Datenschutz im Arbeitsvertrag

Datenschutz verstehen –  Datenschutz im Arbeitsvertrag

Arbeitsvertrag Datenschutz
Zusammenfassung
  1. Arbeitnehmerdaten werden insbesondere durch die Betroffenenrechte der DSGVO (Art. 15 ff.) und dem BDSG-neu geschützt.
  2. Der Arbeitgeber steht in der Pflicht, für die Einhaltung aller datenschutzrechtlichen Vorgaben auch im Bereich der Mitarbeiterdaten zu sorgen. Hierzu zählen auch die Einhaltung der Grundsätze der Datenverarbeitung nach Art. 5 DSGVO sowie der technisch-organisatorischen Maßnahmen.
  3. Auch für die Verarbeitung von Mitarbeiterdaten muss eine rechtskonforme Rechtsgrundlage gemäß der DSGVO (Art. 6 und 9) vorliegen.
  4. Unter die Kategorie der Arbeitnehmer fallen auch LeiharbeitnehmerInnen, Auszubildende, Freiwillige und viele mehr. (§ 26 Abs. 8 BDSG-neu)
  5. Im Arbeitsvertrag sowie den darauffolgenden Verarbeitungen werden Mitarbeiter- und Arbeitnehmerdaten wie beispielsweise Name, Adresse, Geburtsdatum oder Bankdaten erhoben und verarbeitet.
  6. Der Arbeitgeber hat die eigenen Mitarbeiter über alle erforderlichen Punkte (gem. Art. 13 DSGVO) transparent und verständlich zu informieren. Diese Informationen sollten als Anhang zum Arbeitsvertrag ausgegeben werden.
  7. Verstöße gegen die datenschutzrechtlichen Vorgaben können für den Arbeitgeber Geldbußen von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bedeuten. Es gilt der höhere Betrag.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

PlayPlay

Datenschutz ist spätestens seit der Anwendbarkeit der neuen Europäischen Datenschutz-Grundverordnung (DSGVO) seit dem 25.05.2018 ein wichtiges Thema für alle Unternehmen. Gleichzeitig geht es im Datenschutz nicht nur um den Schutz von personenbezogenen Daten von Kunden, Kooperationspartnern oder Lieferanten, sondern auch und speziell um den Schutz der personenbezogenen Daten von Mitarbeitern. Arbeitgeber müssen daher einige datenschutzrechtliche Vorgaben für ihre Mitarbeiter beachten. In diesem Blogbeitrag erfahren Sie, welche Dokumente Sie für die Einhaltung des Datenschutzes vorbereiten müssen. Unsere Muster, wie z.B. eine Verpflichtungserklärung auf das Datengeheimnis oder Einwilligungserklärung, unterstützen Sie dabei. 

 

Datenschutz im Arbeitsvertrag – Das müssen Arbeitgeber beachten

Die neue Datenschutz-Grundverordnung (DSGVO) wird umgangssprachlich auch neue Datenschutzverordnung genannt. Neu, weil bis dahin in Deutschland nur das Bundesdatenschutzgesetz (BDSG) galt. Die DSGVO ist dagegen eine europaweite Verordnung und gibt somit datenschutzrechtlich den Maßstab für die EU vor. Europäisches Recht ist im Rang höher als das deutsche, was dazu geführt hat, dass das BDSG-alt teilweise obsolet wurde. Aus diesem Grund wurde das BDSG überarbeitet und wirkt folglich nun ergänzend zur DSGVO.

Die DSGVO enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten, Art. 1 Abs. 1 DSGVO. Darüber hinaus beachtet es die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Informationelle Selbstbestimmung und allgemeine Persönlichkeitsrecht nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG geschützt, vgl. Art. 1 Abs. 2 DSGVO.

Die DSGVO ist dabei nicht das einzige neue Datenschutzgesetz: Gleichzeitig trat das neue Bundesdatenschutzgesetz (BDSG-neu) am 25.05.2018 in Kraft. Das BDSG-neu enthält explizite Vorschriften bezüglich der Verarbeitung von personenbezogenen Daten im Beschäftigungsverhältnis. Die DSGVO enthält dagegen eher allgemeingültige Vorgaben für die Verarbeitung von personenbezogenen Daten, die aber naturgemäß auch für das Arbeitsverhältnis gelten. Betroffene Personen, also Mitarbeiter und Arbeitnehmer in einem Unternehmen, werden speziell durch die Betroffenenrechte in den Art. 15 ff. DSGVO geschützt. Arbeitgeber müssen wissen, dass sie gem. Art. 4 Nr. 7 DSGVO Verantwortlicher für die Verarbeitung von personenbezogenen Daten sind. Das heißt, dass der Arbeitgeber dafür Sorge zu tragen hat, alle datenschutzrechtlichen Vorgaben – auch im Bereich der Mitarbeiterdaten – einzuhalten. Umso wichtiger ist es daher, von Beginn an die datenschutzrechtlichen Vorgaben bei der Verarbeitung von Mitarbeiterdaten zu berücksichtigen. 

 

Warum Arbeitgeber die DSGVO beim Arbeitsvertrag beachten sollten

Der § 26 Abs. 1 BDSG stellt eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis dar. Diese ist demnach erlaubt, wenn dies für die Durchführung des Bewerbungsverfahrens oder zur Durchführung des anschließenden Beschäftigungsverhältnisses erforderlich ist. Außerdem ist unter den zusätzlichen Voraussetzungen des § 26 Abs. 1 S. 2 BDSG die Verarbeitung zur Aufdeckung von betriebsbezogenen Straftaten zulässig. Die Vorgaben des § 26 Abs. 1-6 BDSG gelten zudem gem. § 26 Abs. 7 BDSG auch, wenn die Daten nicht in einem Dateisystem gespeichert werden oder gespeichert werden sollen. Weiterhin sind die datenschutzrechtlichen Grundsätze zu beachten. Insbesondere ist bei der Einwilligung der Grundsatz der Freiwilligkeit gem. § 26 Abs. 2 S. 1, 2 BDSG zu beachten, sowie die Formvorschrift des § 26 Abs. 2 S. 3 BDSG.

In einem Arbeitsvertrag werden in der Regel Daten wie Name und Anschrift des jeweiligen Arbeitnehmers verarbeitet. Weitere Daten werden nach der Unterschrift im Rahmen eines Personalfragebogens erhoben und verarbeitet. Diese Daten werden grundsätzlich für die Anfertigung einer Personalakte benötigt und um eine Gehaltsabrechnung zu erstellen. Steuerrechtliche Vorgaben erfordern ebenfalls gewisse Angaben von den Beschäftigten. Wichtig ist in diesem Zusammenhang ist, dass der Arbeitgeber die eigenen Mitarbeiter über alle erforderlichen Punkte nach Art. 13 DSGVO transparent und verständlich informiert. Die Informationspflichten in der DSGVO sorgen dafür, dass betroffene Personen erfahren, wie ihre personenbezogenen Daten im Einzelnen verarbeitet werden und welche Rechte sie diesbezüglich geltend machen können. Arbeitgeber müssen daher neben den Informationspflichten dafür Sorge tragen, dass stets eine rechtskonforme Rechtsgrundlage (vgl. Art. 6, 9 DSGVO) für die jeweilige Verarbeitung von personenbezogenen Daten existiert, die Grundsätze der Datenverarbeitung nach Art. 5 eingehalten werden und auch alle anderen allgemeinen Vorgaben der DSGVO, wie z.B. Art. 32 DSGVO bezüglich technisch-organisatorischer Maßnahmen, eingehalten werden. Darüber hinaus sind die besonderen Regelungen des BDSG-neu, insbesondere § 26 BDSG-neu, einzuhalten, vgl. Art. 88 DSGVO.

Datenschutz eBook
Unsere Datenschutz eBooks

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

 

Welche Pflichten haben Arbeitgeber beim Arbeitsvertrag?

Unmittelbar im Arbeitsvertrag können datenschutzrechtliche Klauseln nur marginal aufgenommen werden, da es sich in der Regel um mehrere Seiten handelt und der Arbeitsvertrag damit insgesamt zu viele Seiten umfassen würde. Wir empfehlen daher, konkrete datenschutzrechtliche Angaben im Anhang zum Arbeitsvertrag auszugeben. Der Arbeitsvertrag sollte eher Verschwiegenheitspflichten bezüglich Geschäfts- und Betriebsgeheimnissen regeln. In diesem Zusammenhang sollte insbesondere das neue Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) Berücksichtigung finden.

Wichtig ist zunächst allerdings, als Arbeitgeber zu wissen, wer alles unter die Kategorie der Arbeitnehmer fällt: Hierzu zählen  gem. § 26 Abs. 8 BDSG-neu :

  • Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher, 
  • zu ihrer Berufsbildung Beschäftigte, 
  • Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
  • in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
  • Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten, 
  • Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
  • Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.

Arbeitgeber müssen insofern aus datenschutzrechtlicher Sicht folgende Punkte bei der Verarbeitung von Beschäftigtendaten beachten:

Zum Zeitpunkt der Erhebung der Daten muss der Arbeitgeber seine Beschäftigten gem. Art. 13 DSGVO informieren. Dies gilt in Hinblick auf sämtliche Vorgaben, die Art. 13 DSGVO nennt. Die Art und Weise, wie informiert werden muss, gibt Art. 12 DSGVO vor. Diese Informationen sollten als Anhang zum Arbeitsvertrag ausgegeben werden. Falls die Erhebung der Daten bereits früher stattfindet, sollten auch die Informationen früher, also zum Zeitpunkt der Erhebung, ausgegeben werden. In der Regel findet die erste Erhebung der Daten von zukünftigen Mitarbeitern im Bewerbungsverfahren statt. Das bedeutet für Arbeitgeber, dass sowohl der Erhalt einer Bewerbung per E-Mail, als auch der Erhalt einer Bewerbung innerhalb von sozialen Netzwerken abgesichert werden muss.

Darüber hinaus müssen Beschäftigte auf das Datengeheimnis nach Art. 32 Abs. 4 DSGVO verpflichtet werden. In diesem Zusammenhang ist darauf zu achten, eine Verpflichtungserklärung zu verwenden, die alle anzugebenden Informationen enthält. Die Verpflichtungserklärung auf das Datengeheimnis muss von den Beschäftigten gegengezeichnet werden. Diese Erklärung sollte sich ebenfalls im Anhang des Arbeitsvertrages befinden.

Arbeitgeber müssen bei der Verarbeitung der Daten die Grundsätze der Datenverarbeitung gem. Art. 5 DSGVO beachten:

  • Personenbezogene Daten müssen rechtmäßig, nach Treu und Glauben und transparent verarbeitet werden, Art. 5 Abs. 1 lit. a) DSGVO.
  • Der Grundsatz der Zweckbindung gem. Art. 5 Abs. 1 lit. b) DSGVO muss eingehalten werden.
  • Außerdem muss bei der Verarbeitung von personenbezogenen Daten der Grundsatz der Datenminimierung bzw. der Datensparsamkeit eingehalten werden, Art. 5 Abs. 1 lit. c) DSGVO.
  • Personenbezogene Daten müssen richtig verarbeitet werden, also dem Grundsatz der Richtigkeit genügen, gem. Art. 5 Abs. 1 lit. d) DSGVO.
  • Auch der Grundsatz der Speicherbegrenzung spielt im Beschäftigtendatenschutz eine wichtige Rolle und muss eingehalten werden, vgl. Art. 5 Abs. 1 lit. e) DSGVO
  • Darüber hinaus müssen personenbezogene Daten in einer Weise verarbeitet werden, die den Grundsätzen der Integrität und Vertraulichkeit entspricht, Art. 5 Abs. 1 lit f.) DSGVO.

Richtlinien, z.B. bezüglich der Nutzung der IT und des Internets des Betriebes, sollten erstellt und von den Mitarbeitern gegengezeichnet werden

Der Einsatz von Videoüberwachung innerhalb des Betriebs betrifft ebenfalls das Recht am eigenen Bild und das Recht auf informationelle Selbstbestimmung als Teile des Allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG. Hierbei gilt daher, dass es einer Rechtsgrundlage im Sinne des Art. 6 Abs. 1 DSGVO für den Einsatz von Videoüberwachungsanlagen bedarf. Dies kann eine Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO oder ein berechtigtes Interesse auf Arbeitgeberseite sein i.S.d. Art. 6 Abs. 1 lit. f) DSGVO. 

Bei der Einwilligung gilt es besonders, die Anforderungen an die Einwilligungserklärung einzuhalten: 

  • Eindeutigkeit
  • Freiwilligkeit
  • Widerrufbarkeit
  • erkennbarer Zweck der Verarbeitung
  • expliziter Vorgang der Verarbeitung.

Die Vorgaben sind ebenfalls einzuhalten, wenn Angestellte mit Datenverarbeitungen zu tun haben.

Ferner müssen Arbeitgeber dafür sorgen, dass für Verarbeitungen von personenbezogenen Daten, für die keine gesetzliche Grundlage existiert, eine informierte Einwilligung nach den Vorgaben der DSGVO erstellt und den betroffenen Mitarbeitern übergeben und unterzeichnet wird. Als eine gesetzliche Grundlage für die Verarbeitung von personenbezogenen Beschäftigtendaten existiert darüber hinaus z.B. § 26 Abs. 1 und Abs. 3 BDSG-neu. Allerdings muss genau geprüft werden, ob diese Rechtsgrundlage für die beabsichtigte Verarbeitung ausreicht. Andernfalls ist ebenfalls eine Einwilligungserklärung erforderlich. Die Mitarbeiter können, müssen aber nicht die Einwilligungserklärung unterzeichnen, da eines der zentralen Merkmale einer Einwilligung stets die Freiwilligkeit ist, die speziell im Beschäftigungsverhältnis eine besondere Bedeutung besitzt, vgl. Art. 7, 9, 88 DSGVO, § 26 Abs. 2, Abs. 3 BDSG-neu. Sofern die Einwilligung nicht erteilt wird, darf die beabsichtigte Verarbeitung nicht stattfinden. Anbei finden Sie eine Muster-Datenschutzerklärung, die allerdings stets auf den Einzelfall angepasst und ggf. erweitert werden muss. Wichtig ist, dass die Einwilligungserklärung alle erforderlichen Informationen nach Art. 7, 8, 12 ff. DSGVO und insbesondere einen Hinweis auf die Möglichkeit eines Widerrufs enthält.

 

Erhobene Daten im Arbeitsvertrag

Im Rahmen des Arbeitsvertrages werden folgende (besondere) personenbezogene Daten erfasst: Name, Vorname, Anschrift, Geburtsdatum, Geburtsort, Familienstand, Religionszugehörigkeit, E-Mail-Adresse, Telefonnummer, Personalausweisnummer. Außerdem werden Sozialversicherungsdaten verarbeitet, sowie Kontodaten für die Gehaltszahlungen. Beurteilungen des Arbeitnehmers, sowie absolvierte Schulungen, werden ebenfalls zur Akte des Arbeitnehmers hinzugefügt. Darüber hinaus werden Zeugnisse und Qualifikationen, sowie die Unterlagen zur Beendigung des Arbeitsverhältnisses aufbewahrt.

 

Mitarbeiter über die Verwendung der Daten informieren

Die Rechte, die der Angestellte hinsichtlich der Verarbeitung seiner Daten hat, müssen ihm hinreichend klar und verständlich mitgeteilt werden. Es müssen vor allem die Verwendung und der Zweck der Verarbeitung mitgeteilt werden. Außerdem ist dem Angestellten eine Mitteilung über folgende Informationen zu machen:

  • Datenschutzbeauftragter
  • Kontaktdaten des Arbeitgebers
  • Grundlage und Zweck der Verarbeitung i.S.d. § 26 Abs.1 S.1 BDSG
  • Speicherdauer (auch bei Bewerbungen)
  • Weiterleitung der Informationen (auch bei Bewerbungen)
  • Drittstaatentransfer
  • Beschwerderecht bei der Aufsichtsbehörde
  • Widerrufsrecht
  • Belehrung über Rechte des Betroffenen  (Art.15-21 DSGVO)

DSGVO Checkliste Beschäftigtenkontext:

  • Falls Dienstleister für die Verarbeitung von personenbezogenen Daten eingesetzt werden, muss geprüft werden, ob eine Auftragsverarbeitung i.S.d. Art. 28 DSGVO vorliegt. Für den Fall der Einschlägigkeit müssen entsprechende Auftragsverarbeitungsverträge mit den Auftragsverarbeitern vereinbart werden. Der Inhalt dieser Verträge muss die Vorgaben von Art. 28 DSGVO berücksichtigen. Mitarbeiter müssen bezüglich der datenschutzrechtlichen Pflichten geschult werden, vgl. Art. 39 Abs. 1 lit. b) letzte Variante DSGVO. Ein Verfahren für die rechtskonforme Bearbeitung von Betroffenenrechten nach Art. 15 bis Art. 23 DSGVO, insbesondere wenn diese von aktuellen oder ehemaligen Mitarbeitern geltend gemacht werden, muss ebenfalls von dem Arbeitgeber mit der Hilfe des Datenschutzbeauftragten erarbeitet und mit in die Unternehmensprozesse aufgenommen werden.
  • Die Verarbeitungen von betroffenen Personen müssen in das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach den Vorgaben des Art. 30 DSGVO aufgenommen werden.
  • Darüber hinaus müssen alle nach Art. 32 DSGVO vorgeschriebenen technisch-organisatorischen Maßnahmen im Bereich der Verarbeitung von Beschäftigtendaten etabliert werden.
  • Weitere datenschutzrechtliche Pflichten nennt Ihnen Ihr Datenschutzbeauftragter nach einer ausführlichen Bestandsaufnahme hinsichtlich der Verarbeitung von personenbezogenen Daten Ihrer Beschäftigten. Zu berücksichtigen ist stets die Nachweispflicht in Art. 5 Abs. 2 DSGVO: Für die Nachweisbarkeit der Einhaltung des Datenschutzes ist der Arbeitgeber verantwortlich.
 

Verstoß des Arbeitgebers gegen den Datenschutz – Konsequenzen

Ein Verstoß gegen die datenschutzrechtlichen Vorgaben kann für den Arbeitgeber schwerwiegende Folgen haben: Gem. 83 Abs. 4 lit. a) DSGVO drohen bei einem Verstoß gegen die hier genannten Vorgaben Geldbußen von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist.

Bei einem Verstoß gegen die in Art. 83 Abs. 5 lit. a) und b) DSGVO genannten Vorschriften drohen sogar Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist.

Bitte beachten Sie, dass alle in diesem Blogbeitrag zur Verfügung gestellten Muster lediglich als Vorlage für die Erstellung von individuellen Dokumenten dienen können. Alle Muster müssen also noch angepasst bzw. ergänzt werden. In diesem Zusammenhang berät Sie Ihr Datenschutzbeauftragter bei der Erstellung von datenschutzkonformen Dokumente. Unsere Experten von Keyed unterstützen Sie gerne bei der Erstellung von erforderlichen Dokumenten für Ihre Mitarbeiter.

 

Datenschutz Richtlinien Mitarbeiter

Richtlinien, z.B. bezüglich der Nutzung der IT und des Internets des Betriebes, sollten erstellt und von den Mitarbeitern gegengezeichnet werden. Richtlinien stellen insofern einen wichtigen Bestandteil dar, da sie zur Einhaltung der Datenschutz-Grundverordnung beitragen und auch individuelle Gestaltungsmöglichkeiten für den Arbeitgeber bieten. So können beispielsweise in der IT-Richtlinie für Mitarbeiter die Informationssicherheit des Unternehmens erhöht werden durch Vorgabe der Verwendung sicherer Passwörter, Verbot der Nutzung von privaten Datenträgern und Meldeprozesse bei Diebstahl oder Verlust. Des Weiteren können folgende Datenschutzrichtlinien den alltäglichen Ablauf im Unternehmen strukturieren und gleichzeitig Sicherheit für Daten steigern:

    1. Nutzung betrieblicher E-Mail-Konten
    2. Lösung von personenbezogenen Daten
    3. Umgang mit Betroffenenrechte 
    4. Nutzung mit betrieblichen Internet- und Telefonleitungen
Menü