Datenschutz im Personalwesen: Die rechtlichen Grundlagen | Gastbeitrag

Mit der zunehmenden Digitalisierung der Gesellschaft und damit auch der Unternehmen gewinnt der Datenschutz beständig an Bedeutung. Doch hat dies nicht nur Auswirkungen auf das Verhältnis zwischen Kunden und Unternehmen, sondern auch zwischen  Arbeitnehmern und Arbeitgebern: DSGVO-spezifische Rechte für Arbeitnehmer und Bewerber, Löschfristen, hohe Anforderungen an den sicheren Umgang mit ihren Daten und die schlichte Vielfalt juristischer Normen stellen eine gewaltige Herausforderung für kleine und mittelständische Unternehmen dar. Einen Abriss der wichtigsten Punkte für Personaler finden Sie hier.

Arbeitnehmerdatenschutz: Die rechtlichen Grundlagen

Rechtsquellen für den Arbeitnehmerdatenschutz gibt es viele: Neben der schon genannten DSGVO (“Datenschutz-Grundverordnung”) hat vor allem das BDSG (“Bundesdatenschutzgesetz”) Bedeutung. In Sonderfällen kommt dann beispielsweise noch branchenspezifisches Sonderrecht in Betracht. Das Ziel des Arbeitnehmerdatenschutzes ist es, die Persönlichkeitsrechte der Arbeitnehmer und Bewerber zu schützen. Dazu sollen möglichst wenige personenbezogene Daten erhoben werden, was dem Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c der DSGVO entspricht. 

Auch dürfen einmal erhobene Daten nicht beliebig weiterverarbeitet werden: Nach dem Grundsatz der Zweckbindung aus Art. 5 Abs. 1 lit. b der DSGVO dürfen Daten nur zu dem Zweck verarbeitet werden, zu dem sie ursprünglich erfasst wurden. Wurden also beispielsweise die Adressdaten eines Bewerbers im Rahmen des Bewerbungsprozesses mit dem Zweck erhoben, mit ihm in Kontakt zu treten, so dürfen sie nicht später benutzt werden, um ihm zum Beispiel einen Newsletter zuzustellen. Das bedeutet auch, dass bei der Erhebung von Daten allen Beteiligten bewusst sein muss, zu welchem Zweck diese Daten erfasst werden.

Neben einem genau definierten Zweck benötigt die Erhebung und fortlaufende Speicherung von personenbezogenen Daten außerdem immer eine Rechtsgrundlage. Diese rechtlichen Vorgaben finden sich im Beschäftigtendatenschutz in § 26 BDSG. Danach ist eine Verarbeitung insbesondere möglich, wenn sie für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder später für dessen Durchführung erforderlich ist. 

Austritt aus der Firma ‒ Löschen der Daten? 

Nach den oben beschriebenen Grundsätze sind die über einen Arbeitnehmer erfassten personenbezogenen Daten unverzüglich nach der Beendigung des Arbeitsverhältnisses zu löschen. Das beinhaltet  im Grundsatz nicht nur Einträge in Datenbanken, sondern auch jede E-Mail, jede Notiz, jedes Memo sowie jedes andere Medium, das personenbezogene Daten des ehemaligen Arbeitnehmers enthält. Möglich ist nicht nur die Löschung der betroffenen Dokumente, sondern auch den jeweiligen Mitarbeiter zu anonymisieren, z.B. zu schwärzen.

Aber Vorsicht! Die Pflicht zur Löschung hat wichtige Ausnahmen: Daten, die für arbeitsrechtliche Auseinandersetzungen bedeutsam sein können, sind drei Jahre, steuerrechtlich relevante Unterlagen und Geschäftsbriefe (einschließlich E-Mails), sechs Jahre, und Dokumente, die für die Gewinnermittlung des Unternehmens relevant sind, zehn Jahre aufzubewahren ‒ auch wenn sie den Namen des ausgeschiedenen Mitarbeiters beinhalten.

Bei abgelehnten Bewerbern ist noch größere Vorsicht ratsam, da diese eine unrichtige Datenverarbeitung als Vorwand nehmen können, gegen das Unternehmen vorzugehen. Arbeitgeber müssen darauf vorbereitet sein, die Daten von Bewerbern zu identifizieren, lokalisieren und zu löschen. Daten abgelehnter Bewerber dürfen aufbewahrt werden, damit sich das Unternehmen gegen eine mögliche Klage nach dem Allgemeinen Gleichbehandlungsgesetz schützt. Hierfür sind die Fristen aber kurz ‒ nach maximal sechs Monaten nach der Besetzung der Stelle sind sie zu löschen.

Bedeutet Datenschutz das Aus von Talentpools?

Das beschriebene Vorgehen macht die beliebte Praxis des Speicherns von Kandidaten in Talentpools unmöglich: Bei dieser Praxis werden die Daten guter Bewerber für einen späteren Zeitpunkt gespeichert, an welchem eine neue Position zu besetzen ist. Ohne wirksame Einwilligung dürfen die personenbezogenen Daten der Bewerber aber nicht gespeichert werden, sodass Unternehmen Gefahr laufen, interessante Kandidaten aus ihrem Pool zu verlieren. Wir empfehlen daher, bei der Formulierung und Dokumentation der Einwilligung die nötige Sorgfalt walten zu lassen.

Diese Rechte haben Arbeitnehmer

Neben diesem grundlegenden Schutz haben Arbeitnehmer bestimmte Rechte, welche sie jederzeit ihrem Arbeitgeber gegenüber geltend machen können – auch nach Beendigung des Arbeitsverhältnisses:

• Falsche, veraltete oder widerrechtlich erfasste Daten muss der Arbeitgeber auf Antrag des Arbeitnehmers löschen, korrigieren oder vor weiteren Zugriffen sperren.
• Besondere personenbezogene Daten, wie solche zur Gesundheit, Religion oder Sexualität muss der Arbeitgeber besonders vor dem Zugriff Unberechtigter schützen. Bestimmte besonders sensible Daten darf ein Arbeitnehmer oder Bewerber zurückhalten, auch gegenüber dem Arbeitgeber. Sofern der Arbeitgeber versucht, Daten einzuholen, die nicht der Auskunftspflicht unterliegen, hat der Arbeitnehmer oder Bewerber das Recht, die Antwort zu verweigern oder die Unwahrheit zu sagen.

Besonders kritisch ist die Überwachung von Arbeitnehmern zu sehen, beispielsweise per Video. Die Datenschutzbehörden setzen der Praxis enge Grenzen und haben für unzulässige Überwachungspraktiken Unternehmen bereits mehrfach Bußgelder in Millionenhöhe auferlegt.  Jedes Unternehmen sollte sich gut überlegen, ob eine Überwachung wirklich erforderlich ist. In jedem Fall ist der Datenschutzbeauftragte in den Entscheidungsprozess einzubinden.

Auskunftspflichten: Transparenz für Betroffene

Im Rahmen von Art. 15 der DSGVO sind Verarbeiter von Daten, im Rahmen des Arbeitsverhältnisses also der Arbeitgeber, zur Angabe einer Reihe von Informationen verpflichtet. Dazu zählen insbesondere  die Kategorien der erhobenen Daten, ebenso die Zwecke, zu denen die Daten verarbeitet werden, die Empfänger der Daten und die geplante Dauer der Speicherung. Ebenso auskunftspflichtig ist der Umstand, wenn Daten z.B. in Cloud-Anwendungen in Drittländer übermittelt werden.

Unternehmen sind aber auch ohne Aufforderung eines Mitarbeiters zur Transparenz verpflichtet. Sie müssen die genannten Daten bereits proaktiv zur Verfügung stellen, z.B. im Rahmen einer Datenschutzerklärung für Mitarbeiter. 

Datensicherheit: Die Standards

Eine besondere Bedeutung kommt den jeweiligen Sicherheitsstandards zu: Der Verarbeiter ist verpflichtet, jederzeit „angemessene“ Standards zu gewährleisten, um zu verhindern, dass Unbefugte an die Daten gelangen, oder dass Daten verfälscht werden oder verloren gehen. Was genau als angemessen gilt, ist dabei stark situationsabhängig. Als Leitlinien können gelten:

• Daten dürfen nur auf sicheren Wegen übertragen werden. Besonders schutzwürdige Daten (z.B. Gesundheitsdaten)  dürfen nur in verschlüsselten E-Mails versendet werden und Faxe sind dafür nicht mehr zeitgemäß.
• Lediglich berechtigte Personen dürfen Zugang zu Daten haben. Es muss also ein Zugangssystem mit Passwörtern oder anderen Zugangsbeschränkungen eingerichtet werden.
• Verschiedene personenbezogene Daten müssen, sofern möglich, voneinander getrennt werden, um den Schaden im Fall eines Datenlecks klein zu halten.
• Die Lagerung von Daten muss auf gesicherten Datenträgern erfolgen, also z.B. in einer verschlüsselten Datenbank, oder für Papierakten in einem abgeschlossenen Aktenschrank.