Zum Inhalt gehen
Unternehmensvorschriften & Gesetze

Datenschutz am Arbeitsplatz: Rechte und Pflichten für Unternehmen

·
6 Minuten Lesezeit
Sie wollen ihre workflows optimieren?
Gesetzeskonform und up to date. Mit Factorial sind Sie auf der sicheren Seite. Sicherheit bei Factorial

Inhaltsangabe

Verfasst von

Natürlich wissen Unternehmen einiges, mitunter sogar ziemlich viel über ihre Arbeitnehmenden: Das ist schon dem Bewerbungs- und Recruiting-Prozess sowie nachfolgend dem Arbeitsvertrag und lohnsteuerrechtlichen Informationen geschuldet.

All das macht den Datenschutz am Arbeitsplatz aber nicht weniger, sondern überhaupt erst wichtig. Wir nehmen das zum Anlass, nachfolgend Unternehmensverantwortliche, Personaler*innen und Arbeitnehmende genauer über die einzuhaltenden Rechte und Pflichten zur Datenverarbeitung aufzuklären.

Rechtliche Grundlagen

  1. Digitalisierung, Vernetzung, Cloud, E-Mails und Co.: Durch den technologischen Fortschritt rückten personenbezogene Daten wie nie zuvor in der Geschichte in den Fokus – der Gesetzgeber reagierte darauf unter anderem mit der Einführung der Datenschutzgrundverordnung im Jahr 2018.
  2. Sowohl Arbeitnehmende als auch Arbeitgebende haben individuelle Rechte und Pflichten: Beide unterstehen der DSGVO und beide können bei Verstößen dagegen in Haftung genommen werden.
  3. Die Vorgaben resultieren aus einer ganzen Reihe von Gesetzen: der schon genannten DSGVO, dem Bundesdatenschutzgesetz (BDSG), dem Telekommunikationsgesetz (TKG), dem Arbeitsschutzgesetz (ArbSchG) und dem Betriebsverfassungsgesetz (BetrVG).

Dokument herunterladen

Was fällt alles unter den Datenschutz?

Die individuellen Rechte und Pflichten zu kennen ist immer notwendig: Grundvoraussetzung hierfür ist wiederum aber erst einmal zu verstehen, worauf sich diese Rechte und Pflichten tatsächlich erstrecken. Am Arbeitsplatz und im Kontext der Beschäftigung richtet sich unser erster Blick daher auf die sogenannten personenbezogenen Daten, wie sie die Datenschutzgrundverordnung gemäß Art. 4 definiert:

Personenbezogene Daten Beispiele:

  • generelle Stammdaten wie Name, Geburtsdatum, Anschrift und Co.
  • zuvor gesammelte Bewerberdaten, beispielsweise Lebenslauf, Zeugnisse und das Bewerbungsfoto
  • das Arbeitsverhältnis betreffende Daten, wie Arbeitsvertrag und Leistungsbeurteilungen
  • gesundheitsrelevante Daten, beispielsweise Krankmeldungen oder erteilter Behindertenstatus
  • Kommunikationsdaten, das sind zum Beispiel E-Mail- und Chat-Verläufe

Im Homeoffice kommen außerdem noch gesammelte IT-Daten vom heimischen Internetanschluss der Mitarbeitenden hinzu. Bei Außendienstmitarbeitenden sind das Geodaten und Bewegungsprofile, wenn diese beispielsweise über ihr Firmen-Smartphone auf die Cloud zugreifen.

Rechte aus Unternehmenssicht

Aus den genannten Beispielen lassen sich direkt die Rechte auf Unternehmensseite erahnen. Sie dürfen und müssen Stammdaten, Lohnsteuerdaten und spezielle gesundheitsrelevante Daten erfassen, sei es für den Arbeitsvertrag oder beispielsweise für Meldungen an die Krankenkasse. Zudem haben Unternehmen das Recht, die Arbeitszeiten zu erfassen – dazu sind sie seit dem „Stechuhr-Urteil“ sogar verpflichtet. Schauen Sie sich dazu auch gern unseren Blogbeitrag zum Arbeitszeiterfassungsgesetz an.

Eine Datenschutzerklärung als Vorlage zur Erhebung dieser Daten ist nicht notwendig. Das stellt das BDSG im § 26 sicher. Unternehmen dürfen die Daten also erheben, da sie für das Arbeitsverhältnis nötig sind. Damit einher geht aber eine ergänzende Pflicht, die sich aus dem Art. 13 der DSGVO ergibt: Mitarbeitende haben das Recht, darüber informiert zu werden, welche Daten gespeichert und wie diese später genutzt werden.

Tipp: Sie können eine Datenschutzerklärung als Muster oder Vorlage kostenlos nutzen, individuell anpassen und unterzeichnen lassen, wenn weiterführende Daten erhoben werden. Dies wäre beispielsweise bei der Veröffentlichung von Mitarbeiterfotos, der Erfassung von Bewegungsdaten und bei einer zulässigen Videoüberwachung am Arbeitsplatz nötig.

Diese Pflichten müssen Unternehmen zum Datenschutz am Arbeitsplatz erfüllen

„Keine Rechte ohne Pflichten“ – so heißt es schon in der Schule, so gilt es auch am Arbeitsplatz. Arbeitgebende müssen daher die nachfolgenden Pflichten erfüllen und einhalten.

1. Transparenz, Informationspflicht & Zweckbindung

Der Datenschutz am Arbeitsplatz für Mitarbeitende stützt sich auf alle drei: Sie sind quasi das pulsierende Herz und das Rückgrat der DSGVO und des BDSG. Dazu gehören:

  • ein valider Zweck zur Datenerhebung muss vorhanden sein (beispielsweise Lohnabrechnung)
  • Mitarbeitende sind zu informieren und dürfen ihre Daten nach Abfrage einsehen
  • die Daten sind für das Arbeitsverhältnis nötig, es wurde gegebenenfalls eine freiwillige Einwilligung erteilt oder es gibt ein konkretes Interesse aus Unternehmenssicht (beispielsweise für IT-Sicherheitsstandards)

2. Datensicherheit & Zugriff

Sind die Daten erhoben, müssen sie geschützt werden. Praktisch bedeutet das:

  • nur geschulte und zulässige Personen dürfen Zugriff auf andere Mitarbeiterdaten haben
  • es dürfen keine Gesundheitsprofile erstellt oder intime Informationen gesammelt werden, unabhängig des späteren Zugriffs
  • die „Technisch-organisatorischen Maßnahmen (TOM)“ des DSGVO Art. 32 sind zur fortlaufenden Datensicherheit einzuhalten

3. Protokollierung & Meldungen bei Verstößen

Der Art. 30 der DSGVO schreibt Unternehmen noch eine Verzeichnispflicht vor. Gemeint ist damit eine Protokollierung aller Verarbeitungstätigkeiten, auch solche, die die eigenen Beschäftigten betreffen. Nach Art. 33 der DSGVO sind Verstöße zudem binnen 72 Stunden an die jeweilige Aufsichtsbehörde zu melden.


Welche Pflichten haben Mitarbeitende im Datenschutz am Arbeitsplatz?

Unternehmen sind im Endeffekt ja keine eigenständig handelnden Entitäten. Demnach ist es nur logisch, dass für Mitarbeitende, die im Unternehmensauftrag handeln, letztlich vergleichbare Pflichten existieren. Die können wir so zusammenfassen:

  • Vertraulichkeitspflicht bei Personen mit Datenzugriff
  • konsequente Berücksichtigung der Zweckbindung
  • Einhaltung der Maßnahmen zur Datensicherheit
  • Meldung von Datenschutzverstößen im Unternehmen

Datenschutz am Arbeitsplatz: (Meine) Rechte als Arbeitnehmender

Aus den Pflichten des Unternehmens ergeben sich wechselseitig die Rechte der Arbeitnehmenden, die im Unternehmen angestellt sind. Das wären:

  • Auskunftsrecht bezüglich gesammelter und verarbeiteter Daten
  • ein Recht auf Berichtigung gegenüber alten und falschen Daten
  • ein Recht auf Löschung (außer bei einem aktiven Arbeitsverhältnis, bei dem die Daten noch benötigt werden)
  • das Recht auf Datenübertragbarkeit
  • ein Widerspruchsrecht bei freiwillig unterzeichneten Erklärungen

Was sind die 7 goldenen Regeln des Datenschutzes?

Was ist am Arbeitsplatz datenschutzrechtlich korrekt? Kursiert gerade diese Frage durch die Büroräume und Hallen, stehen zwei Schritte an: Die jeweiligen, eingangs genannten Gesetzestexte sind zu prüfen. Auch sind der Datenschutzbeauftragte und gegebenenfalls ein*e Rechtsexpert*in hinzuziehen. Viele Fragen lassen sich aber schon beantworten, indem Sie sich selbst an die sieben goldenen Regeln des Datenschutzes erinnern. Prüfen Sie diese mental einfach anhand dieser Checkliste:

  1. Zweckbindung: Besteht eine valide Zweckbindung?
  2. Datenminimierung: Werden so viele Daten wie nötig, aber so wenig wie möglich gesammelt und verarbeitet?
  3. Transparenzpflicht: Wurden die Arbeitnehmenden informiert?
  4. Begrenzung: Werden Daten nur so lange wie notwendig gespeichert?
  5. Richtigkeit: Sind die Daten aktuell und korrekt?
  6. Schutz: Kommen mit den Daten nur befugte Personen in Kontakt und werden sie technisch geschützt?
  7. Rechenschaftspflicht: Lässt sich im Unternehmen nachweisen, dass alle gesetzlichen Vorgaben eingehalten wurden?

Zwei gute Nachrichten zum Datenschutz am Arbeitsplatz haben wir noch für Sie: Factorial hält höchste internationale Sicherheitsstandards konsequent ein – von DSGVO bis SOC2-Zertifizierung. Außerdem zeigen die genannten „goldenen Regeln“ Wirkung: Deutschland war eines der wenigen Länder, das im Vergleich zu 2023 weniger Datenschutzverstöße als zuvor zu melden hatte – sogar satte 13 % weniger!

Antonia Grübl
Als Content Managerin bei Factorial verbindet Antonia Grübl fundiertes Know-how in HR-Kommunikation mit einem Gespür für aktuelle Entwicklungen in der Arbeitswelt. Sie übersetzt komplexe Zusammenhänge in Inhalte, die wirken – für HR-Teams, Führungskräfte und Entscheider*innen. Ihr Ziel: Orientierung geben, die Digitalisierung begleiten und New Work greifbar machen.

Ähnliche Beiträge