1. Welche Daten sind geschützt?
  2. Wann darf der Arbeitgeber die Daten verwenden?
  3. Rechte des Arbeitnehmers im Arbeitnehmerdatenschutz
  4. Was macht ein Datenschutzbeauftragter?
  5. Fazit

1. Welche Daten sind geschützt?

Der Arbeitnehmerdatenschutz erfasst sämtliche personenbezogenen Daten.

Personenbezogene Daten sind alle Informationen über eine natürliche Person, die sich der Person mittelbar oder unmittelbar zuordnen lassen.

Beispiele für unmittelbare Zuordnung:

  • Name
  • Anschrift
  • Geburtsdatum

Beispiele für mittelbare Zuordnung:

  • Personalnummer
  • IP-Adresse

Hierbei handelt es sich oft um besonders sensible Daten, betreffen sie schließlich häufig auch die Privatsphäre der Menschen, Familienverhältnisse, Erkrankungen etc.

Weitere Beispiele für personenbezogene Daten können sein:

  • Gesundheitsdaten
  • E-Mails
  • Gespeicherte Nutzung des Internets
  • Auswertung einer Überwachungskamera

2. Wann darf der Arbeitgeber die Daten verwenden?

Der Arbeitgeber darf die o.g. Daten nicht nach Lust und Laune erheben, verarbeiten und weitergeben. Dazu ist er nur berechtigt, wenn

  • der Arbeitnehmer eingewilligt hat oder
  • ein Gesetz ihm dies gestattet

Außerdem sind einmal erhobene Daten ausschließlich für den Zweck ihrer Erhebung zu verwenden. Dieser Zweck muss legitim sein. Klassischerweise geht es um folgendes:

  • Durchführung des Arbeitsverhältnisses (z.B. Stammdaten aus Arbeitsvertrag)
  • Lohnbuchhaltung
  • Daten, die bei der Computernutzung anfallen

Die Einwilligung muss in schriftlicher Form erfolgen. Eine E-Mail genügt. Auch muss sie den Umständen nach freiwillig ergehen. Wird der Arbeitnehmer also stark zur Abgabe der Einwilligung gedrängt oder genötigt, ist diese unwirksam. In welchen Fällen (z.B. im Arbeitsvertrag) eine generelle Einwilligung zur Datenerhebung, -verarbeitung und -übertragung wirksam ist, wurde noch nicht eindeutig geklärt. Stützt der Arbeitgeber sein Recht ausschließlich auf eine solche Klausel, bestehen gute Chancen, dass die Einwilligung unwirksam ist.

Zudem muss der Arbeitnehmer ausreichend informiert sein. Er muss also wissen,

  • welche Daten
  • in welchem Umfang
  • von wem
  • und zu welchen Zwecken

erhoben werden. Außerdem muss der Arbeitnehmer über sein Widerrufsrecht informiert werden.

Er kann seine Einwilligung nämlich jederzeit widerrufen! Das hat allerdings nur Auswirkungen auf die Zukunft. Eine einmal wirksam erklärte Einwilligung wird so nicht rückwirkend unwirksam.

Gerade im Arbeitsverhältnis ist noch häufiger eine gesetzliche Ermächtigung entscheidend. Die Einwilligung des Arbeitnehmers benötigt der Arbeitgeber dann nicht. Von wesentlicher Bedeutung ist in diesem Zusammenhang § 26 BDSG (Bundesdatenschutzgesetz).

Danach dürfen Daten in einem Umfang erhoben werden, der erforderlich ist für:

  • die Frage der Einstellung eines Bewerbers
  • die Durchführung des Arbeitsverhältnisses
  • dessen Beendigung oder
  • die Interessenvertretung der Arbeitnehmer

Was jeweils erforderlich ist, kann pauschal nicht beantwortet werden. Einige Beispiele sollen bei der Orientierung helfen:

  • Im Bewerbungsgespräch dürfen keine unzulässigen Fragen gestellt werden.
  • Der Arbeitgeber darf die Stammdaten des Mitarbeiters aufnehmen und speichern.
  • Er darf die krankheitsbedingten Fehlzeiten aufnehmen und abspeichern.
  • Eine heimliche Videoüberwachung ist nur zulässig, wenn nur dadurch eine Straftat oder ein schwerer Verstoß aufgeklärt werden kann.
  • Die Verwendung von sog. Keyloggern, die sämtliche Tastatureingaben mitverfolgen und protokollieren, ist unzulässig.
  • In aller Regel nicht erforderlich sind Informationen über das Konsumverhalten des Arbeitnehmers, soweit sie das Arbeitsverhältnis nicht berühren.

3. Rechte des Arbeitnehmers im Arbeitnehmerdatenschutz

Der Arbeitnehmer soll die Kontrolle über seine Daten haben. Zu diesem Zweck wird er mit einigen Rechten ausgestattet.

3.1 Arbeitgeber muss Daten sicher speichern

Der Arbeitgeber ist verpflichtet, sämtliche persönliche Daten zu schützen. Er muss also entsprechende Sicherheitsvorkehrungen treffen, damit die Daten nicht unberechtigt gespeichert, genutzt oder übermittelt werden.

Das betrifft insbesondere

  • Zugangsrechte
  • verlässliche Sicherheitssoftware, die den Zugang Dritter auf die Informationen beschränkt
  • die Verschlüsselung der personenbezogenen Daten

Welche Pflichten den Arbeitgeber im Detail treffen, hängt vom jeweiligen Einzelfall ab. Das Gesetz betont ausdrücklich, dass es u.a. auf die Sensibilität der Daten, die Kosten des Schutzes und das Risiko des Missbrauchs ankommt.

Beispiel 1: Dem Arbeitgeber ist in aller Regel abzuverlangen, dass er ein aktuelles Betriebssystem nutzt, das effektive Sicherheitsvorkehrungen trifft. Von einem Kleinbetrieb kann allerdings nicht erwartet werden, dass er einen Mitarbeiter beschäftigt, der sich ausschließlich um die Sicherheit der Mitarbeiterdaten kümmert. In einem Großkonzern mag dies schon anders beurteilt werden.
 
Beispiel 2: Besonders sensible Gesundheitsdaten sind aufwändiger zu schützen als einfache Stammdaten des Arbeitnehmers.

Es ist fast nicht denkbar, dass ein Unternehmen zur Datenverarbeitung allein auf eigene Systeme zurückgreift. In aller Regel werden auch Dritte mit einbezogen (z.B. Software, externe Server,…). Damit befreit der Arbeitgeber sich aber nicht von seiner Verantwortung. Er muss die externen Dienstleister sorgfältig überwachen.

3.2 Informationsrechte und Benachrichtigung

Der Arbeitnehmer hat ein Recht darauf, über die Erhebung seiner Daten informiert zu werden. Das ist natürlich besonders relevant, wenn er davon nichts mitbekommt. Zu informieren ist der Arbeitnehmer auch, wenn die Daten erstmals an Dritte weitergegeben werden.

Der Arbeitgeber muss zudem eine Fülle von Informationspflichten beachten.

Unter anderem sind folgende Informationen zu erteilen:

  • Namen und Kontaktdaten des Arbeitgebers
  • Kontaktdaten des Datenschutzbeauftragten
  • Die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
  • Personen oder Unternehmen, an die die Informationen weitergegeben werden
  • Die Dauer, für die die personenbezogenen Daten gespeichert werden
  • Ein Hinweis auf die Rechte des Betroffenen (Auskunft, Löschung, Widerruf der Einwilligung,…)
  • Das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • Erhält der Arbeitgeber die Daten nicht direkt vom Arbeitnehmer, hat er zusätzlich über die Quelle zu informieren.

Informationen, die dem Arbeitnehmer schon bekannt sind, müssen nicht bei jeder Datenerhebung aufgeführt werden.

Beispiel: Dem Arbeitnehmer werden die Kontaktdaten seines Arbeitgebers schon zu Beginn des Arbeitsverhältnisses mitgeteilt. Dasselbe gilt häufig für die des Datenschutzbeauftragten.

Die Informationen sind bei der Erhebung zu erteilen. Erhält der Arbeitgeber die Daten nicht unmittelbar vom Arbeitnehmer, ist dieser spätestens einen Monat nach Erhebung zu informieren, ggf. schon früher.

3.3 Daten löschen oder berichtigen

Sind personenbezogene Daten des Arbeitnehmers nicht korrekt, hat der Arbeitgeber sie zu korrigieren. Besonders relevant ist auch die Pflicht zur Löschung von Daten.

Drei wichtige Fälle sind:

  1. Der Zweck ist entfallen. Beispiel: Der Arbeitgeber hat einen Mitarbeiter von der Website des Unternehmens zu nehmen, wenn er dort vorgestellt wird, inzwischen aber nicht mehr im Unternehmen beschäftigt ist.
  2. Der Arbeitnehmer widerruft seine Einwilligung zur Datenverarbeitung.
  3. Der Arbeitgeber hätte die Daten gar nicht erst erheben oder verarbeiten dürfen (mangels Einwilligung oder gesetzlicher Ermächtigung).
In manchen Fällen kann der Arbeitgeber die Löschung allerdings verweigern, zum Beispiel weil er sonst seine Aufbewahrungspflichten verletzt.

3.4 Dokumentations- und Meldepflichten

Der Arbeitgeber muss außerdem ein Verzeichnis darüber führen, welche Daten er wie verarbeitet hat. Wird der Schutz der Daten beeinträchtigt, ist die Aufsichtsbehörde und in gravierenden Fällen auch der jeweilige Mitarbeiter zu benachrichtigen.

Beispiele:
  • Personenbezogene Daten von Arbeitnehmern wurden versehentlich an Kunden weitergeleitet
  • Hacker haben Zugriff auf die Daten bekommen

3.5 Auskunftsrecht

Der Arbeitnehmer kann über folgende Umstände Auskunft verlangen:

  • Zu seiner Person gespeicherte Daten
  • Deren Herkunft
  • Deren Empfänger
  • Der Zweck ihrer Speicherung
  • Personen oder Institutionen, an die die Daten regelmäßig weitergegeben werden

Dieses Recht kann unter Umständen beschränkt oder ausgeschlossen sein. Dies kommt zum Beispiel in Betracht, wenn sonst die Geheimhaltungsinteressen von anderen Personen beeinträchtigt würden, etwa einem Whistleblower. Es kommt hier stark auf den Einzelfall an.

3.6 Recht auf Schadensersatz

Verletzt der Arbeitgeber die DSGVO, das BDSG oder andere datenschutzrechtliche Vorschriften, drohen ihm zum einen Bußgelder von Behördenseite. Von dieser Zahlung profitiert der Arbeitnehmer allerdings nicht. Der Arbeitgeber muss zum anderen aber den Schaden ausgleichen, den ein Mitarbeiter aufgrund der Verstöße erleidet.

Ein Anspruch auf Schadensersatz kann nur bestehen, wenn eine der o.g. Pflichten schuldhaft verletzt wurde und dem Arbeitnehmer dadurch ein Schaden entstanden ist.

Zugute kommt dem Arbeitnehmer, dass in vielen Fällen der Arbeitgeber selbst beweisen muss, sich an die Grundsätze der ordnungsgemäßen Datenverarbeitung gehalten zu haben.

Als Schaden kommen in aller Regel (nur) immaterielle Beeinträchtigungen in Betracht. Dies können zum Beispiel sein:

  • Rufschädigung
  • Soziale Diskriminierung
  • Psychosomatische Folgen
Beispiel 1: Ein Arbeitgeber schleust Privatdetektive in einen Betrieb ein, die Kündigungsgründe zulasten einer Arbeitnehmerin schaffen sollen. Als Mitarbeiter getarnt, animieren sie die Betroffene, gegen das Alkoholverbot zu verstoßen und geben später vor, die Mitarbeiterin habe sie geschlagen. Die damit einhergehende Beeinträchtigung des Persönlichkeitsrechts muss der Arbeitgeber per Schadensersatz ausgleichen.
 
Beispiel 2: Ein Arbeitgeber wurde vor einem Amsterdamer Gericht (selbe Rechtslage wie in Deutschland) zur Zahlung von 250€ an eine Mitarbeiterin verurteilt, weil er ihre Gesundheitsdaten offenlegte.

Kommt es hingegen zu messbaren wirtschaftlichen Schäden, sind diese natürlich auch ersatzfähig.

Laut aktueller Rechtsprechung darf allerdings kein Bagatellschaden vorliegen. So wurde bereits außerhalb des Arbeitsrechts entschieden, dass der Empfang von unerbetenen E-Mails sowie das Löschen eines Beitrags und die Sperrung des Accounts in sozialen Netzwerken nicht zu Schadensersatz berechtigen.

4. Was macht ein Datenschutzbeauftragter?

Betriebe mit in der Regel mehr als zehn Beschäftigten sind dazu verpflichtet, einen Datenschutzbeauftragten zu bestimmen. Er kann selbst Mitarbeiter des Unternehmens oder externer Dienstleister sein.

Seine Aufgaben sind unter anderem:

  • Überwachung der datenschutzrechtlichen Pflichten des Arbeitgebers
  • Aufklärung über datenschutzrechtliche Pflichten
  • Ansprechpartner für Arbeitgeber, Mitarbeiter und Behörden zu allen Belangen des Datenschutzes

5. Fazit

  • Der Arbeitnehmerdatenschutz erfasst sämtliche personenbezogenen Daten, die einem Mitarbeiter zugeordnet werden können.
  • Sie dürfen nur erhoben, verarbeitet und weitergegeben werden, wenn der Arbeitnehmer sein Einverständnis dazu erteilt oder eine gesetzliche Grundlage vorliegt.
  • Selbst wenn die Daten erhoben werden durften, hat der Arbeitgeber einige Pflichten bei ihrem Umgang zu beachten. Dazu zählt zum Beispiel, dass er sie vor unberechtigtem Zugriff schützt.
  • Beachtet der Arbeitgeber den Arbeitnehmerdatenschutz nicht, können die Mitarbeiter ggf. Schadensersatz verlangen.
  • Erster Ansprechpartner im Betrieb zum Thema Arbeitnehmerdatenschutz ist der Datenschutzbeauftragte.