Beschäftigtendatenschutz

Persönlich gut beraten

Mehr als 100 Mal in Deutschland: Steuerberater, Wirtschaftsprüfer, Rechtsanwälte und Unternehmensberater:
- zur Beratersuche...

Grundlagen des Datenschutzes: Der neue Beschäftigtendatenschutz

09.08.2018

Im Rahmen der Einführung der EU-Datenschutzgrundverordnung am 25. Mai 2018 wurde auch der Beschäftigtendatenschutz neu geregelt.

Am 25. Mai 2018 trat die EU-Datenschutzgrundverordnung (EU-DSGVO) in Kraft. Der Beschäftigtendatenschutz – oder auch Arbeitnehmerdatenschutz – ist in der DSGVO allerdings nicht eigenständig geregelt. Durch eine sogenannte Öffnungsklausel war es den Mitgliedstaaten überlassen, neue Vorschriften zu formulieren. Die DSGVO sieht aber vor, dass die jeweils geschaffenen Vorschriften

  • angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde beinhalten,
  • die berechtigten Interessen und die Grundrechte der betroffenen Person wahren. Dies gilt insbesondere im Hinblick auf die Transparenz bei der Verarbeitung und Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben.

Der deutsche Gesetzgeber hat die ihm eingeräumte Möglichkeit genutzt und in Paragraph 26 eine Regelung zum Arbeitnehmerdatenschutz in das überarbeitete, ebenfalls ab dem 25. Mai 2018 geltende Bundesdatenschutzgesetz (BDSG – neu) aufgenommen. Künftig gilt der Arbeitgeberdatenschutz nicht nur für Beschäftigte in den unterschiedlichsten Formen – von Festangestellten bis Mini-Jobber –, sondern auch für Bewerber und ehemalige Mitarbeiter.

Wie bisher dürfen personenbezogene Daten von Beschäftigten dann verarbeitet werden, wenn dies erforderlich ist

  • für die Entscheidung über die Aufnahme eines Beschäftigungsverhältnisses,
  • für dessen Durchführung oder Beendigung oder
  • zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten.

In diesen oben genannten Fällen ist die Einholung einer Einwilligung für die Verarbeitung der personenbezogenen Daten der Mitarbeiter nicht erforderlich. Zudem ist unter bestimmten Voraussetzungen die Verarbeitung personenbezogener Daten erlaubt, wenn es darum geht, Straftaten im Beschäftigungsverhältnis aufzudecken.

Freiwillige Einwilligung erforderlich

Sollte eine Datenverarbeitung über die vorstehend genannten Fälle hinausgehen, dürfen personenbezogene Daten verarbeitet werden, wenn die Beschäftigten freiwillig einwilligen. Um zu erkennen, ob eine Einwilligung freiwillig getroffen wurde, sind insbesondere die im Arbeitsverhältnis bestehende Abhängigkeit der beschäftigten Person zu berücksichtigen sowie die Umstände, unter denen die Einwilligung erteilt wurde. Von einer freiwilligen Einwilligung ist auf jeden Fall auszugehen, wenn der Betroffene einen Vorteil davon hat oder die Arbeitsvertragsparteien gleiche Interessen verfolgen. „Mitarbeiter sind in Textform über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht aufzuklären. Dies ist entsprechend zu dokumentieren“, sagt Gunnar Roloff, Rechtsanwalt bei Ecovis in Rostock.

Sensible Daten verarbeiten

Auch besondere Kategorien personenbezogener Daten dürfen verarbeitet werden, wenn sich die Einwilligung ausdrücklich auf diese Daten bezieht. Sensible Daten geben beispielsweise Auskunft über die ethnische Herkunft, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit. Ebenso dürfen auch genetische und biometrische Daten verarbeitet werden. Ohne eine Einwilligung ist die Verarbeitung von sensiblen personenbezogenen Daten zulässig, wenn

  • die Daten für die Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des sozialen Schutzes erforderlich sind;
  • eine Interessenabwägung vorgenommen wurde, ob die Wahrung von berechtigten Interessen der verantwortlichen Stellen oder eines Dritten die Grundrechte der betroffenen Person überwiegt.

So darf sich ein Arzt als Arbeitgeber beispielsweise danach erkundigen, ob eine Krankheit oder eine Beeinträchtigung des Gesundheitszustands vorliegt, durch den die Eignung für die vorgesehene Tätigkeit auf Dauer oder in periodisch wiederkehrenden Abständen eingeschränkt ist. Er darf auch nach ansteckenden Krankheiten fragen, die zwar nicht die Leistungsfähigkeit beeinträchtigen, jedoch die zukünftigen Kollegen oder Patienten gefährden könnten. „Zudem müssen Ärzte dokumentieren, dass sie geeignete Maßnahmen ergreifen, die sicherstellen, dass sie die Grundsätze der DSGVO einhalten“, sagt Roloff.

Neue Abmahnwelle rollt an

Mit der Einführung der DSGVO ist auch das Thema „Schadenersatzanspruch des Arbeitnehmers bei Verstößen gegen den Beschäftigtendatenschutz“ im Aufwind. Es ist damit zu rechnen, dass die Gerichte künftig weit höhere immaterielle Schadenersatzansprüche zusprechen, um eine effektive Umsetzung der DSGVO zu ermöglichen. „Wir erwarten ab Mitte des Jahres 2018 eine Abmahnwelle gegen Arbeitgeber. Zahlreiche Rechtsanwaltskanzleien werden für Arbeitnehmer Datenschutzverstöße im Beschäftigungsverhältnis aufspüren und diese abmahnen“, kommentiert Roloff.

Dr. Gunnar Roloff, Rechtsanwalt bei Ecovis in Rostock

Tipp

Die ganze Datenschutz-Serie finden Sie hier.