Schlagwort: Beschäftigtendatenschutz

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Stiftung Datenschutz hat eine Orientierungshilfe zum Thema „Beschäftigtendatenschutz“ mit einigen Fallbeispielen veröffentlicht. Die Beispiele werden hier besonders hervorgehoben und vor allem wann die Daten der Mitarbeiter verarbeitet werden dürfen.

Bewerbungsverfahren

Welche Daten der Bewerber dürfen in einem Online-Fragebogen oder Bewerbungsbogen abgefragt werden?

Nur die Daten und Informationen, die für das Beschäftigungsverhältnis erforderlich sind z.B. Ausbildung, Zeugnisse, Name, Adresse, E-Mail/Telefon, Gehaltsvorstellungen (als freiwillige Angabe), Stundenkontingent (Vollzeit-, Teilzeit), etc.

Fragen nach Straftaten ist nur erlaubt, wenn es für den Arbeitsplatz erforderlich ist z.B. Kurierfahrer nach Verkehrsdelikten oder Buchhalter nach Betrugsdelikten.

Folgende Fragen dürfen nicht gestellt werden:

  • Sind Sie schwanger oder planen Sie in absehbarer Zeit schwanger zu werden?
  • Haben Sie eine körperliche oder geistige Behinderung?

Wie lange dürfen die Daten der Bewerber gespeichert werden?

  • Nicht länger als 4 Monate
  • Sofern der Bewerber für zukünftige Stellenangebote angeschrieben werden soll, benötigt man die Einwilligung

Hinweis der Datenbeschützerin

Die Datenbeschützerin empfiehlt eine Speicherdauer von 6 Monaten der Bewerberdaten. Der Bewerber hat im Rahmen des AGG (Allgemeinen Gleichbehandlungsgesetzes) zwei Monate Zeit den Anspruch auf Schadenersatz oder Entschädigung einzureichen. Zudem ist der Anspruch innerhalb von drei Monaten bei Gericht geltend zu machen. Insgesamt beträgt die Frist somit 5 Monate. Werden die Daten vorher gelöscht, kann ggf. kein Nachweis über die „korrekte“ Auswertung der Bewerberdaten erbracht werden.

Dürfen die Social-Media-Profile von den Bewerbern eingesehen und für den Bewerbungsprozess bewertet werden?

  • Aufsichtsbehörden sind der Ansicht, dass die Recherche in sozialen Netzwerken (Facebook, Twitter) datenschutzrechtlich unzulässig ist
  • Außer es handelt sich um „beruflich“ Netzwerke z.B. XING oder LinkedIn

Darf ich den Namen des Bewerbers „googeln“ und für die Bewerbungsentscheidung bewerten?

  • Nur, wenn die Informationsbeschaffung für die Einstellung erforderlich ist und die Informationen vom Fragerecht umfasst sind
  • Der Bewerber hat jedoch über die Informationsbeschaffung (Quelle, Rechtsgrundlage) spätestens innerhalb eines Monats informiert zu werden

Personalverwaltung

Fallen handschriftliche Notizen / Ordner über die Mitarbeiter unter die DSGVO?

Ja, da die Papierform (§ 26 Abs. 7 BDSG-neu) bereits ausreichend ist, um den Anwendungsbereich der DSGVO zu eröffnen.

Dürfen Vermerke über Krankheiten und Religionszugehörigkeit gemacht werden?

  • Die Daten können zur Erfüllung aus dem Arbeitsrecht oder Sozialschutz nötig sein
  • In diesem Fall ist keine Einwilligung der Mitarbeiter nötig, d.h. berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO
  • Allerdings darf die Religionszugehörigkeit nur für die Abführung der Kirchensteuer verarbeitet werden

Darf ich die Mitarbeiter mittels GPS allgemein überwachen?

Nein, da es sich um eine unbegründete und anlasslose Überwachung handelt.

Anmerkung der Datenbeschützerin

Das Verwaltungsgericht Lüneburg urteilte im März 2019, welche Daten durch ein GPS-System verarbeitet werden dürfen und welche nicht.

Die Vearbeitung der Daten, die während der Arbeitszeit anfallen zum Zweck (Tourenplanung, Mitarbeiter- und Fahrzeugeinsatz) ist erlaubt.
Untersagt ist die Kontrolle der Privatfahrten und eine nicht angemessene Speicherdauer (im vorliegenden Fall wurden die Daten 150 Tage gespeichert).

Darf ich heimlich die Mitarbeiter videoüberwachen?

  • Nein, da es ein schwerer Eingriff in die Persönlichkeitsrechte darstellt
  • Das Bundesarbeitsgericht ließ die heimlich Überwachung nur im absoluten Ausnahmefall und als letztes Mittel zu
  • Auch bei offenen Videoüberwachungen ist eine Interessensabwägung durchzuführen
  • Es ist abzuschätzen, ob die Beschäftigten durch die Videoüberwachung einem Überwachungsdruck ausgesetzt sind und ob es Alternativen für die Überwachung gibt

Anmerkung der Datenbeschützerin

In einem weiteren Blogartikel können Sie sich über die „zulässige Speicherdauer und deren Verwertung von Videoaufnahmen“ informieren.

Benötigt man eine Einwilligung für die Veröffentlichung von Mitarbeiterbildern?

Ja, sofern die Bilder auf der Webseite oder in den sozialen Medien veröffentlicht werden sollen, ist eine Einwilligung nötig.

Sofern Personen jedoch nur als „Beiwerk“ auf den Fotos erscheinen, ist keine Einwilligung erforderlich.

Anmerkung der Datenbeschützerin

Die DSK beschreibt im Kurzpapier Nr. 20, wie eine Einwilligung zu gestalten ist.

Nutzung von Informations- und Kommunikationstechnik

Dürfen die Telefongespräche der Mitarbeiter mitgehört werden?

  • Strafrechtlich verfolgt wird die Aufnahme des nicht-öffentlich gesprochenen Wortes
  • Das reine Mithören ist nicht strafbar
  • ABER: Der Arbeitgeber verletzt die Vertraulichkeit der Kommunikation, wenn er ohne das Wissen der Mitarbeiter die Gespräche mithört
  • Zumal die Persönlichkeitsrechte der Beschäftigten dabei ebenfalls verletzt werden

Anmerkung der Datenbeschützerin

In diesem Fall sollten die Mitarbeiter transparent informiert werden über die Möglichkeit des Mithörens. Vor allem ist es abzuwägen, aufgrund welcher Rechtsgrundlage das Mithören statt finden soll.

Ist die geschäftliche Kommunikation über WhatsApp zulässig?

  • Die Nutzung von WhatsApp zu geschäftlichen Kommunikationszwecken ist nicht datenschutzkonform laut den deutschen Aufsichtsbehörden
  • Als datenschutzfreundliche Alternativen werden Threema, Signal oder Wire vorgeschlagen

Orientierungshilfe Beschäftigtendatenschutz

Quelle

Stiftung Datenschutz: https://stiftungdatenschutz.org/themen/beschaeftigtendatenschutz/

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Das DSK-Papier beschäftigt mit Frage, zu was die Mitarbeiter nach der DSGVO verpflichtet werden und wie diese zu unterrichten sind.

Was regelt die DSGVO?

  • Art. 29 DSGVO: Daten dürfen ausschließlich auf Weisung des Verantwortlichen oder Auftragsverarbeiters verarbeitet werden
  • Art. 32 Abs. 4 DSGVO: Maßnahmen zur Überprüfung, dass Vorgaben seitens des Verantwortlichen oder Auftragsverarbeiters durch die Beschäfigten eingehalten werden
  • Art. 28 Abs. 3 Satz 2 lit. b DSGVO (Auftragsverarbeitung): Verpflichtung zur Verschwiegenheit

Die Verschwiegenheitsverpflichtung betrifft zwar nur die Beschäftigten des Auftragsverarbeiters, allerdings betrifft die inhaltliche Verpflichtung auch den Verantwortlichen und seine Mitarbeiter. Ergo: Diese sind ebenfalls zu verpflichten.

Zu was soll verpflichtet werden?

Personenbezogene Daten müssen

  • auf rechtmäßige und faire Weise, und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);
  • für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“);
  • dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
  • sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);
  • in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“);
  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Eine Musterverpflichtung ist dem DSK-Papier anhängig.

Wer muss verpflichtet werden?

  • reguläre Mitarbeiter
  • Auszubildende
  • Praktikanten
  • Referendare
  • Leiharbeiter
  • Ehrenamtliche Tätige

Wann muss die Verpflichtung erfolgen?

  • Bei Aufnahme der Tätigkeit
  • Spätestens am ersten Arbeitstag

Anmerkung der Datenbeschützerin

Es bietet sich an, die Verschwiegenheitserklärung als Anlage zum Arbeitsvertrag beizufügen.

Wie muss eine Verpflichtung erfolgen?

  • Zuständig für die Verpflichtung: Unternehmensleitung, Inhaber der Firma oder ein Beauftragter
  • Keine Formvorschrift seitens der DSGVO
  • Empfehlung: Formular verwenden, dass schriftlich oder elektronisch ausgegeben wird
  • Zur Verpflichtung gehört auch die Belehrung der Pflichten (Beachtung bei der täglichen Arbeit)
  • Verschwiegenheitsverpflichtung ist kombinierbar mit anderen Geheimhaltungsvereinbarungen (Betriebs-, Telekommunikations- oder Steuergeheimnis)
  • Dokumentation der Verpflichtung für Nachweiszwecke

Reicht eine einmalige Verpflichtung?

  • Empfehlung: regelmäßige Schulungen oder schriftliche Hinweise, um Mitarbeiter auf die Verschwiegenheit und Pflichten aus der Verpflichtung zu sensibilisieren
  • Bei internen Arbeitsplatzwechsel mit Aufgabenwechsel sollte die Verschwiegenheitsverpflichtung geprüft und ggf. angepasst werden

Hinweis der Datenbeschützerin

Bei Schulungen sollte vermieden werden, den Datenschutz als Problem darzustellen, welches für die neuen Maßnahmen und Verpflichtung verantwortlich ist. Erklären Sie lieber, warum die Maßnahmen notwendig sind und welche Vorteile der Einzelne davon hat.

Beispiel:

Falsch: „Aufgrund des Datenschutzes müssen die PCs ab sofort beim Verlassen des Arbeitsplatzes gesperrt werden!“

Richtig: „Das Wissen unserer Fachabteilung ist für die Firma von höchster Bedeutung. Sollten die Daten ausspioniert oder gestohlen werden, wäre das absolut geschäftskritisch. Aufgrund des Kundenverkehrs in den Geschäftsräumen ist es deshalb notwendig, die PCs beim Verlassen des Arbeitsplatzes zu sperren.“

Falsch:  „Die neue Datenschutzgrundverordnung bringt für uns alle unverhältnismäßig viel Aufwand mit sich!“

Richtig: „Ein Großteil der aktuellen Datenschutzgrundverordnung galt in Deutschland bereits in den vorhergehenden Bundesdatenschutzgesetzen. Allerdings wurde die Umsetzung nicht besonders streng überwacht. Mit der DSGVO gilt nun EU-weit ein hohes Datenschutzlevel. Zudem hat nun Jeder von euch auch Rechte an „seinen“ Daten – nämlich die Betroffenenrechte, z.B. das Recht auf Vergessen werden. Das war bisher in der Praxis nur schwierig und mit viel Aufwand durchzusetzen.

DSK-Kurzpapier Nr. 19

Quelle

Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_19.pdf

Es handelt es sich hier um eine Zusammenfassung des relevanten Inhalts seitens der Datenbeschützerin. Hinweise oder Anmerkungen seitens der Datenbeschützerin bedeuten, dass diese Informationen nicht im Papier zu finden sind, sondern aus der Praxiserfahrung resultieren oder auf weitere Einträge verweisen.

Dürfen die Daten der Mitarbeiter noch verarbeitet werden oder benötige ich ein Einwilligung, damit diese als Beschäftigte angemeldet werden dürfen? Wann wird zwingend eine Einwilligung benötigt und wann nicht? Das DSK-Papier beantwortet diese Fragen.

Rechtsgrundlage § 26 BDSG-neu

  • § 26 BDSG-neu gilt nicht für Beschäftigte bei Behörden, Kommunen und öffentlichen Stellen

Begriff „Beschäftigte“

  • Definition: § 26 Abs. 8 BDSG-neu
  • Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher;
  • Auszubildende;
  • Rehabilitanden;
  • Freiwillige nach dem Jugendfreiwilligendienstegesetz/Bundesfreiwilligendienstgesetz;
  • wirtschaftlich unselbstständige Personen;
  • Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende

Inhalt § 26 BDSG-neu

Datenverarbeitung zum Zweck des Beschäftigungsverhältnisses

  • Personenbezogene Daten dürfen von Beschäftigten dürfen nur für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, sofern es für die Begründung, Durchführung oder Beendigung erforderlich ist
  • Die Verarbeitung ist auch aufgrund von Kollektivvereinbarungen (Tarifverträge, Betriebs- und Dienstvereinbarungen) zulässig (§ 26 Abs. 1 und 4 BDSG)
  • Es dürfen auch die Daten der Beschäftigten sofern es für die Rechte und Pflichten für die Beschäftigtenvertretung erforderlich ist unabhängig von Gesetzen, Verträgen, Vereinbarungen (§ 26 Abs. 1 Satz 1 HS 2 BDSG-neu)

Einwilligung

  • Keine Einwilligung für die Verarbeitung der Daten für das Beschäftigungsverhältnis nötig
  • Mitarbeiter können jedoch in eine Datenverarbeitung einwilligen, wenn diese einen rechtlichen oder wirtschaftlichen Vorteil erlangen
  • Dies ist auch möglich, wenn die Interessen zwischen Arbeitgeber und Beschäftigte übereinstimmen

Echte Freiwilligkeit des Beschäftigten?

  • Es wird die die Auffassung vertreten, dass eine Einwilligung der Mitarbeiter durch das Abhängigkeitsverhältnis zum Arbeitgeber nie vollständig unabhängig unterzeichnet wird
  • Die Einwilligung wird deshalb nicht direkt das Arbeitsverhältnis sondern eher Zusatzleistungen (Privatnutzung von Dienstfahrzeugen und EDV-Geräten, Einführung Gesundheitsmanagement, Aufnahme in Geburtstagslisten) betreffen

Anmerkung der Datenbeschützerin

Auch die Veröffentlichung von Mitarbeiterfotos (intern oder extern) bedürfen einer Einwilligung.

Besondere Kategorien personenbezogener Daten

  • Besondere Datenkategorien dürfen nur unter den Voraussetzungen des § 26 Abs. 3 BDSG-neu verarbeitet werden
  • Auch eine Einwilligung für die Verarbeitung der besonderen Datenkategorien ist möglich, sofern sich die Einwilligung ausdrücklich auf diese Daten beruft
  • Es müssen besondere Maßnahmen bei der Verarbeitung getroffen werden (§ 26 Abs. 5 BDSG-neu i.V.m. Art. 5 DSGVO)

Verarbeitung außerhalb von Dateisystemen

  • § 26 BDSG-neu gilt auch für die Verarbeitung außerhalb von Dateisystemen (§ 26 Abs. 7 BDSG-neu)
  • Somit fallen Papierdokumente, mündliche oder tatsächliche Handlungen (z.B. handschriftliche Notizen) unter die datenschutzrechtliche Bestimmungen

Ist die DSGVO überhaupt anwendbar?

  • Die Reichweite des § 26 BDSG-neu ist im Einzelfall zu prüfen
  • Des Weiteren ist Art. 88 DSGVO und § 24 BDSG zu berücksichtigen
  • Es muss jedoch ein Zusammenhang zwischen der Datenverarbeitung und Verwendungszwecken bestehen (Art. 6 Abs. 4 und 1 lit. f DSGVO)
  • Eine Verwendung zu anderen Zwecken (z.B. Verkauf an Dritte zu Werbezwecke) bleibt ausgeschlossen

Welche Folgen resultieren bei Nichtbeachtung des § 26 BDSG-neu?

Es kann ein Bußgeld (Art. 83 Abs. 5 lit. b DSGVO) verhängt werden. Es können auch strafrechtliche Folgen nach § 42 BDSG-neu drohen.

Anmerkung der Datenbeschützerin

Grundsätzlich sind alle Verarbeitungstätigkeiten in Bezug auf das Beschäftigungsverhältnis und freiwillige Einwilligungen in das Verfahrensverzeichnis aufzunehmen. Des Weiteren sind die Mitarbeiter über die Verarbeitungstätigkeiten zu informieren.

Freiwillige Einwilligungen sollten durch einen Vermerk (z.B. in der Personalakte) oder durch ein Formular schriftlich festgehalten werden.

DSK-Kurzpapier Nr. 14

Quelle

Konferenz der unabhängigen Datenschutzbehörden
des Bundes und der Länder (Datenschutzkonferenz): https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_14.pdf