Datenschutz im Arbeitsvertrag

Datenschutz verstehen –  Datenschutz im Arbeitsvertrag

Zusammenfassung
  1. Arbeitnehmerdaten werden insbesondere durch die Betroffenenrechte der DSGVO (Art. 15 ff.) und dem BDSG-neu geschützt.
  2. Der Arbeitgeber steht in der Pflicht, für die Einhaltung aller datenschutzrechtlichen Vorgaben auch im Bereich der Mitarbeiterdaten zu sorgen. Hierzu zählen auch die Einhaltung der Grundsätze der Datenverarbeitung nach Art. 5 DSGVO sowie der technisch-organisatorischen Maßnahmen.
  3. Auch für die Verarbeitung von Mitarbeiterdaten muss eine rechtskonforme Rechtsgrundlage gemäß der DSGVO (Art. 6 und 9) vorliegen.
  4. Unter die Kategorie der Arbeitnehmer fallen auch LeiharbeitnehmerInnen, Auszubildende, Freiwillige und viele mehr. (§ 26 Abs. 8 BDSG-neu)
  5. Im Arbeitsvertrag sowie den darauffolgenden Verarbeitungen werden Mitarbeiter- und Arbeitnehmerdaten wie beispielsweise Name, Adresse, Geburtsdatum oder Bankdaten erhoben und verarbeitet.
  6. Der Arbeitgeber hat die eigenen Mitarbeiter über alle erforderlichen Punkte (gem. Art. 13 DSGVO) transparent und verständlich zu informieren. Diese Informationen sollten als Anhang zum Arbeitsvertrag ausgegeben werden.
  7. Verstöße gegen die datenschutzrechtlichen Vorgaben können für den Arbeitgeber Geldbußen von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bedeuten. Es gilt der höhere Betrag.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

Play
Slider

Datenschutz ist spätestens seit der Anwendbarkeit der neuen europäischen Datenschutz-Grundverordnung (DSGVO) seit dem 25.05.2018 ein wichtiges Thema für alle Unternehmen. Gleichzeitig geht es im Datenschutz nicht nur um den Schutz von personenbezogenen Daten von Kunden, Kooperationspartnern oder Lieferanten, sondern auch und speziell um den Schutz der personenbezogenen Daten von Mitarbeitern. Arbeitgeber müssen daher einige datenschutzrechtliche Vorgaben für ihre Mitarbeiter beachten. In diesem Blogbeitrag erfahren Sie, welche Dokumente Sie für die Einhaltung des Datenschutzes vorbereiten müssen. Unsere Muster, wie z.B. eine Verpflichtungserklärung auf das Datengeheimnis oder Einwilligungserklärung, unterstützen Sie dabei. 

 

Datenschutz im Arbeitsvertrag – Das müssen Arbeitgeber beachten

Die neue Datenschutz-Grundverordnung (DSGVO) wird umgangssprachlich auch neue Datenschutzverordnung genannt. Neue, weil bis dahin in Deutschland nur das Bundesdatenschutzgesetz (BDSG) galt. Die DSGVO ist dagegen eine EU-weite Verordnung und gibt somit datenschutzrechtlich den Maßstab für Europa vor. Europäisches Recht ist im Rang höher als deutsches, weshalb das BDSG teilweise obsolet wurde. Dieses wurde deswegen überarbeitet, weshalb das neue BDSG nun ergänzend zu der DSGVO wirkt.

Die DSGVO enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten, Art. 1 Abs. 1 DSGVO. Darüber hinaus werden die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten geschützt, vgl. Art. 1 Abs. 2 DSGVO.

Die DSGVO ist dabei nicht das einzige neue Datenschutzgesetz: Gleichzeitig trat das neue Bundesdatenschutzgesetz (BDSG-neu) am 25.05.2018 in Kraft. Das BDSG-neu enthält explizite Vorschriften bezüglich der Verarbeitung von personenbezogenen Daten im Beschäftigungsverhältnis. Die DSGVO enthält dagegen eher allgemeingültige Vorgaben für die Verarbeitung von personenbezogenen Daten, die aber naturgemäß auch für das Arbeitsverhältnis gelten. Betroffene Personen, also Mitarbeiter und Arbeitnehmer in einem Unternehmen, werden insbesondere durch die Betroffenenrechte in den Art. 15 ff. DSGVO geschützt. Arbeitgeber müssen wissen, dass sie gem. Art. 4 Nr. 7 DSGVO Verantwortlicher für die Verarbeitung von personenbezogenen Daten sind. Das heißt, dass der Arbeitgeber dafür sorgen muss, alle datenschutzrechtlichen Vorgaben auch im Bereich der Mitarbeiterdaten einzuhalten. Umso wichtiger ist es daher, von Beginn an die datenschutzrechtlichen Vorgaben bei der Verarbeitung von Mitarbeiterdaten zu berücksichtigen. 

 

Warum Arbeitgeber die DSGVO beim Arbeitsvertrag beachten sollten

In einem Arbeitsvertrag werden in der Regel Daten wie Name und Anschrift des jeweiligen Arbeitnehmers verarbeitet. Weitere Daten werden nach der Unterschrift im Rahmen eines Personalfragebogens erhoben und verarbeitet. Diese Daten werden in der Regel für die Anfertigung einer Personalakte benötigt und um eine Gehaltsabrechnung zu erstellen. Steuerrechtliche Vorgaben erfordern ebenfalls gewissen Angaben von den Beschäftigten. Wichtig ist in diesem Zusammenhang, als Arbeitgeber die eigenen Mitarbeiter über alle erforderlichen Punkte nach Art. 13 DSGVO transparent und verständlich zu informieren. Die Informationspflichten in der DSGVO sorgen dafür, dass betroffenen Personen erfahren, wie ihre personenbezogenen Daten im Einzelnen verarbeitet werden und welche Rechte sie geltend machen können. Arbeitgeber müssen daher neben den Informationspflichten dafür Sorge tragen, dass stets eine rechtskonforme Rechtsgrundlage (vgl. Art. 6, 9 DSGVO) für die jeweilige Verarbeitung von personenbezogenen Daten existiert, die Grundsätze der Datenverarbeitung nach Art. 5 eingehalten werden und auch alle anderen allgemeinen Vorgaben der DSGVO, wie z.B. Art. 32 DSGVO bezüglich technisch-organisatorischer Maßnahmen, eingehalten werden. Darüber hinaus sind die besonderen Regelungen des BDSG-neu, insbesondere § 26 BDSG-neu, einzuhalten, vgl. Art. 88 DSGVO.

Sie möchten mehr zu dem Thema Datenschutz erfahren?

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Erhalten Sie jetzt kostenfrei die umfangreichen und praxisorientieren eBooks von Keyed für die Umsetzung im Datenschutz.

Slider
 

Welche Pflichten haben Arbeitgeber beim Arbeitsvertrag?

Unmittelbar im Arbeitsvertrag können datenschutzrechtliche Klauseln nur marginal aufgenommen werden, da sie in der Regel mehrere Seiten umfassen und der Arbeitsvertrag insgesamt zu viele Seite umfassen würden. Wir empfehlen daher, konkrete datenschutzrechtliche Angaben im Anhang zum Arbeitsvertrag auszugeben. Im Arbeitsvertrag sollten eher Verschwiegenheitspflichten bezüglich Geschäfts- und Betriebsgeheimnissen geregelt werden. In diesem Zusammenhang sollten insbesondere das neue Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) berücksichtigt werden.

Wichtig ist zunächst allerdings, als Arbeitgeber zu wissen, wer alles unter die Kategorie der Arbeitnehmer fällt: Hierzu gehöre nämlich gem. § 26 Abs. 8 BDSG-neu :

  • Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher, 
  • zu ihrer Berufsbildung Beschäftigte, 
  • Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
  • in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
  • Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten, 
  • Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
  • Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.

Arbeitgeber müssen also insgesamt aus datenschutzrechtlicher Sicht folgende Punkte bei der Verarbeitung von Beschäftigtendaten beachten:

Zum Zeitpunkt der Erhebung der Daten muss ein Arbeitgeber seine Beschäftigten gem. Art. 13 DSGVO informieren. Dies gilt für alle Punkte, die Art. 13 DSGVO nennt. Die Art und Weise, wie informiert werden muss, gibt Art. 12 DSGVO vor. Diese Informationen sollten als Anhang zum Arbeitsvertrag ausgegeben werden. Falls die Erhebung der Daten bereits früher stattfindet, sollten auch die Informationen früher, also zum Zeitpunkt der Erhebung, ausgegeben werden. In der Regel findet die erste Erhebung der Daten von zukünftigen Mitarbeitern im Bewerbungsverfahren statt. Das bedeutet für Arbeitgeber, dass sowohl der Erhalt von einer Bewerbung per E-Mail, als auch der Erhalt einer Bewerbung innerhalb von sozialen Netzwerken, abgesichert werden muss.

Darüber hinaus müssen Beschäftigte auf das Datengeheimnis nach Art. 32 Abs. 1 lit. b) 2. Var. DSGVO verpflichtet werden. In diesem Zusammenhang ist darauf zu achten, eine Verpflichtungserklärung zu verwenden, die alle anzugebenden Informationen enthält. Die Verpflichtungserklärung auf das Datengeheimnis muss von den Beschäftigten gegengezeichnet werden. Diese Erklärung sollte sich ebenfalls im Anhang des Arbeitsvertrages befinden.

  • Arbeitgeber müssen bei der Verarbeitung der Daten die Grundsätze der Datenverarbeitung gem. Art. 5 DSGVO beachten:
    • Personenbezogene Daten müssen rechtmäßig, nach Treu und Glauben und transparent verarbeitet werden, Art. 5 Abs. 1 lit. a) DSGVO.
    • Der Grundsatz der Zweckbindung gem. Art. 5 Abs. 1 lit .b) DSGVO muss eingehalten werden.
    • Außerdem muss bei der Verarbeitung von personenbezogenen Daten der Grundsatz der Datenminimierung bzw. der Datensparsamkeit eingehalten werden, Art. 5 Abs. 1 lit. c) DSGVO.
    • Personenbezogene Daten müssen gerne richtig verarbeitet werden, also dem Grundsatz der Richtigkeit genügen, Art. 5 Abs. 1 lit. d) DSGVO.
    • Auch der Grundsatz der Speicherbegrenzung spielt im Beschäftigtendatenschutz eine wichtige Rolle und muss eingehalten werden, vgl. Art. 5 Abs. 1 lit. e) DSGVO
    • Darüber hinaus müssen personenbezogene Daten in einer Weise verarbeitet werden, die den Grundsätzen der Integrität und Vertraulichkeit entspricht, Art. 5 Abs. 1 lit f.) DSGVO.
  • Richtlinien, z.B. bezüglich der Nutzung der IT und des Internets des Betriebes, sollten erstellt und von den Mitarbeitern gegengezeichnet werden

Ferner müssen Arbeitgeber dafür sorgen, dass für Verarbeitungen von personenbezogenen, für die keine gesetzliche Grundlage existiert, eine informierte Einwilligung nach den Vorgaben der DSGVO erstellt und den betroffenen Mitarbeitern übergeben werden. Eine gesetzliche Grundlage für die Verarbeitung von personenbezogenen Daten existiert z.B. in § 26 Abs. 1 und Abs. 3 BDSG-neu. Allerdings muss genau geprüft werden, ob diese Rechtsgrundlage für die beabsichtigte Verarbeitung ausreichen. Andernfalls ist eine Einwilligungserklärung erforderlich. Die Mitarbeiter können, müssen aber nicht die Einwilligungserklärung unterzeichnen, da eines der zentralen Merkmale einer Einwilligung stets die Freiwilligkeit ist, die speziell im Beschäftigungsverhältnis eine besondere Bedeutung besitzt, vgl. Art. 7, 9, 88 DSGVO, § 26 Abs. 2, Abs. 3 BDSG-neu. Wenn die Einwilligung nicht erteilt wird, darf die beabsichtigte Verarbeitung nicht stattfinden. Anbei finden Sie eine Muster-Datenschutzerklärung, die allerdings stets auf den Einzelfall angepasst und ggfs. erweitert werden muss. Wichtig ist, dass die Einwilligungserklärung alle erforderlichen Informationen nach Art. 7, 8, 12 ff DSGVO enthält und insbesondere einen Hinweis auf die Möglichkeit eines Widerrufs enthält.

  • Falls Dienstleister für die Verarbeitung von personenbezogenen Daten eingesetzt werden, muss geprüft werden, ob eine Auftragsverarbeitung i.S.d. Art. 28 DSGVO vorliegt. Für den Fall der Einschlägigkeit müssen entsprechende Auftragsverarbeitungsverträge mit den Auftragsverarbeitern vereinbart. Der Inhalt dieser Verträge muss die Vorgaben von Art. 28 DSGVO berücksichtigen.Mitarbeiter müssen bezüglich der datenschutzrechtlichen Pflichten geschult werden, vgl. Art. 39 Abs. 1 lit. b) letzte Variante DSGVO.Ein Verfahren für die rechtskonforme Bearbeitung von Betroffenenrechten nach Art. 15 bis Art. 23 DSGVO, insbesondere wenn diese von aktuellen oder ehemaligen Mitarbeitern geltend gemacht werden, muss ebenfalls von dem Arbeitgeber mit der Hilfe des Datenschutzbeauftragten erarbeitet und mit in die Unternehmensprozesse aufgenommen werden
  • Die Verarbeitungen von betroffenen Personen müssen in das Verzeichnis von Verarbeitungstätigkeiten (VVT) nach den Vorgaben des Art. 30 DSGVO aufgenommen werden.
  • Darüber hinaus müssen alle nach Art. 32 DSGVO vorgeschriebenen technisch-organisatorischen Maßnahmen im Bereich der Verarbeitung von  Beschäftigtendaten etabliert werden.
  • Weitere datenschutzrechtliche Pflichten nennt Ihnen ihr Datenschutzbeauftragter nach einer ausführlichen Bestandsaufnahme hinsichtlich der Verarbeitung von personenbezogenen Daten Ihrer Beschäftigten. Zu berücksichtigen ist stets die Nachweispflicht in Art. 5 Abs. 2 DSGVO: Für die Nachweisbarkeit der Einhaltung des Datenschutzes ist der Arbeitgeber verantwortlich.
 

Verstoß des Arbeitgebers gegen den Datenschutz – Konsequenzen

Ein Verstoß gegen die datenschutzrechtlichen Vorgaben kann für den Arbeitgeber schwerwiegende Folgen haben: Gem. 83 Abs. 4 lit. a) DSGVO drohen bei einem Verstoß gegen die hier genannten Vorgaben Geldbußen von bis zu 10 Mio. EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist.

Bei einem Verstoß gegen die in Art. 83 Abs. 5 lit. a) und b) DSGVO genannten Vorschriften drohen sogar Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher der Beträge höher ist.

Bitte beachten Sie, dass alle in diesem Blogbeitrag zur Verfügung gestellten Muster lediglich als Vorlage für die Erstellung von individuellen Dokumenten dienen können. Alle Muster müssen also noch angepasst bzw. ergänzt werden. In diesem Zusammenhang berät Sie Ihr Datenschutzbeauftragter bei der Erstellung von datenschutzkonformen Dokumente. Unsere Experten von Keyed unterstützen Sie gerne bei der Erstellung von erforderlichen Dokumenten für Ihre Mitarbeiter.

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

7 Kommentare. Hinterlasse eine Antwort

  • Danke für den Beitrag, ich arbeite in der HR-Abteilung eines mittelständischen Unternehmens und kann die in diesem Beitrag veröffentlichten Muster sehr gut gebrauchen!

    Antworten
  • Die Muster sind sehr hilfreich, vielen Dank dafür!

    Antworten
  • Danke für das Muster für die Verpflichtungserklärung auf das Datengeheimnis, da war ich für mein Unternehmen schon länger auf der Suche nach.

    Antworten
  • Das Informationsschreiben ist für mich sehr hilfreich, danke. Das müssen wir dann nur noch auf andere Prozesse anpassen.

    Antworten
  • Ich muss einen Arbeitsvertrag erstellen und nach der neuen DSGVO informiere ich mich weiter über das Thema, um sicher zu sein. Ich finde Ihren Beitrag sehr informativ und sehr hilfreich. Ich werde auf jeden Fall Ihre Bemerkungen im Kopf behalten. Auch das Thema Recht am eigenen Bild hat mir sehr geholfen. Danke!

    Antworten
  • Toni Theissen
    21. August 2020 13:34

    Super gemacht! Außerordentlich informativ, hilfreich und nützlich. Vielen Dank für die gute Struktur, Verständlichkeit und Mustervorlagen!

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN