Wenn Sie Arbeitnehmer beschäftigen, ist die DSGVO gleich in mehrfacher Hinsicht für Sie relevant: im Außenauftritt, aber auch innerhalb Ihres Unternehmens. Das gilt auch, wenn Sie Leiharbeiter oder Auszubildende beschäftigen und geht bereits beim Vorstellungsgespräch los. Hier ein kurzer Überblick.
Welche Daten darf ich erheben?
Es gilt der Grundsatz: Sie dürfen personenbezogene Daten Ihrer Beschäftigten erheben, sofern es für die Erfüllung, Aufnahme und Beendigung eines Arbeitsverhältnisses erforderlich ist. Das ist wichtig sowohl, wenn Sie einen Bewerber einstellen, also auch, wenn Sie einen Tarifvertrag oder eine Betriebsvereinbarung aufsetzen. Insbesondere können folgende Daten betroffen sein:
Daten im Zusammenhang mit der Bewerbung und Anstellung
- Bewerberdaten (Name, Adresse)
- allgemeine Personen- und Kontaktdaten
- Kontoverbindung
- Tätigkeitsprofil, Position
- Steuerangaben
Diese Daten können Sie im Rahmen des Bewerbungsprozesses und der Beschäftigung erheben, ohne dass Sie dafür jeweils eine gesonderte konkrete Einwilligung brauchen. Holen Sie hier zu Beginn des Bewerbungsprozesses bzw. im Arbeitsvertrag eine Einwilligung ein.
Besondere Kategorien personenbezogener Daten
- Gesundheitsinformationen
- Religionszugehörigkeit
Hierbei handelt es sich um besondere Kategorien personenbezogener Daten gemäß Artikel 9 DSGVO, die grundsätzlich nicht verarbeitet werden dürfen. Als Arbeitgeber brauchen Sie diese aber für die Lohnabrechnung, um etwa Krankheitstage zu berechnen oder die Kirchensteuer zu berücksichtigen. Hier greift also eine Ausnahmeregel, weil Sie die Daten zu arbeits- und sozialrechtlichen Zwecken verarbeiten und dies hierzu erforderlich ist.
Arbeitnehmerdatenschutz
Darüber hinaus gibt es aber Vorgänge, bei denen der Arbeitnehmerdatenschutz greift: Ihre Arbeitnehmer haben ein Recht auf informationelle Selbstbestimmung und Sie dürfen ihre Daten nur mit ihrer Einwilligung verarbeiten. Das gilt insbesonder für folgende Vorgänge:
- Videoüberwachung am Arbeitsplatz
- Erstellung öffentlicher Dienstpläne und Listen
- Überlassung von Arbeitsgeräten
- Überlassung von Dienstfahrzeugen
Was ist, wenn ich eine Einwilligung meiner Mitarbeiter einholen will?
Holen Sie Einwilligungen Ihrer Mitarbeiter korrekt ein und speichern Sie diese. Wichtig ist dabei wie immer:
- Der Mitarbeiter muss freiwillig einwilligen,
- Sie müssen ihn vorab umfassend – auch über seine Möglichkeit zu widerrufen – informieren und
- die Einwilligung muss schriftlich oder elektronisch vorliegen.
Was ist noch wichtig beim Mitarbeiterdatenschutz?
Wenn Sie Daten Ihrer Mitarbeiter erheben möchten, um eine Straftat aufzuklären, brauchen Sie dafür einen tatsächlichen verdachtsbezogenen Anhaltspunkt. Zudem müssen die Daten hierzu geeignet sein. Das bedeutet im Umkehrschluss: Für eine verdachtsunabhängige Generalkontrolle, z.B. durch Videoüberwachung am Arbeitsplatz, brauchen Sie eine Einwilligung oder ein berechtigtes Interesse.
Wenn Sie die private Nutzung eines E-Mail-Accounts nicht ausdrücklich untersagen, dürfen Sie auch nicht auf das Postfach des Mitarbeiters zugreifen (Fernmeldegeheimnis). Das gilt auch dann, wenn der Mitarbeiter nicht mehr bei Ihnen beschäftigt ist.
Ihre Mitarbeiter haben das Recht auf Auskunft über die bei Ihnen gespeicherten personenbezogenen Daten sowie auf Löschung unrechtmäßig gespeicherter Daten. Zudem dürfen Ihre Mitarbeiter ihre Personalakte einsehen.
Sie dürfen von Ihren Mitarbeitern nicht erfragen, warum genau Sie sich krankgemeldet haben. Der Mitarbeiter muss Ihnen hierüber keine Auskunft erteilen. Auch dürfen Sie nicht ihren Arzt ohne ihre Einwilligung fragen, da er der ärztlichen Schweigepflicht unterliegt.
Wie soll ich Mitarbeitern den Datenschutz näherbringen?
Schulen und sensibilisieren Sie Ihre Mitarbeiter. Erklären Sie ihnen, wie Sie mit ihren eigenen sowie Unternehmensdaten umgehen müssen. Besprechen Sie mit Ihnen auch, wie sie auf privaten Social-Media-Profilen kommunizieren sollen und was sie nicht dürfen. Lesen Sie zu diesem Thema auch unseren Artikel "Social Media Guidelines: Wie kommunizieren Ihre Mitarbeiter bei Facebook & Co.?".
Welche Datenverarbeitungsvorgänge sind wichtig?
Analysieren Sie alle Datenverarbeitungsvorgänge in Ihrem Unternehmen. Denken Sie dabei auch an das Verarbeitungsverzeichnis und holen Sie sich Unterstützung von Ihrem Datenschutzbeauftragten, sofern Sie diesen haben.
Wichtig: Wenn Sie Datenschutzvorgaben der DSGVO nicht beachten, drohen Ihnen bei Datenschutzverstößen Bußgelder von bis zu 4% des weltweiten Umsatzes oder 20. Mio. Euro. Es lohnt sich also, alles korrekt zu machen. Wenn Sie unsicher sind, lassen Sie sich von einem auf Internet- und Datenschutzrecht spezialisierten Anwalt beraten: https://www.kanzlei-siebert.de/
Der Datenschutz gegenüber Ihren Mitarbeitern spielt in Unternehmen eine große Rolle. Neben allgemeinen Fragen stellen sich auch Spezialfragen, zum Beispiel zur firmeninternen Nutzung von Tools wie WhatsApp. Diese Frage beantworten wir in dem Artikel „WhatsApp und die DSGVO: Darf der Messenger auf dem Firmenhandy bleiben?“. Und für weitere Details zur DSGVO für alle Unternehmer schauen Sie sich gern hier um:
Mehr Details zur Datenschutzgrundverordnung - DSGVO