Von der Bewerbung über die im Arbeitsvertrag vereinbarten Details hin zu persönlichen und im Laufe des Arbeitsverhältnisses anfallenden und zu dokumentierende Daten – in Unternehmen werden zahlreiche, nicht selten sensible Informationen über Beschäftigte verarbeitet – wiederum durch andere Arbeitnehmer. Dennoch gibt es in Deutschland auch nach Einführung der DSGVO kein explizites Gesetz, das den Umgang mit diesen Daten und deren Schutz regelt. Es gilt also, sich mit den verschiedenen vorhandenen Regelungen auseinanderzusetzen und sie korrekt und praxisgerecht anzuwenden. Drei Fragen sind hierfür relevant:
- Wer zählt zu Beschäftigten im datenschutzrechtlichen Sinne? Das Bundesdatenschutzgesetz und die DSGVO spricht von “Beschäftigungsverhältnissen”. Dazu gehören auch Leiharbeiter, Auszubildende und Praktikanten sowie ehemalige Mitarbeiter. Jedoch dürfen auch Bewerber nicht vergessen werden, auch dann, wenn sie abgelehnt wurden, ein Beschäftigungsverhältnis also nicht zustande kam.
- Was sind personenbezogene Daten? Darunter sind alle Informationen zu verstehen, die zu einer natürlichen Person erfasst wurden, sofern sie sich der Person unmittelbar oder mittelbar zuordnen lassen. Hierzu zählt quasi alles vom Namen und Geburtstag über den Familienstand und die Religionszugehörigkeit bis hin zu Steuer- und Sozialversicherungsnummern. Selbstverständlich, wenngleich oft vergessen, gehören auch Informationen dazu über dokumentiertes (Fehl-) Verhalten des Beschäftigten sowie Urlaubs-, Krankheits- und andere Fehlzeiten.
- Welche Daten dürfen verarbeitet werden? Im Zusammenhang mit dem Bundesdatenschutzgesetz und der DSGVO ist es grundsätzlich unzulässig, personenbezogene Daten zu verarbeiten. Es bedarf eines sogenannten Erlaubnisgrundes, diesen Grundsatz zu durchbrechen. Das kann ein Gesetz sein, eine Regelung oder die ausdrückliche Einwilligung des Betroffenen. (Hinweis: Eine Einwilligung ist eine vorherige Zustimmung, die Genehmigung wird erst im Nachhinein erteilt. Es ist stets eine Einwilligung einzuholen, da eine nachträgliche Zustimmung rechtswirksam verweigert werden kann.)
Umfasst die Einwilligung des Beschäftigten besondere, grundsätzlich nicht im engen Zusammenhang mit dem Arbeitsverhältnis stehende, personenbezogene Daten, muss sich die Einwilligung ausdrücklich auf diese Daten beziehen. Dazu gehören die ethnische Herkunft, politische Gesinnung, religiöse und weltanschauliche Überzeugungen, sexuelle Orientierung sowie genetische Daten zur eindeutigen Identifizierung einer Person.
Die Verarbeitung personenbezogener Daten ist nur unter bestimmten Voraussetzungen erlaubt; der Arbeitgeber hat die Rechtmäßigkeit der Datenverarbeitung zu belegen. Dabei sind drei Prüfungen durchzuführen:
- Die Datenverarbeitung ist erforderlich. Personenbezogene Beschäftigtendaten dürfen nur dann verarbeitet werden, wenn dies erforderlich ist, um das Arbeitsverhältnis zu begründen, durchzuführen und zu beenden. Ebenfalls erforderlich kann sie dann sein, wenn Pflichten zu erfüllen oder Rechte auszuüben sind, die sich aus Gesetzen, Tarifverträgen oder Betriebs- sowie Dienstvereinbarungen ergeben.
- Eine Einwilligung liegt vor. Wessen Daten verarbeitet werden sollen, muss vorab darüber informiert werden, welche Daten in welchem Umfang von wem und zu welchem Zweck verarbeitet werden. Die Einwilligung muss freiwillig erfolgen, ein Nachteil aus einer Ablehnung darf nicht entstehen. (Hinweis: Dieser Punkt ist auszulegen. Lehnt beispielsweise ein Bewerber oder potenzieller Mitarbeiter die Datenverarbeitung ab, wird ein Arbeitsverhältnis nicht zustandekommen können, weil gesetzliche Pflichten die Datenverarbeitung unumgänglich machen.)
- Einem begründeten Verdacht gegen einen konkreten Beschäftigten in Bezug auf eine bereits begangene Straftat soll nachgegangen werden. Beschäftigtendaten dürfen analysiert und verarbeitet werden, wenn etwa ein Diebstahl, bei dem eine bestimmte Person im Verdacht steht, aufgeklärt werden soll.
Arbeitgeber haben bei der Verarbeitung von personenbezogenen Daten im Beschäftigungsverhältnis alle Betroffenen einzeln über die Datenverarbeitung zu belehren und informieren. Dies sollte schriftlich dokumentiert werden. Und nicht zuletzt müssen alle Mitarbeiter, die zur Datenverarbeitung eingesetzt werden, im Hinblick auf die strikte Vertraulichkeit ihrer Tätigkeit geschult werden.