Um eine Personalakte anzulegen oder um Lohn und Gehalt abzurechnen, muss der Arbeitgeber zwangsläufig Daten des Arbeitnehmers speichern. Personenbezogene Daten eines Arbeitnehmers speichert und verarbeitet der Arbeitgeber also demzufolge regelmäßig. Ohne diesen Vorgang ist ein gewöhnliches Arbeitsverhältnis daher nicht möglich.
Den Datenschutz im Arbeitsverhältnis hat der Gesetzgeber eigens dafür eingerichtet, um Arbeitnehmer davor zu schützen, dass der Arbeitgeber zu viele Daten über seine Arbeitnehmer sammelt. Sammelt der Arbeitgeber jedoch unverhältnismäßig viele Daten, so nennt man das „gläserne Arbeitnehmer“ oder „gläserne Belegschaften“.
Darüber hinaus sieht das Gesetz vor, dass Arbeitnehmer die Daten kennen, die der Arbeitgeber verarbeitet und weiß warum er dies tut. Der Arbeitgeber sollte fair mit den Daten umgehen.
Gesetze des arbeitsrechtlichen Datenschutzes
Das Gesetz, das die Datenschutzrechte für Arbeitnehmer und Datenschutzpflichten für Arbeitgeber enthält heißt Datenschutz-Grundverordnung (DS-GVO).
Parallel zur DS-GVO regelt das Bundesdatenschutzgesetz (BDSG) Datenschutz im Beschäftigungsverhältnis.
Das BDSG schreibt vor, dass der Arbeitgeber personenbezogene Daten der Beschäftigten nur unter folgenden Bedingungen verarbeitet darf:
- Die Datenverarbeitung ist relevant für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses.
- Die Datenverarbeitung ist notwendig nach Begründung des Beschäftigungsverhältnisses für seine Durchführung wie für Lohnabrechnungen oder seine Beendigung wie für eine Kündigung oder einen Aufhebungsvertrag.
- Die Datenverarbeitung ist unerlässlich für die Arbeit der Interessenvertretungen der Beschäftigten. Interessenvertretung kann dabei in einem Gesetz wie dem Betriebsverfassungsgesetz, in einem Tarifvertrag, in einer Betriebs- oder in einer Dienstvereinbarung geregelt sein.
Neben der DS-GVO und dem BDSG finden sich auch im Art.2 Abs.1 Grundgesetz (GG) und Art.8 Europäische Grundrechtecharta (GRC) datenschutzrechtliche Vorschriften, die in das Arbeitsverhältnis einfließen.
Art.2 Abs.1 GG schützt die freie Entfaltung der Persönlichkeit. Der Artikel enthält ein Recht auf informationelle Selbstbestimmung. Das bedeutet jede Person kann selbst über ihre Daten und deren Verwendung bestimmen.
Jeder Mensch hat ein Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme. Das heißt, dass personenbezogene Daten, die IT-Systeme erzeugen oder verarbeiten vertraulich bleiben müssen und niemand heimlich darauf zugreifen darf.
Personenbezogene Daten
Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, sind personenbezogene Daten. Das bedeutet auch Informationen, die in einer Personalakte zu finden sind, sind personenbezogene Daten.
Das können folgende Informationen sein:
- Bewerbungsunterlagen
- Vereinbarungen wie etwa Arbeitsvertrag, Zielvereinbarungen, Provisionsregelungen
- Stammdaten des Arbeitnehmers wie Name, Anschrift, Geburtsdatum, Geschlecht, Krankenkasse, Lohnsteuermerkmale
- Fehlzeiten wie Krankheitstage
- Beurteilungen wie Beurteilungsbögen, Abmahnungen, Zeugnisse
Auch Daten, die nicht in der Personalakte stehen, kann ein Betrieb erheben und speichern. Dazu gehören Informationen über Anwesenheitszeiten, Arbeitsergebnisse, Arbeitsunterbrechungen oder über Fahrtwege von Außendienstmitarbeitern.
Sowohl für die Erhebung, die Speicherung als auch für die Weiterverwendung der Daten benötigt der Arbeitgeber eine entsprechende Erlaubnis.
Die Verarbeitung personenbezogener Daten anderer Menschen außerhalb der Privatsphäre ist verboten, es sei denn es gibt eine eindeutige rechtliche Erlaubnis. Das ist die Bedeutung von Datenschutz.
Schutz für Arbeitnehmer
Die Arbeitgeber sind verantwortliche Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten der im Betrieb tätigen Personen entscheiden.
Alle natürlichen Personen eines Betriebs sind durch die DS-GVO geschützt, dazu gehören folgende:
- Arbeitnehmer,
- Auszubildende,
- Bewerber,
- freie Mitarbeiter,
- Praktikanten,
- Leiharbeitnehmer sowie
- Mitarbeiter von Fremdfirmen.
Die Grundsätze der Datenverarbeitung
Arbeitgeber sind verpflichtet bei der Verarbeitung personenbezogener Arbeitnehmerdaten Grundsätze zu beachten.
folgende Grundsätze gehören dazu:
1. Rechtmäßigkeit
Für die Erhebung, Speicherung und Verwendung der Daten braucht der Arbeitgeber eine Erlaubnis als Rechtsgrundlage.
2. Transparenz sowie Beachtung von Treu und Glauben
Der Arbeitnehmer sollte darüber informiert sein warum und welche Daten der der Arbeitgeber erhebt.
3. Zweckbindung
Der Arbeitgeber darf Daten nur für festgelegte, eindeutige und legitime Zwecke erheben. Er darf die Daten nur weiterverarbeiten, wenn sie einem solchen Zweck dienen.
4. Datenminimierung
Auf ein notwendiges Maß beschränkt sollten die personenbezogene Arbeitnehmerdaten in jedem Fall sein, die der Arbeitgeber erhebt, speichert und verwendet, das heißt angemessen an das Arbeitsverhältnis.
5. Richtigkeit
Die Daten, die der Arbeitgeber über den Arbeitnehmer speichert, müssen sachlich richtig und auf dem neuesten Stand sein. Falsche Daten sollte der Arbeitgeber löschen und berichtigen.
6. Speicherbegrenzung
Arbeitgeber sind verpflichtet die Daten des Arbeitnehmers zu löschen, wenn sie diese nicht mehr brauchen. Der Arbeitgeber darf die Daten also nur solange speichern, wie sie einem dienstlichen Zweck dienen.
7. Integrität und Vertraulichkeit
Geeignete technische und organisatorische Maßnahmen sollte der Arbeitgeber ergreifen, um gespeicherten Arbeitnehmerdaten zu schützen vor Verlust, Beschädigung, Zerstörung oder unbefugtem Zugriff.
8. Rechenschaftspflicht
Arbeitgeber sind verpflichtet die Regeln zu befolgen und nachweisen zu können, dass sie die Regeln zum Datenschutz auch einhalten.
Erlaubnis zur Datenverarbeitung
Für die Datenverarbeitung ist eine Genehmigung erforderlich. Diese kann auf zwei Wegen erfolgen. Zum einen durch die Einwilligung des Arbeitnehmers und zum anderen durch die rechtliche Basis. Die rechtliche Basis kann eine gesetzliche Rechtfertigung sein. Die Rechtfertigung basiert dann beispielsweise darauf, dass zur Begründung, Erfüllung oder Durchführung eines Vertrags die Verarbeitung der Daten unbedingt notwendig ist.
Der Arbeitgeber sollten die Rechtmäßigkeit der Datenverarbeitung jedoch nicht von einer Einwilligung des Arbeitnehmers abhängig machen.
Bei der Einwilligung des Arbeitnehmers besteht nämlich der Nachteil, dass die Arbeitnehmer die Einwilligung jederzeit zurücknehmen kann. Sobald der Arbeitnehmer widerruft ist die Datenverarbeitung unzulässig. Datenverarbeitungsprozesse sollten jedoch legal bleiben im laufenden Verfahren, um verlässlich funktionieren zu können.
Außerdem ist die Einwilligung grundsätzlich fraglich, da sich der Arbeitgeber beim Abschluss des Arbeitsvertrages in einer unterlegenen Position sieht.
Arbeitgeber sollten sich daher nur in Ausnahmefällen auf eine Einwilligung des Arbeitnehmers stützen. Der bessere Weg ist die rechtliche Basis.