Personaldatenschutz: Der DS-GVO-konforme Umgang mit Mitarbeiterdaten

18. Januar 2021 - Minuten Lesezeit

Der Personaldatenschutz oder auch Datenschutz im Personalwesen ist wohl der wichtigste Geltungsbereich der Datenschutzgrundverordnung (DSGVO), da er für die allermeisten Unternehmen zutrifft. Denn jedes Unternehmen, welches Mitarbeiter beschäftigt, verarbeitet entsprechend auch Mitarbeiterdaten.

Sollte sich der Unternehmer also noch gefragt haben, ob die DSGVO auch für ihn gilt, dann ist die klare Antwort: JA – die DSGVO gilt, sofern mindestens ein Mitarbeiter dort beschäftigt ist.

Nach dieser Feststellung, dass die DSGVO gilt, muss man sich als Arbeitgeber nun die nächste Frage stellen: Was muss ich denn nun beachten? Was darf ich und was nicht?

Verarbeitung von Mitarbeiterdaten: Was ist zum Personaldatenschutz beachten?

Grundsätzlich ist dies einfach zu beantworten: Jede Verarbeitung von personenbezogenen Daten ist verboten (also auch die Verarbeitung der Mitarbeiterdaten), es sei denn, es liegt eine Rechtsgrundlage oder Einwilligung des Mitarbeiters vor.

Die typischen Daten, welche durch den Arbeitgeber in der Regel verarbeitet werden, sind beispielsweise:

  • Name
  • Anschrift
  • Geburtsdatum
  • Gehalt
  • Religion
  • Bankverbindung
  • etc.

Diese Daten sind notwendig, um den Anstellungsvertrag arbeitgeberseits erfüllen zu können – nämlich die Gehaltszahlung. Die Rechtsgrundlage für die Verarbeitung dieser Daten ist somit die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO in Verbindung mit § 26 BDSG). Dabei ist wichtig, dass die vorliegenden Mitarbeiterdaten ausschließlich für den Zweck der Vertragserfüllung verarbeitet werden dürfen – es gilt eine enge und zwingende Zweckbindung. Im dargestellten Fall handelt es sich um ein aktives Beschäftigungsverhältnis.

Was ist jedoch mit Bewerberdaten? Hier gibt es ja (noch) keinen Vertrag und unter Umständen wird es auch nie einen solchen geben...?
Oder mit Daten von ausgeschiedenen Mitarbeitern? Hier besteht ebenfalls kein aktives Vertragsverhältnis mehr...?

Personaldatenschutz: Umgang mit Daten von Bewerbern und ehemaligen Mitarbeitern

Auch die Daten von Bewerbern und ehemaligen Mitarbeitern fallen unter den Personaldatenschutz (Geltungsbereich der DSGVO und des Bundesdatenschutzgesetzes BDSG). Es gibt also auch hier Spielregeln im Datenschutz, an die sich der Arbeitgeber halten muss.

Rechtsgrundlage bei Bewerberdaten ist die Anbahnung eines Vertrages – also vergleichbar mit einem aktiven Beschäftigungsverhältnis. Während des Bewerbungsprozesses dürfen jedoch nur die Daten gespeichert und verarbeitet werden, die für die Bewerberauswahl wichtig sind – hier gelten die Grundsätze der Datenminimierung und Zweckbindung. Auch dürfen Bewerberdaten nicht länger als maximal sechs Monate nach Beendigung des Bewerbungsprozesses verarbeitet/gespeichert werden (Grundsatz: Speicherbegrenzung sowie Recht auf Vergessenwerden). Der (zukünftige) Arbeitgeber kann sich jedoch durch eine Einwilligung des Bewerbers die Möglichkeit einräumen lassen, die Daten für maximal 24 Monate in einen Bewerberpool aufzunehmen.    

Personaldatenschutz-Umgang-mit-Bewerbungsunterlagen

Bei ehemaligen Mitarbeitern dürfen die Daten in bestimmten Fällen weiterverarbeitet werden, z. B. bei Bestehen einer betrieblichen Altersvorsorge – hier gilt jedoch ebenfalls der Grundsatz der Zweckbindung. Die Daten dürfen auch hier im Sinne des Personaldatenschutz nur so lange verarbeitet werden, wie es tatsächlich erforderlich ist.

Zudem gibt es für bestimmte Daten gesetzliche Aufbewahrungsfristen. So müssen Lohn-/ Gehaltsunterlagen beispielsweise sechs bzw. zehn Jahre lang aufbewahrt werden.

Egal, ob der Arbeitgeber Daten eines Bewerbers, aktiven Beschäftigten oder ehemaligen Mitarbeiters verarbeitet, immer gelten die folgenden Datenschutzgrundsätze:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht

Grundsatz der Vertraulichkeit beim Personaldatenschutz

Einige der o.g. Grundsätze haben wir bereits an der ein oder anderen Stelle hier kennengelernt. Auf einen sehr wichtigen Punkt möchte ich aber noch eingehen: Die Vertraulichkeit.

Es erscheint logisch und selbstverständlich, dass Mitarbeiterdaten nicht öffentlich zur Schau gestellt werden bzw. weitererzählt werden und diese vertraulich behandelt werden sollen. Jedoch sollte der Arbeitgeber nicht auf Logik und Selbstverständlichkeit vertrauen, denn Vertrauen ist gut, proaktives Handeln aber noch besser.

Eine klare Empfehlung ist somit, dass alle Mitarbeiter auf Vertraulichkeit verpflichtet werden – insbesondere die Mitarbeiter der Personalabteilung. Durch eine Verpflichtungserklärung hat der Arbeitgeber so auch direkt seine Rechenschaftspflicht erfüllt.

Manch einer fragt sich jetzt: "Mist. Um arbeitgeberseits den Anstellungsvertrag erfüllen zu können, muss ich ja die Daten sogar aus der Hand geben (Steuerberater, Lohnbüro o.ä.). Dann habe ich ja überhaupt keine Kontrolle darüber?!"

Ja, das ist ein Problem, jedoch kein Unlösbares: Mit dem jeweiligen Dienstleister ist ein Auftragsverarbeitungsvertrag (gem. Art. 28 DSGVO) zu schließen. In einem solchen Vertrag wird der Dienstleister dazu verpflichtet, ein entsprechendes Datenschutzniveau einzuhalten. 

Verarbeitung und Nutzung von Mitarbeiterfotos

Was ist denn, wenn ein Unternehmen weitere Daten von Mitarbeitern nutzen möchte, die nicht (unbedingt) für die Vertragserfüllung notwendig sind? Wie sieht es z.B. mit der Verarbeitung von Mitarbeiterfotos aus?

Bilder gelten als personenbezogenes Datum, d.h. die DSGVO findet auch hier Anwendung und es gelten die entsprechenden Regeln für den Personaldatenschutz. Bei der Verarbeitung von Mitarbeiterfotos gibt es aber große Unterschiede. Sehen wir uns drei verschiedene Nutzungsarten der Bilder einmal an:

1. Das Bild des Mitarbeiters im Telefonverzeichnis

Es ist zwar schön, wenn im Telefonverzeichnis des Unternehmens neben dem Namen auch ein Foto des Mitarbeiters zu finden ist - wirklich nötig ist das aber nicht. Ein Telefonverzeichnis funktioniert auch ohne Bild.

Deshalb setzt ein Bild im Telefonverzeichnis voraus, dass der Beschäftigte damit einverstanden ist – Rechtsgrundlage ist somit die ausdrückliche und freiwillige nachweisbare Einwilligung des Mitarbeiters. Der Arbeitgeber darf das Bild dann auch nur für den bestimmten Zweck (hier: Telefonverzeichnis) nutzen, ansonsten – z.B. bei weitergehender Nutzung des Bildes, muss er den Beschäftigten vorher fragen und eine weitere Einwilligung einholen.

2. Das Bild auf der Internetseite

Wenn Fotos von Beschäftigten auf die Internetseite des Unternehmens sollen, gibt es zwei denkbare Rechtsgrundlagen: Erneut die Einwilligung (wie oben beschrieben) oder das „berechtigte Interesse“ (gem. Art. 6 Abs. 1 lit f DS-GVO).

Unter Umständen könnte es nämlich angebracht sein, dass Mitarbeiterfotos in einem konkreten Rahmen veröffentlicht werden, ohne dass es einer expliziten Einwilligung des Mitarbeiters bedarf. Dies ist zumeist der Fall, wenn der Mitarbeiter als eine Art „Aushängeschild“ für das Unternehmen oder als direkter Ansprechpartner für Kunden und Interessenten in Erscheinung treten soll und dies von seiner Arbeitsplatzbeschreibung umfasst wird.

Und wie sieht es aus, wenn Beschäftigte an einem Imagefilm des Unternehmens mitwirken sollen, welcher im Internet veröffentlicht wird? Dazu wird ein Unternehmen schon deshalb niemanden zwingen, weil der ”Schauspieler wider Willen” sicher keine positive und zweckdienliche Ausstrahlung zu Gunsten des Unternehmens hat. Unabhängig von der Ausstrahlung des Mitarbeiters gilt aber: Ohne Einwilligung geht hier nichts.

3. Das Bild auf einem Werkausweis

Kann es sein, dass die Verwendung eines Bildes doch für die Durchführung des Arbeitsverhältnisses erforderlich sein könnte? Wenn ja, kommt es auf eine Einwilligung des Beschäftigten bekanntlich nicht an.
Denn in einem solchen Fall wäre er aufgrund des Arbeitsverhältnisses verpflichtet, entweder selbst ein Bild zur Verfügung zu stellen oder zumindest dabei mitzuwirken, ein solches Bild anzufertigen.

Ein denkbarer Praxisfall hierfür wäre: das Foto auf einem Werksausweis. Ein Werksausweis ohne Bild kann seine Funktion normalerweise nicht erfüllen. Wenn es also Werksausweise im Unternehmen gibt, muss sich der Beschäftigte deshalb dafür fotografieren lassen. Rechtsgrundlage ist dann wieder die Vertragserfüllung.

Gerade bezogen auf den letzten Punkt des Fotos auf einem Werksausweis kann man sich die nächste Frage stellen: Wie sieht es in Sachen Personaldatenschutz denn aus mit Namensschildern auf der Arbeitskleidung?

In Unternehmen ist es vielfach üblich, dass Beschäftigte auf ihrer Arbeitskleidung Namensschilder tragen. In einem solchen Fall erhalten Kunden und jeder, der dem Mitarbeiter begegnet, von diesen personenbezogenen Daten (Name des Mitarbeiters) Kenntnis. Insoweit handelt es sich um eine Verarbeitung personenbezogener Daten von Beschäftigten. Als mögliche Rechtsgrundlage hierfür muss überprüft werden, ob ein berechtigtes Interesse (gem. Art. 6 Abs. 1 lit. f DSGVO) des Arbeitgebers an dieser Verarbeitung besteht.

Es ist somit eine Abwägung durchzuführen, ob das Interesse des Arbeitgebers am Tragen des Namensschildes durch seinen Beschäftigten, die Interessen, Grundrechte und Grundfreiheiten des betroffenen Beschäftigten überwiegt.

Als mögliche Interessen des Arbeitgebers kommen in Betracht:

Persönliche Ansprache des Beschäftigten - insbesondere in sehr großen Betrieben von Vorteil

Kunden können Beschäftigte mit Namen ansprechen (kundenfreundliche Bedienung)

Kunden können sich, mit Kenntnis der Namen von Beschäftigten, beim Arbeitgeber gezielt beschweren

Die Interessen, Grundrechte und Grundfreiheiten der Beschäftigten könnten sein:

Identitätsschutz

Schutz der Privatsphäre

Man kann davon ausgehen, dass das berechtigte Interesse des Arbeitgebers grundsätzlich überwiegen dürfte, wenn Namensschilder nur innerhalb des Unternehmens getragen werden und die Beschäftigten keinen persönlichen Kundenkontakt haben.

Wie sieht es jedoch aus, wenn Kundenkontakt besteht (z.B. Mitarbeiter eines Kaufhauses) oder Patientenkontakte im Krankenhaus?

Wenn hier die Pflicht für den Mitarbeiter bestünde, Namensschilder mit Vor- und Nachnamen zu tragen, dann wäre er anhand öffentlicher Telefonbücher oder Suchmaschinen im Internet ohne viel Aufwand ausfindig zu machen. Was bedeutet, dass seine Privatanschrift ebenfalls von Kunden, Patienten oder aufgrund anderer Kontakte herausgefunden werden könnte und er unter Umständen belästigt werden könnte. Auch sind anhand dieser Daten und Recherchen im Internet Profile über die betroffene Person möglich. Dies könnte die Grundrechte des Mitarbeiters in Bezug auf den Schutz seiner personenbezogener Daten verletzen.

Als Fazit mit Sicht auf den Personaldatenschutz gilt bei Namensschildern auf der Berufskleidung also Folgendes:

Der Arbeitgeber darf von Beschäftigten nur verlangen, dass der Nachname auf Namensschildern angebracht wird. Alle darüber hinausgehenden Daten stellen einen Verstoß gegen die Zweckbindung sowie die Datenminimierung dar und es wäre eine entsprechende Einwilligung des Mitarbeiters einzuholen.

Katrin Dahmen

Katrin Dahmen
Weitere blogartikel
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Sie haben Beratungsbedarf oder wünschen ein Angebot zum Datenschutz?

>