Wissen

Datenschutzrecht. Was ist im Personalbereich zu beachten? Fragen Sie einen Anwalt!

Warum Sie zur korrekten Umsetzung Ihres Datenschutzes einen Anwalt hinzuziehen solten
peterschreiber.media/shutterstock.com

Die Kanzlei Kroll & Partner unterstreicht die passende Antwort auf die Frage, was bezüglich des Datenschutzrechts im Personalbereich zu beachten ist, mit dieser Aussage: „Das Datenschutzrecht ist durch die überlagerte Geltung europäischen Rechts wenig anwenderfreundlich ausgestaltet: Die Bestimmungen der ab dem 25. Mai 2018 geltenden Datenschutz-Grundverordnung sowie des nationalen Bundesdatenschutzgesetzes finden parallele Anwendung und erschweren allein schon dadurch die Erlangung des notwendigen Überblicks.“  Spätestens nach dieser Aussage sollte jedem klar sein: Einen Anwalt zu fragen, macht in puncto Datenschutzrecht und Personalwesen durchaus Sinn. Um nicht unvorbereitet in das Gespräch mit dem Fachanwalt zu gehen, sollten sich Personalbeauftragte im Vorfeld dieses Grundwissen aneignen.

Das Bundesdatenschutzgesetz (BDSG) und die Datenschutz-Grundverordnung (DSGVO) bilden die Grundlage für den Datenschutz im Personalbereich. Die Verordnungen zu kennen und richtig anzuwenden, sind jedoch zweierlei Herausforderungen. Vor unnötigen Rechtsstreitigkeiten gefeit sind jene, die sich von einem Anwalt beraten lassen.

Datenschutz im Personalbereich. Das sind die Grundlagen

Die Grundlage für die Datenschutzregularien im Personalbereich fußt auf dem Bundesdatenschutzgesetz (BDSG). Im Paragraf 26 des BDSG geht es um die Datenverarbeitung im Rahmen eines Beschäftigungsverhältnisses. Unter Ziffer 1 ist die grundlegende Regelung zur Datensicherung niedergeschrieben. Diese lautet: „Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“

Grundsätzlich gilt für jegliche Form der Datenverarbeitung: Derjenige, dessen Daten verarbeitet werden, muss über diesen Vorgang informiert sein. Diese Vorgabe gilt für Festangestellte ebenso wie für Azubis, Praktikanten, Leiharbeiter und sogar für Bewerber und ehemalige Angestellte. Grundsätzlich muss all diesen Personengruppen auch mitgeteilt werden, welche Daten gespeichert werden. Zunehmend häufiger gehen die gespeicherten Daten über Name und Anschrift hinaus und umfassen auch Gesundheitsdaten sowie die Zugehörigkeit zu einer Gewerkschaft oder zu einem berufsrelevanten Verband. Erlaubt ist per Gesetz die Speicherung der Daten, wenn es um das Beschäftigungsverhältnis geht – also sowohl bei der Einstellung, während des Anstellungsverhältnisses als auch nach einer etwaigen Kündigung. Eindeutig nicht abgedeckt werden mit dieser grundlegenden Regelung Daten in Sonderformaten, wie etwa Mitarbeiterbilder und -videos.

Die Online-Bewerbung scheint in ihrer Abwicklung simpel zu sein, doch auch eine Online-Bewerbung muss DSGVO-konform sein.

Stichwort: Bewerberdaten. Das gilt für Daten möglicher Mitarbeiter

Vorgeschrieben ist, dass der Bewerbungsprozess DSGVO-konform ist. Entscheidend sind hier zwei Artikel aus der Datenschutz-Grundverordnung (DSGVO): Im Artikel 13 wird die Informationspflicht bei der Erhebung personenbezogener Daten direkt bei der Person in eine Rechtsform gegossen; Artikel 14 behandelt den Fall, dass die Daten nicht bei der betroffenen Person selbst erhoben wurden.

Für den Bewerbungsprozess heißt das:

  • Im Zuge des Bewerbungsprozesses müssen Datenschutzinformationen ausgegeben werden.
  • Eine Bewerbung per E-Mail muss an eine Adresse erfolgen, die nicht archiviert wird.
  • Software zur Personaldatenverwaltung ist kritisch zu bewerten; vor allem Cloud-Lösungen außerhalb der EU stellen ein Risiko dar.
  • Selbst für den Datentransfer im Betrieb muss eine datenschutzrechtliche Rechtfertigung vorliegen. Eine Übermittlung an einen Unternehmenssitz außerhalb des DSGVO-Wirkungsbereichs ist nahezu unmöglich.

Datenschutzbestimmungen in Firmenfahrzeugen und sozialen Netzwerken

Um ein Navi betreiben zu können, ist ein GPS-Signal nötig. Das bedeutet aber noch lange nicht, dass ein Unternehmen das GPS-Signal nutzen darf.

Zu klären ist in jedem Fall der Einsatz von GPS-Sendern in Firmenfahrzeugen. Laut Arbeitsrecht gilt hierbei: „Bei der GPS-Überwachung durch den Arbeitgeber müssen deshalb zahlreiche Vorgaben eingehalten werden, um sich nicht gesetzeswidrig zu verhalten. Maßgeblich ist hier das Bundesdatenschutzgesetz (BDSG). Es gibt klar vor, dass bei der GPS-Ortung Mitarbeiter in Ihrem Verhalten überwacht werden, wodurch hochgradig sensible Informationen gewonnen werden, die besonders zu schützen sind. Das ist einer der Gründe, weshalb eine dauerhafte Überwachung nicht gestattet ist.“ Das heißt im Umkehrschluss auch: Eine GPS-Überwachung kann erlaubt sein, wenn der Mitarbeiter zustimmt oder es im Betrieb triftige Gründe für die GPS-Überwachung gibt. Damit die Einwilligung des Arbeitnehmers zur Übermittlung der GPS-Daten rechtskräftig ist, muss dem Mitarbeiter auch mitgeteilt werden, warum die Daten von großer Relevanz für den Betrieb sind und, wie sie weiter verarbeitet werden. Diese Informationen müssen darüber hinaus mit einer Unterschrift des Mitarbeiters besiegelt werden.

Ein weiterer kritischer Punkt ist die Nutzung von Daten aus sozialen Netzwerken. Die Internetrecherche zu Bewerbern ist datenschutzrechtlich stark umstritten. Eine Krückenlösung besagt, dass frei zugängliche Inhalte (also die Daten, die per Suchmaschine ausfindig gemacht werden können), auch vom Arbeitgeber eingeholt werden können. Ein Knackpunkt sind jedoch die Daten, die dann ersichtlich werden, wenn eine Anmeldung folgt. Das heißt: Wer sich bei Xing, LinkedIn oder Facebook anmelden muss, um Daten zu erhalten, bewegt sich in einer rechtlichen Grauzone. Allerdings ist in der Praxis davon auszugehen, dass Daten, die Personen bei Xing oder LinkedIn veröffentlichen, dazu gemacht sind, potentielle Arbeitgeber anzusprechen, schließlich handelt es sich dabei ja um soziale Netzwerke, die stark auf den beruflichen Austausch ausgerichtet sind. Auch Daten aus Jobbörsen sollten inhaltlich unkritisch sein.

Wichtig: Das Portal personal-wissen.net stellt lediglich eine allgemeine Informationsplattform dar. Konkrete Anfragen von Lesern können nicht beantwortet werden, da es sich dabei um Rechtsberatung handeln würde. Falls Sie eine individuelle Rechtsfrage haben sollten, wenden Sie sich bitte an einen Rechtsanwalt oder an die Rechtsabteilung Ihrer Firma. Vielen Dank für Ihr Verständnis.

Hinterlasse einen Kommentar