oder Vorstrafen sind nur dann zulässig, wenn es die zu besetzende Position erfordert.
Können sich Interessierte über Ihre Unternehmenswebsite auf eine offene Stelle bewerben, müssen Sie zudem in Ihrer Datenschutzerklärung festhalten, was genau mit den angegebenen Informationen passiert – also wieder: Welche Daten werden warum und wie lange zu welchem Zweck erhoben und verarbeitet.
Mehr Informationen erhalten Sie im Artikel “Datenschutzerklärung für Bewerbungen”. Um eine Datenschutzerklärung zu erstellen, können Sie einfach unseren Generator nutzen.
Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz-Generator
- Einfache Integration in Ihre Website
- Anwaltlich geprüfter Generator
- Für Sie kostenfrei mit Registrierung in wenigen Schritten
7. Welche Aufbewahrungsfristen muss ich beachten?
Personenbezogene Daten dürfen nicht beliebig lang gespeichert werden, sondern nur solange, wie sie für den Verarbeitungszweck auch benötigt werden. Entfällt dieser Zweck, sind die Daten zu löschen – zumindest dann, wenn keine andere rechtliche Grundlage eine längere Datenspeicherung des Beschäftigungsverhältnisses legitimiert oder sogar erfordert.
Gesetzliche Aufbewahrungsfristen setzen das Recht auf Löschung gemäß DSGVO der betroffenen Personen (zumindest zeitweise) somit außer Kraft. Welche Aufbewahrungs- und Löschfristen für welche Daten gelten, hängt von der Datenart und der zugrundeliegenden gesetzlichen Vorschrift ab.
So sind etwa steuerrechtlich relevante Unterlagen erst nach sechs bzw. zehn Jahren zu vernichten. Für Buchungsbelege (dazu gehören z. B. auch Überstundenzettel ausgezahlter Mehrarbeit) besteht ebenfalls eine zehnjährige Aufbewahrungsfrist. Für Daten im Zusammenhang mit betrieblicher Altersvorsorge und Pensionskasse sind es sogar 30 Jahre.
Um den Überblick über die verschiedenen Löschfristen von Personaldaten nicht zu verlieren, sollten Sie ein Löschkonzept ausarbeiten. Dieses erleichtert Ihnen, Ihr Interesse als Arbeitgeber an einer Datenspeicherung gegen das Löschinteresse Ihres Angestellten abzuwägen, Fristen zu beachten und Ihren Arbeitgeberpflichten nachzukommen.
Bewerberdaten dürfen hingegen nur im Zeitraum des Recruitingverfahrens verarbeitet werden. Dann entscheidet der Ausgang des Verfahrens über den weiteren Umgang hinsichtlich des Datenschutzes der Mitarbeiterdaten:
- Stellen Sie den Bewerber ein, greift der Mitarbeiterdaten-Datenschutz. Das heißt, bestimmte Informationen dürfen Sie ohne, einige nur mit Einverständnis erheben, für andere benötigen Sie wiederum die Zustimmung Ihres neuen Mitarbeiters.
- Entscheiden Sie sich gegen den Bewerber, müssen Sie die Daten spätestens sechs Monate nach Absage löschen. Möchten Sie die Daten speichern, um den Bewerber zukünftig bei einer geeigneteren Stelle erneut zu kontaktieren, benötigen Sie dessen ausdrückliches Einverständnis.
Möchten Sie einen Bewerberpool für zukünftige Stellen aufbauen, sollten Sie die Daten potenzieller Kandidaten auch mit deren Einverständnis nicht länger als ein Jahr speichern. Eine längere Dauer wäre aber ohnehin wenig sinnvoll, da die Informationen über den beruflichen Werdegang und andere Qualifikationen nicht mehr aktuell wären.
8. Was passiert bei Verstößen gegen den Datenschutz?
Der Datenschutz gegenüber Mitarbeitern spielt in Unternehmen eine große Rolle. Beachten Sie als Arbeitgeber die Datenschutzvorgaben der DSGVO nicht, kann das schwerwiegende Folgen haben: Unternehmen drohen bei Datenschutzverstößen Bußgelder von bis zu 4% des weltweiten Umsatzes bzw. bis zu 20 Millionen Euro. Als Geschäftsführer können Sie zudem persönlich haften.
Es lohnt sich also, alles korrekt zu machen – und zwar nicht nur in finanzieller Hinsicht. Denn wer als Unternehmen Wert auf den Datenschutz von Mitarbeiterdaten, Geschäftspartner- und Kundendaten legt, pflegt seine Reputation, baut Vertrauen auf und kann neue Partnerschaften und Mitarbeiter für sich gewinnen.
Die Einhaltung von DSGVO und Datenschutz nicht nur von Mitarbeiterdaten, sondern in sämtlichen inner- und außerbetrieblichen Prozessen kann somit zum Wettbewerbsvorteil werden. Sie benötigen Unterstützung bei der Umsetzung datenschutzrechtlicher Vorgaben? Dann schauen Sie doch mal hier:
9. Häufige Fragen zum Datenschutz von Mitarbeiterdaten
- Zurück zur Übersicht: "Datenschutz"
- Was müssen Unternehmen nach der DSGVO intern regeln?
- Google Analytics
- Google Consent Mode
- Datenschutz bei Zoom
- Datenschutz bei Videokonferenzen
- Formulare
- Pur-Abo-Modell für Content-Unternehmen
- Datenschutz & Datenschutzerklärung für Handwerker
- Datenschutz für Immobilienmakler