Datenschutz im Beschäftigungsverhältnis

Im Artikel 88 Absatz 1 der DSGVO ist zu lesen:

„Die Mitgliedstaaten können durch Rechtsvorschriften oder durch Kollektivvereinbarungen spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext [...] vorsehen.“

Die Bundesregierung hat hierzu Regelungen in § 26 des neuen BDSG getroffen um die „Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses“ zu regeln und somit die obige Spezifizierungsklausel der DSGVO gefüllt.

§ 26 BDSG-neu regelt im Wesentlichen

  • das Verarbeiten von Beschäftigtendaten mit dem Ziel der Begründung, Durchführung und Beendigung eines Beschäftigungsverhältnisses (§ 26 Abs. 1 Satz 1 BDSG-neu),

  • das Erheben, Verarbeiten und Nutzen von Beschäftigtendaten zur Aufdeckung von im Beschäftigungsverhältnis begangenen Straftaten (§ 26 Abs. 1 Satz 2 BDSG-neu),

  • die Anwendbarkeit der Einwilligung als Rechtsgrundlage zur Verarbeitung (§ 32 Abs. 2 BDSG-neu),

  • die Regelung zur Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO (§ 26 Abs. 3 BDSG-neu) sowie

  • die Erlaubnis zur Verarbeitung aufgrund von Kollektivvereinbarungen (§ 26 Abs. 4 BDSG-neu)

Es gelten gegenüber den Beschäftigten im Unternehmen die gleichen Pflichten des Verantwortlichen (Unternehmers) gegenüber Betroffenen (Mitarbeitern) gem. Art. 13 DSGVO (Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person)

Beispiel einer Information für Beschäftigte (Mitarbeiter) nach Art. 13 DSGVO

Bewerberdaten

Personenbezogene Daten von Beschäftigten dürfen also gem. obiger Aufzählung zum Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Folgedessen sind die Bewerber, also Beschäftige welche noch gar nicht im Unternehmen “tatsächlich tätig” sind, schon Beschäftigte im Sinne der DSGVO. Dies wiederrum verpflichtet den Verantwortlichen nach Art. 13 DSGVO dazu, dass er im Zuge der Erhebung den Betroffenen (also den Bewerber) über Umfang, Zweck und die Dauer der Speicherung informiert.

So könnte der Verantwortliche dieser Verpflichtung bei der Erhebung von Bewerberdaten nachkommen:

Beispiel einer ordnungsgemäßen Information für Bewerber

Ergänzend oder Alternativ hierzu können Verantwortliche über den Umfang und Zweck der Verarbeitung, sowie die doch sehr kritisch betrachtete Aufbewahrungsdauer von Bewerberdaten, in Ihrer Datenschutzerklärung auf diese Punkte verweisen.

Schwieriger, aber nicht ausgeschlossen, ist das Rechtsmittel der Einwilligung zur Verabeitung gem. Art. 6 Abs. 1 lit. a DSGVO. Vom Bewerber eine solche zu erhalten ist allerdings in der Praxis oftmals nicht ganz so einfach.

Um evtl. Unstimmigkeiten nachvollziehen zu können ist es nicht ganz ausgeschlossen sich hier auf das Berechtigte Interesse des Verantwortlichen zu berufen (Art. 6 Abs. 1 lit. f DSGVO).

Damit Unterlagen von Bewerbern, die nicht in Betracht kommen, Ihre Bewerbung zurückziehen oder gar Daten von Bewerbern, die die Stelle abgelehnt haben, unter gewissen Voraussetzungen bis zu 6 Monaten aufzubewahren, empfiehlt sich hier vom Arbeitgeber mit einer Einwilligung zu arbeiten.

Beispiel einer Einwilligungserklärung zur Speicherung von Bewerberdaten

Fotos von Beschäftigten

Auch wenn Name und dienstliche Kontaktdaten ohne Einwilligung des Mitarbeiters veröffentlicht werden dürfen, so Bedarf es bei der Veröffentlichung von Bildern immer noch einer Einwilligung durch den Arbeitnehmer. In den meisten Unternehmen ist es üblich auf der Website oder auf gedruckter Illustration diese Daten der Öffentlichkeit mitzuteilen.

Allerdings dürfte es sich im Hinblick auf die Problematik der Privatnutzung dienstlicher E-Mail-Accounts empfehlen, statt personenbezogenen E-Mail-Adressen nur Funktionsadressen, wie z. B. vertrieb@example.com, zu veröffentlichen. Fehlt es jedoch an einer gesetzlichen Erlaubnis, kann eine Veröffentlichung nur auf Basis einer Einwilligung erfolgen.

Eine Einwilligung ist unabhängig von der rechtlichen Grundlage nur dann wirksam, wenn sie informiert und freiwillig erfolgt, vgl. die Definition in Art. 4 Nr. 11 DSGVO. Der Mitarbeiter muss daher zunächst Zweck, Art und Umfang der geplanten Veröffentlichung kennen. Diese sollten sinnvollerweise in einem schriftlichen Einwilligungsformular angegeben werden.

Weiterhin muss auch unter der DSGVO der Arbeitgeber alle Tatbestandsvoraussetzungen der Einwilligung nachweisen, also auch die Freiwilligkeit (Art. 4 Nr. 10 DSGVO).

In der Praxis wird dies meist nur über eine schriftliche Einwilligungserklärung erfolgen können.

Für das Beschäftigungsverhältnis hat der deutsche Gesetzgeber in § 26 Abs. 2 S. 3 BDSG n. F. auf der Basis von Art. 88 DS-GVO ein Schriftformerfordernis eingeführt, von dem nur unter besonderen Umständen abgewichen werden darf.

Es ist zu berücksichtigen, dass § 26 Abs. 2 S. 3 BDSG n. F. nur im Beschäftigungskontext gilt, wo eine schriftliche Einwilligung viel einfacher einzuholen ist als etwa im Rahmen einer Online-Anmeldung.

Richtig ist, dass die Frage der Freiwilligkeit einer durch Beschäftigte erklärten Einwilligung sehr kritisch zu betrachten ist – ein Problem, das in allen Arten von Abhängigkeitsverhältnissen besteht. Im rechtlichen Sinne frei und damit wirksam ist eine Einwilligung nur dann, wenn der Arbeitnehmer effektiv die Möglichkeit hat, selbst zu bestimmen, ob und wie seine Daten verwendet werden, d. h. er ohne Angst vor nachteiligen Auswirkungen seine Einwilligung auch verweigern kann (ErwG 42 S. 5 DS-GVO; Artikel-29-Datenschutzgruppe, Working Paper 249, Kap. 6.2).

Der Vorschlag der Kommission (ErwG 34 DSGVO-E-KOM), Einwilligungen im Arbeitsverhältnis grundsätzlich als unwirksam anzusehen, konnte sich im Gesetzgebungsverfahren nicht durchsetzen. Art. 88 DS-GVO ermöglicht den Mitgliedstaaten allerdings, die Zulässigkeit von Einwilligungen im Beschäftigungskontext zu beschränken (ErwG 155 DSGVO), Art. 9 Abs. 4 DSGVO gibt diese Möglichkeit auch hinsichtlich der Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten.

Das folgende Formular stellt eine Einwilligung für die Fälle dar, in denen Mitarbeiter mit Fotos, Namen und Kontaktdaten Außenstehenden vorgestellt werden sollen. Es wird davon ausgegangen, dass alle Informationen gem. Art. 13 DSGVO den Mitarbeitern bereits vorliegen bzw. gesondert gegeben werden.

Einwilligungserklärung zur Veröffentlichung von Mitarbeiterfotos

Zu einer allgemeinen Checkliste für Einwilligungen

Quelle: Koreng/Lachenmann DatenschutzR-FormHdB, H. I. 1. Rn. 1. -11., beck-online

DatenschutzThomas KeisI.T.K. Systeme Thomas KeisTag1, Tag2