Lieblingsfarbe, Schuhgröße, Nickname auf Dating-Portalen – Arbeitgeber können sich für Informationen beliebiger Art interessieren. Wie kaum anders zu erwarten, dürfen die personenbezogenen Daten neuer Beschäftigter aber nicht einfach angehäuft werden. Dafür sorgen einerseits die allgemeinen datenschutzrechtlichen Vorschriften, andererseits spezielle Regeln für den Beschäftigtendatenschutz. Was droht, wenn Arbeitgeber über die Stränge schlagen, zeigen eindrücklich die vielen Verfahren vor Gerichten und Behörden, die sich mit dem Schutz von Mitarbeiterdaten befassen. Welche Grundsätze wichtig sind, beleuchten wir in diesem Artikel.
Mit der Verarbeitung von personenbezogenen Daten ist es wie mit dem Autofahren auf öffentlichen Straßen: Es ist quasi verboten – außer es gibt eine Rechtsgrundlage, die es erlaubt. Das klingt profan, aber solche Grundgedanken sind häufig eine nützliche Hilfe im Alltag, wenn man vor lauter Bäumen den Wald nicht mehr sieht.
Ausschlaggebend für die Datenverarbeitung im Beschäftigungskontext sind Art. 88 DSGVO sowie insbesondere § 26 BDSG. Im Bereich des Mitarbeiterdatenschutzes gibt es eine Besonderheit: Die Vorgaben müssen auch angewendet werden, wenn sie nicht in einem Dateisystem gespeichert werden (sollen) – also etwa, wenn ein Mitarbeiter befragt wird, ohne dass die Inhalte in die Personalakte fließen. In § 26 BDSG findet sich zudem der angesprochene Grundgedanke wieder: Unternehmen dürfen Mitarbeiterdaten nur insofern erheben und verarbeiten und insgesamt nutzen, als es erforderlich ist, um ein Beschäftigungsverhältnis aufzunehmen, durchzuführen oder zu beenden. Knackpunkt ist in der Regel die Erforderlichkeit – Arbeitgeber müssen die eigenen Interessen mit denen des Arbeitnehmers abwägen und in einen angemessenen Ausgleich bringen. Auch auf Basis von Tarifverträgen oder Betriebsvereinbarungen kann die Verarbeitung von Mitarbeiterdaten gerechtfertigt sein.
Daten, die das Beschäftigungsverhältnis betreffen, können z. B. sein:
Darüber hinaus kann die Datenverarbeitung zulässig sein, wenn dies etwa der Aufdeckung von Straftaten gilt oder ein sonstiger Erlaubnistatbestand erfüllt ist. Bei Daten, die nicht das Beschäftigungsverhältnis selbst betreffen, kommt hier speziell die Einwilligung ins Spiel. Ein klassisches Beispiel für eine Datenverarbeitung, bei welcher der Bezug zum Beschäftigungsverhältnis eher fraglich erscheint und deshalb womöglich eine Einwilligungslösung in Betracht gezogen werden muss, ist die (interne) Veröffentlichung von Geburtstagslisten – diese „einfach so“ zu veröffentlichen, das ist keine gute Idee.
Dahinter steckt die Abwägung zwischen den Interessen von Arbeitgeber und -nehmer: Das Recht der informationellen Selbstbestimmung des Mitarbeiters dürfte grundsätzlich schwerer wiegen als das Interesse des Arbeitgebers (und der Kollegen) auf Information. Dass es durchaus auf die konkreten Umstände im Einzelfall ankommt, zeigt sich beispielsweise in dem Fall, dass auf einer Firmenfeier Fotos von Mitarbeitern gemacht werden – das Knipsen für interne Zwecke wäre hier eine Sache, die Veröffentlichung auf der Website wiederum eine andere.
Es führt also eventuell kein Weg an der Einholung einer Einwilligung vorbei, wenn die Datenverarbeitung stattfinden soll, diese aber nicht das Beschäftigungsverhältnis betrifft. Wie man es beispielsweise von der Einwilligung in die Nutzung nicht erforderlicher Cookies kennt, müssen aber Anforderungen erfüllt werden, damit die Einwilligung auch wirksam ist. Zwar kann der Mitarbeiter „Ja“ gesagt haben, das bedeutet aber nicht, dass der Arbeitgeber dadurch auf Teufel komm raus gerechtfertigt ist. Grundsätzlich gilt: Eine Einwilligung kann eine Datenverarbeitung überhaupt nur dann rechtfertigen, wenn sie freiwillig, informiert, auf einen konkreten Fall bezogen und unmissverständlich erklärt wurde.
Für den Bereich der Datenverarbeitung von Beschäftigten ergeben sich zusätzliche Anforderungen zu diesen Grundprinzipien der Einwilligung aus § 26 Abs. 2 BDSG:
Wollen, beziehungsweise müssen Arbeitgeber personenbezogene Daten ihrer Beschäftigten verarbeiten, sollten sie insbesondere einen Blick auf die Grundprinzipien des Datenschutzrechts werfen, dabei aber auch die Besonderheiten des Beschäftigtendatenschutzes beachten. Je nach Art und Zweck der Verarbeitung sowie abhängig von der Kategorie der Daten, die verarbeitet werden, gelten unterschiedliche Voraussetzungen, die erfüllt werden müssen, um die Verarbeitung auf sichere Beine zu stellen.