FAQ Beschäftigtendatenschutz
Im Zentrum des Beschäftigtendatenschutzes steht der Schutz der Privatsphäre der Beschäftigten. Dieser Schutz muss jedoch stets mit dem Informationsinteresse des Arbeitgebers abgewogen werden.
Hier finden Sie Informationen und Antworten auf häufig gestellte Fragen zu Ihren Rechten im Beschäftigungsverhältnis oder Bewerbungsverfahren.
Allgemeines zum Beschäftigtendatenschutz
Für welche Beschäftigten ist die BfDI zuständig?
Die Bundesbeauftragt für den Datenschutz und die Informationsfreiheit (BfDI) ist für die Datenschutzaufsicht über die öffentlichen Stellen des Bundes zuständig, also auch für den Beschäftigtendatenschutz bei diesen Stellen. Auch zahlreiche bundesunmittelbare Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts unterliegen der Datenschutzaufsicht durch den BfDI, wie z. B. Berufsgenossenschaften, viele gesetzliche Krankenkassen oder wissenschaftliche Forschungseinrichtungen. Ebenso beaufsichtigt die BfDI privatwirtschaftliche Firmen, welche sich im Besitz des Bundes befinden. Dazu gehören beispielsweise die Bundeswehr Fuhrpark Service GmbH, die Bundesrepublik Deutschland - Finanzagentur GmbH und viele andere mehr.
Beschäftigte im Sinne von § 26 Abs. 8 BDSG sind unter anderem Arbeitnehmerinnen und Arbeitnehmer, Beamtinnen und Beamte des Bundes, Soldatinnen und Soldaten sowie Bewerberinnen und Bewerber. Die Zuständigkeit des BfDI erstreckt sich auch auf die noch verbliebenen Bundesbeamtinnen und -beamten bei den Postnachfolgeunternehmen und der Deutschen Bahn.
Wie ist die Rechtslage für den Beschäftigtendatenschutz?
Ein eigenständiges Beschäftigtendatenschutzgesetz gibt es derzeit nicht. Die BfDI setzt sich seit langer Zeit für die Schaffung beschäftigtendatenschutzrechtlicher Regelungen ein. Auch die Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder (DSK) fordert seit vielen Jahren ein Beschäftigtendatenschutzgesetz (siehe z. B. die Entschließungen vom 29. April 2022 und vom 11. Mai 2023). Der interdisziplinäre Beirat Beschäftigtendatenschutz, den das BMAS eingesetzt hatte, kam in seinem Abschlussbericht vom Januar 2022 ebenfalls zu dem Schluss, dass - neben weiteren Maßnahmen - ein eigenständiges Beschäftigtendatenschutzgesetz erforderlich ist.
Die derzeit maßgebliche Norm, die vom deutschen Gesetzgeber auf der Grundlage der Öffnungsklausel des Art. 88 DSGVO für Datenverarbeitungen im Beschäftigungskontext erlassen wurde, ist § 26 BDSG. Danach dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses beispielsweise verarbeitet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. § 26 BDSG regelt zudem etwa Vorgaben zur im Beschäftigungsverhältnis nur ausnahmsweise zulässigen Einwilligung (§ 26 Abs. 2 BDSG) oder die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses (§ 26 Abs. 3 BDSG).
Die aktuelle Bestimmung des § 26 BDSG reicht angesichts aktueller rechtlicher (siehe insbesondere das Urteil des Europäischen Gerichtshofs (EuGH) vom 30. März 2023 in der Rechtssache C‐34/21) und technologischer Entwicklungen (z. B. bei der Künstlichen Intelligenz) indes nicht aus. Die Norm ist zu unbestimmt, lässt zu viel Interpretationsspielraum, ist nicht hinreichend praktikabel, normenklar und sachgerecht. Da die Digitalisierung der Arbeitswelt eine immer weitergehende Überwachung von Beschäftigten ermöglicht und großes Interesse an der Nutzung dieser technischen Möglichkeiten besteht, wächst das Bedürfnis der Beschäftigten und von Bewerberinnen und Bewerbern nach einem hinreichenden Schutz ihres Rechts auf informationelle Selbstbestimmung. Erforderlich sind spezifische Regelungen für den deutschen Beschäftigtendatenschutz, die einen verhältnismäßigen Ausgleich zwischen den grundrechtlich geschützten Interessen der Arbeitgeberinnen und Arbeitgeber und dem Recht auf informationelle Selbstbestimmung der Beschäftigten gewährleisten. Entscheidend ist, dass die spezifischen nationalen Vorschriften zum Beschäftigtendatenschutz den Schutz der Rechte und Freiheiten der Beschäftigten zum Ziel haben und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen. Es geht also um spezifische, zur jeweiligen Verarbeitungssituation passende, Schutzmaßnahmen für die Betroffenen. Solche Schutzmaßnahmen können etwa technischer, organisatorischer oder rechtlicher Natur sein.
Der im aktuellen Koalitionsvertrag verankerte Auftrag, Regelungen zum Beschäftigtendatenschutz zu schaffen, soll in gemeinsamer Federführung des BMI und des BMAS umgesetzt werden. Es wäre zu begrüßen, wenn das Vorhaben der Schaffung eines Beschäftigtendatenschutzgesetzes in der aktuellen, 20. Legislaturperiode abgeschlossen würde.
Weitere spezifische Vorschriften im Sinne der DSGVO finden sich in zahlreichen Gesetzen des Arbeits- und Dienstrechts. Das Arbeitsschutzgesetz, das Mutterschutzgesetz, das Allgemeine Gleichbehandlungsgesetz, das Sozialgesetzbuch Neuntes Buch oder das Entgelttransparenzgesetz und nicht zuletzt das Bundesbeamtengesetz (BBG) oder das Bundespersonalvertretungsgesetz sind nur ein kleiner Ausschnitt der zahlreichen Rechtsgrundlagen, die im Beschäftigungskontext die Verarbeitung personenbezogener Daten mit sich bringen. Im Bundesbeamtengesetz sind insbesondere personalaktenrechtliche Regelungen enthalten. Diese speziellen bundesgesetzlichen Datenschutzregelungen haben Vorrang vor den allgemeinen Datenschutzregelungen des BDSG.
Kann eine Einwilligung im Beschäftigungsverhältnis erteilt werden?
Nach Art. 6 Abs. 1 lit. a), Art. 7 DSGVO i.V.m. § 26 Abs. 2 BDSG kann die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis auch auf der Grundlage einer Einwilligung erfolgen. Zwingende Voraussetzung ist hier, dass die Einwilligung in informierter Form erfolgt und tatsächlich freiwillig abgegeben wird. Ob diese tatsächliche Freiwilligkeit vorliegt, muss nach den Umständen des Einzelfalles beurteilt werden. Dabei ist die grundsätzlich bestehende Abhängigkeit im Beschäftigungsverhältnis der oder des Beschäftigten vom Arbeitgeber zu berücksichtigen. Wenn eine beschäftigte Person z. B. im Rahmen einer Teilnahme an einer Veranstaltung ihres Arbeitgebers eine Videoaufzeichnung von sich ablehnen sollte, dürfen für sie daraus keine Nachteile entstehen und ihre Teilnahme an der Veranstaltung muss weiterhin möglich sein. Für die Freiwilligkeit spricht auch ein rechtlicher oder wirtschaftlicher Vorteil, den die oder der Beschäftigte durch die Einwilligungserklärung erlangt, z. B. bei der Einführung eines betrieblichen Gesundheitssystems oder der Erlaubnis zur privaten Nutzung von betrieblichen IT-Systemen.
Die Einwilligung muss zudem schriftlich oder elektronisch abgegeben werden, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber ist verpflichtet, über den Zweck der Datenverarbeitung und den jederzeit möglichen Widerruf der Einwilligung zu informieren.
Datenschutz bei Bewerbungen
Was ist bei Bewerbungen und im Umgang mit Bewerbungsunterlagen zu beachten?
Bewerbungen bei einem potentiellen Arbeitgeber gehören zur Anbahnung eines Beschäftigungsverhältnisses. Personen, die sich bewerben, gelten gemäß § 26 Abs. 8 Satz 2 BDSG als Beschäftigte. Kommt nach einer Bewerbung ein Beschäftigungsverhältnis zustande, werden die erforderlichen Bewerbungsunterlagen zur Personalakte genommen.
Bewerbung per E-Mail oder online
Bewerbungen werden sowohl konventionell per Post als auch per E-Mail beziehungsweise auf elektronischen Wegen verschickt.
Bei einem Versand per E-Mail ist zu beachten, dass die Datenübertragung oftmals nicht geschützt ist, so dass eine Verschlüsselung erfolgen sollte. Falls eine Bewerbung per E-Mail möglich ist, muss der Arbeitgeber eine gleichrangige, z.B. eine postalische Bewerbung, zulassen. Die Möglichkeit, sich nur per E-Mail bewerben zu können, reicht damit nicht aus.
Bietet der Arbeitgeber Bewerbungen über Internetplattformen mit Online-Eingabemasken an, muss die Verarbeitung durch geeignete technische und organisatorische Maßnahmen geschützt werden.
Bewerberinterview per Videoübertragung
Bei Live-Interviews ist zu beachten, dass je nach eingesetzter Technik die Chat-Protokolle auf den Servern des Anbieters zwischengespeichert werden. Es ist die freiwillige Einwilligung nicht nur der Bewerberinnen und Bewerber, sondern auch der Gesprächspartner auf Seiten des Arbeitgebers erforderlich. Für die Bewerber ist die Einwilligung nur dann freiwillig, wenn ihnen auch ein persönliches Gespräch oder ein Telefongespräch als Alternative angeboten werden.
Bei zeitversetzten Interviews werden die Antworten auf eingeblendete Fragen aufgezeichnet und später ausgewertet. Diese Art des Interviews ermöglicht auch die Auswertung non-verbalen Verhaltens oder den Einsatz von Sprachanalyseverfahren. Bei diesen Methoden stellt sich datenschutzrechtlich die Frage der Geeignetheit, Erforderlichkeit und Verhältnismäßigkeit. Außerdem ist besonders auf eine Begrenzung der Zugriffsmöglichkeiten sowie die rechtzeitige Löschung der Aufzeichnung zu achten.
Datenschutzrechtlich zulässige Fragen im Bewerbungsverfahren
Im Bewerbungsverfahren dürfen nur solche Fragen gestellt werden, die für den jeweiligen konkreten Arbeitsplatz von Bedeutung sind. Es dürfen in diesem Zusammenhang also nur Daten verarbeitet werden, an deren wahrheitsgemäßer Beantwortung der Arbeitgeber ein berechtigtes, billigenswertes und schutzwürdiges Interesse hat, so dass Belage des Bewerbers hinter diesen zurücktreten müssen. Es besteht eine umfangreiche arbeitsgerichtliche Rechtsprechung zu dieser Frage. Die DSK hat sich in ihrer Entschließung vom 29. April 2023 dafür ausgesprochen, das Fragerecht der Arbeitgeberinnen und Arbeitgeber an Bewerberinnen und Bewerber in einem Beschäftigtendatenschutzgesetz näher zu regeln.
Soweit dabei der Gesundheitszustand angesprochen wird, muss sich der Arbeitgeber auf Fragen nach wesentlichen Beeinträchtigungen der Leistungsfähigkeit beschränken. Die Fragen sind nur zulässig, wenn die Beantwortung für die Begründung des Beschäftigungsverhältnisses erforderlich ist.
Schwangerschaft
Die Frage nach einer vorliegenden Schwangerschaft ist grundsätzlich unzulässig. Dies ergibt sich gesetzlich bereits aus § 7 Abs. 1 in Verbindung mit § 1 Allgemeines Gleichbehandlungsgesetz (AGG). Aus datenschutzrechtlicher Sicht fehlt somit immer die erforderliche Erhebungsbefugnis.
Bestehende Behinderung
Die Frage nach einer bestehenden Behinderung ist ausschließlich dann zulässig, wenn die konkret auszuübende Tätigkeit durch eine Behinderung unmöglich wäre. Der Arbeitgeber darf im Bewerbungsverfahren auch nicht danach fragen, ob die Eigenschaft als schwerbehinderter Mensch festgestellt worden ist. Diese Frage hätte diskriminierenden Charakter.
Einsatz von Künstlicher Intelligenz (KI)
Heutzutage werden im Bewerbungsverfahren vielfach algorithmische Systeme einschließlich künstlicher Intelligenz (KI) eingesetzt. Es fehlen jedoch hinreichende rechtliche Rahmenbedingungen dafür. Die BfDI setzt sich für deren Schaffung ein. Zum Beispiel sollte die Einwilligung grundsätzlich keine Rechtsgrundlage für den Einsatz von Künstlicher Intelligenz im Bewerbungsverfahren bilden. Darüber hinaus sind die Systeme den Bewerbern gegenüber transparent auszugestalten. Ebenso zu beachten ist das Recht auf eine nicht-automatisierte Entscheidung im Sinne des Art. 22 Abs. 1 DSGVO.
Rückgabe bzw. Löschung der Bewerbungsunterlagen
Nach einer erfolglosen Bewerbung müssen Bewerbungsunterlagen grundsätzlich gelöscht beziehungsweise an die Bewerbenden zurückgegeben werden. Dies ergibt sich aus den Grundsätzen der Datenminimierung und Speicherbegrenzung nach Art. 5 Abs. 1 lit. c) und e) sowie aus Art. 17 DSGVO. Sind die Bewerberdaten für die Bewerbungszwecke, für die sie erhoben wurden, nicht mehr erforderlich, sind sie unverzüglich zu löschen (Art. 17 Abs. 1 lit. a) DSGVO). Der Arbeitgeber darf die Unterlagen und eine Dokumentation über das Bewerbungsverfahren jedoch für einen gewissen Zeitraum aufbewahren, um sich gegen einen etwaigen Verstoß gegen das Benachteiligungsverbot nach dem AGG verteidigen zu können. Daher wird eine Aufbewahrung der Bewerbungsunterlagen für maximal sechs Monate für zulässig erachtet.
Die Bewerbungsunterlagen sind deshalb bei einer erfolglosen Bewerbung nach sechs Monaten ab Rücknahme der Bewerbung oder ab Zugang der Ablehnung an den Bewerberinnen und Bewerbern zurückzugeben oder aber zu vernichten.
Für einige Behörden bzw. Laufbahnen wie z.B. die Piloten - oder Kriminalkommissarausbildung gelten bestimmte Zugangsvoraussetzungen, u.a. maximal zwei zulässige Bewerbungen. In diesen Fällen dürfen sogenannte Kopf- oder Rumpfdaten solange aufbewahrt werden, bis z.B. aus Altersgründen eine Bewerbung nicht mehr zulässig ist, um Wiederbewerbungen erkennen zu können.
Umgang mit Bewerbungsdaten in besonderen Fällen
Das Institut für Luft- und Raumfahrtmedizin des Deutschen Luft- und Raumfahrtzentrums (DLR) in Hamburg führt für verschiedene Arbeitgeber aus dem Bereich Luftfahrt psychologische Auswahluntersuchungen durch.
Sogenannte Kopfdaten (Name, Geburtsdatum, Untersuchungsdatum, Untersuchungsanlass und Gesamtergebnis) von Bewerbern speichert das DLR bis zum Erreichen des Renteneintrittsalters. Dies ist datenschutzrechtlich zulässig, da die Kopfdaten auch nach dem Auswahlverfahren benötigt werden, um erneute Bewerbungen erkennen und Auswahluntersuchungen sodann auf etwaige Trainingseffekte kontrollieren zu können. Das DLR schützt hiermit das Interesse der gesamten Bevölkerung an der Luftverkehrssicherheit und damit an einem hohen Ausbildungsstand von beispielsweise Luftfahrzeugführenden und Flugsicherungspersonal. Das Recht auf informationelle Selbstbestimmung der Bewerbenden muss hinter diesem allgemeinen Interesse zurückstehen.
Das Auskunftsrecht der DSGVO gilt also hier nicht uneingeschränkt.
Darf die Bundeswehr einem Jugendlichen oder einer Jugendlichen ungefragt Werbung zur Rekrutierung zusenden?
Nach § 58c des Soldatengesetzes (SG) übermitteln die Meldebehörden dem Bundesamt für das Personalwesen der Bundeswehr (BAPersBw) den Namen und die gegenwärtige Adresse aller Personen mit deutscher Staatsangehörigkeit, die im darauffolgenden Jahr 18 Jahre alt werden. Das BAPersBw darf diese Daten nur dazu verwenden, Informationsmaterial über Tätigkeiten in den Streitkräften zu versenden. Für diese Datenverarbeitung liegt somit eine Rechtsgrundlage vor.
Ich rate Betroffenen, wenn eine solche Werbung nicht erwünscht ist, der Datenübermittlung bei den Meldebehörden zu widersprechen. Liegt ein solcher Widerspruch vor, ist eine Übermittlung der Kontaktdaten an das BAPersBw unzulässig. Hat die Übermittlung von der Meldebehörde an das Bundesamt bereits stattgefunden, rate ich den betroffenen Personen, die Löschung ihrer Daten beim Bundesamt zu beantragen, wenn sie keine Werbung erhalten wollen. Da es sich um die Ausübung von persönlichen Datenschutzrechten handelt, müssen diese direkt gegenüber dem Verantwortlichen geltend gemacht werden.
Umgang mit Personaldaten
Was ist beim Umgang mit Personalakten zu beachten?
Für die Beschäftigten im öffentlichen Dienst sind Personalakten zu führen. Zur Personalakte gehören alle Daten, welche die Beschäftigten betreffen, soweit sie mit dem Beschäftigungsverhältnis unmittelbar zusammenhängen (Personalaktendaten). Regelungen über den datenschutzgerechten Umgang mit Personalaktendaten finden sich vor allem in §§ 106 ff. BBG. Soweit in Tarifverträgen keine speziellen Vorschriften enthalten sind, werden die beamtenrechtlichen Regelungen auch für Tarifbeschäftigte angewendet. Für Soldaten gelten die §§ 29 ff des Soldatengesetzes. Die gesetzlichen Bestimmungen werden in Personalaktenrichtlinien z.B. des BMI konkretisiert.
Zu den Personalaktendaten gehören auch die Daten, die in Dateien (z.B. in einem Personalinformationssystem) gespeichert sind.
Grundsätze
Beim Umgang mit Personalakten sind insbesondere folgende Grundsätze zu beachten:
- Die Personalakten müssen vollständig sein.
- Für jeden Beschäftigten darf nur eine Personalakte geführt werden, die aus mehreren Teilakten bestehen kann. Inoffizielle Akten, wie sie häufig durch Vorgesetzte geführt werden, sind unzulässig!
- Personalaktendaten dürfen nur für Zwecke der Personalverwaltung oder der Personalwirtschaft verwendet werden.
- Die Personalakten sind so aufzubewahren, dass ein Zugang durch Unberechtigte ausgeschlossen wird.
- Zugang zu Personalakten dürfen nur solche Beschäftigte haben, die im Rahmen der Personalverwaltung mit der Bearbeitung von Personalangelegenheiten befasst sind.
- Beschäftigte haben einen Anspruch auf Einsicht in ihre vollständige Personalakte. Es dürfen Auszüge, Abschriften oder Ablichtungen gefertigt werden. Ausdrucke aus Personalinformationssystemen sind gleichfalls möglich. Das Einsichtsrecht ist Teil des umfassenderen Auskunftsrechts gemäß Art. 15 DSGVO.
- Personalakten dürfen nur mit Einwilligung der bzw. des Beschäftigten an andere Behörden übersandt werden. Ausnahmen hiervon sind gesetzlich geregelt (z.B. § 111 Abs. 1 BBG, § 29 Abs. 1 BDG).
Was ist beim Einsatz von Personalinformations- und Personalverwaltungssystemen zu beachten?
In der Personalverwaltung werden elektronische oder IT-gestützte Personalinformations-/ Personalverwaltungssysteme eingesetzt. In solchen Systemen ist eine Fülle von Informationen über die Beschäftigten hinterlegt. Je nach Einzelfall können oder müssen einige der Daten aufgrund entsprechender gesetzlicher Regelungen vom Arbeitgeber an andere Stellen – beispielsweise an Sozialversicherungsträger – weitergegeben werden.
Zugriffsberechtigungen
Die Zugriffsberechtigung für die in einem Personalinformations-/Personalverwaltungssystem gespeicherten personenbezogenen Daten ist streng reglementiert.
Grundsätzlich dürfen nur die mit der Bearbeitung von Personalangelegenheiten beauftragten Beschäftigten Zugriff nehmen und zwar nur, soweit dies zu Zwecken der Personalverwaltung oder Personalwirtschaft erforderlich ist.
Den Gleichstellungsbeauftragten hat der Gesetzgeber den Zugang zu entscheidungsrelevanten Teilen der Personalakte und damit auch auf die automatisiert gespeicherten Personalaktendaten eingeräumt. Dies gilt jedoch nur, soweit der Zugang zur Wahrnehmung von Aufgaben nach dem Bundesgleichstellungsgesetz erforderlich ist. Welche Personalaktendaten hiervon konkret betroffen sind, muss – gegebenenfalls im Einzelfall – nachvollziehbar dargelegt werden. Losgelöst vom jeweiligen Einzelvorgang kann es zur Aufgabenerfüllung der Gleichstellungsbeauftragten erforderlich sein, dieser einen eingeschränkten Lesezugriff auf den Stammdatensatz in einem Personalverwaltungs-/ Personalinformationssystem einzuräumen. Dies setzt jedoch eine konkrete Festlegung der einzelnen Datenfelder voraus und sollte auch entsprechend dokumentiert werden.
Für die Personalvertretung gibt es kein eigenes Recht auf Zugang zur Personalakte oder auf automatisiert gespeicherte Beschäftigtendaten. Nach Rechtsauffassung der BfDI können dem Personalrat jedoch ebenfalls bestimmte Grunddaten zur Verfügung gestellt werden, die dieser im Rahmen seines generellen Informationsanspruchs und zur sachgemäßen Aufgabenerfüllung, insbesondere zur Wahrnehmung seiner Beteiligungsrechte nach dem Bundespersonalvertretungsgesetz benötigt.
Löschfristen
Für Personalaktendaten gelten unterschiedliche Löschfristen. Sie ergeben sich aus den einschlägigen Rechtsvorschriften und sind insbesondere bei der Erstellung von Personalaktenrichtlinien und bei der Programmierung elektronischer Personalinformationssysteme zu berücksichtigen. Die Beachtung und Umsetzung der Löschfristen ist durch Löschkonzepte und Löschroutinen sicherzustellen. Es empfiehlt sich, die Löschung bereits bei der Struktur der Personalakte zu berücksichtigen.
Was muss der Arbeitgeber im Umgang mit Gesundheitsdaten beachten?
Gesundheitsdaten gehören zu den Daten besonderer Kategorie gem. Art. 9 DSGVO. Ihre Verarbeitung ist nur unter bestimmten Bedingungen erlaubt. Im Zusammenhang mit einem Beschäftigungsverhältnis sind dies vor allem Fälle, in denen die Verarbeitung von Gesundheitsdaten zur Ausübung von Rechten und Pflichten, die aus einer Erkrankung bzw. auch aus einer Schwerbehinderung entstehen, erforderlich ist. Dies können Rechte und Pflichten sowohl der Beschäftigten als auch des Arbeitgebers sein.
Zu den Gesundheitsdaten gehören z.B. Gesundheitszeugnisse und ärztliche Stellungnahmen zur gesundheitlichen Eignung. Das Ergebnis wird in einem gesonderten und versiegelten Umschlag übersandt und versiegelt zur Personalakte genommen.
Krankheit und Krankmeldung
Die Erfassung einer Dienst- oder Arbeitsunfähigkeit wegen Krankheit hat verschiedene Aspekte.
Erforderlich und damit datenschutzrechtlich zulässig ist sie zur Erfüllung gesetzlicher Vorschriften, z.B. zur Errechnung der Dauer der Lohnfortzahlung oder zur Unterbreitung eines Angebots für eine Maßnahme des betrieblichen Eingliederungsmanagements (BEM). Diese Aufgaben obliegen dem Arbeitgeber, so dass ausschließlich die Personalverwaltung die Datenverarbeitung zu diesem Zweck vornehmen darf und muss.
Soweit ärztliche Bescheinigungen über eine Arbeitsunfähigkeit wegen Erkrankung noch in Papierform ausgestellt werden, sollten sie grundsätzlich unmittelbar der Personalverwaltung zugeleitet werden. Dasselbe gilt für kurzzeitige Krankmeldungen ohne ärztliches Attest.
Dem stehen allerdings häufig die Interessen der vorgesetzten Person und ggf. des Teams entgegen, dem die erkrankte Person angehört. Die Abwesenheit muss z.B. durch Umverteilung der Arbeit auf anwesende Beschäftigte oder eine andere Prioritätensetzung aufgefangen werden. Insoweit hält die BfDI es datenschutzrechtlich für zulässig, wenn eine Mitteilung über die Abwesenheit an den Arbeitsbereich erfolgt, um dort die Aufgabenerledigung zu planen. Für die Einsatzplanung ist die Kenntnis über die Abwesenheit erforderlich. Die Angabe eines Abwesenheitsgrunds ist hingegen nicht erforderlich.
Wenn die krankheitsbedingte Abwesenheit in eine Abwesenheitsliste eingetragen werden soll, hält die BfDI es für zulässig und ausreichend, wenn z.B. ein Kürzel wie „p.a.“ = „persönlich abwesend“ in den Übersichten erfasst wird.
Die Übersichten sind zu löschen, wenn sie nicht mehr erforderlich sind. Hierbei betrachtet die BfDI grundsätzlich einen Zeitraum von einem Jahr nach Ablauf des Kalenderjahres, für das die Abwesenheiten notiert wurden, als angemessen.
Für unzulässig erachtet die BfDI außerdem Aufzeichnungen innerhalb der Arbeitseinheit, die einen Überblick über die Dauer der krankheitsbedingten Abwesenheit (auch wegen Mutterschutz) in der Vergangenheit erlauben.
Krankenstatistik
Auch für übergreifende statistische Auswertungen ist die Verarbeitung von Fehlzeiten wegen Krankheit durch die Personalverwaltung von Bedeutung. Aus datenschutzrechtlicher Sicht geht es – wie bei jeder Veröffentlichung von Beschäftigtendaten - darum, das Persönlichkeitsrecht der einzelnen Beschäftigten zu wahren. Für die Statistik bedeutet dies vor allem, dass weder einzelne Beschäftigte namentlich genannt werden, noch dass aufgrund besonderer Umstände oder wegen zu geringer Fallzahlen Rückschlüsse auf einzelne Personen möglich sind.
Welche Daten darf der Arbeitgeber im Rahmen des Betrieblichen Eingliederungsmanagements (BEM) verarbeiten?
Das BEM ist ein Instrument, um Beschäftigte mit längeren Arbeitsunfähigkeitszeiten den Wiedereinstieg in das Arbeitsleben zu erleichtern. Das Verfahren verfolgt den Zweck, die Ursachen von Arbeitsunfähigkeit zu ergründen und gemeinsam nach einer Möglichkeit zu suchen, künftige Arbeitsunfähigkeitszeiten zu vermeiden oder zu verringern.
In dem Verfahren werden regelmäßig Daten über Erkrankungen als sensible Daten im Sinne des Art. 9 DSGVO verarbeitet. Dies darf gemäß § 167 Abs. 2 Sozialgesetzbuch Neuntes Buch (SGB IX) nur auf der Grundlage einer vorherigen, informierten und freiwilligen Zustimmung der oder des Beschäftigten erfolgen. Dazu gehört, dass der Arbeitgeber zuvor darüber informiert, welche konkreten personenbezogenen Daten von wem und für welchen Zweck verwendet werden.
In Erfüllung seiner Verpflichtung aus § 167 Abs. 2 SGB IX schickt der Arbeitgeber Beschäftigten, die innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig sind, regelmäßig ein sogenanntes Einladungsschreiben zum BEM zu. Da die zuständigen Interessensvertretungen (z. B. der Personalrat) und bei schwerbehinderten Menschen auch die Schwerbehindertenvertretungen einzubinden sind, ist es zulässig, wenn der Arbeitgeber diese über das Einladungsschreiben an die betroffene Person informiert. Für eine standardmäßige Übermittlung von personenbezogenen Daten im Zusammenhang mit dem BEM an die Gleichstellungsbeauftragte gibt es jedoch keine Rechtsgrundlage.
Sofern die betroffene Person die mit dem Einladungsschreiben regelmäßig übersandte Einwilligungserklärung für Datenverarbeitung zunächst nicht abgeben möchte, darf der Arbeitgeber nicht allein deshalb von der Einleitung des BEM absehen. Wenn die betroffene Person zur Teilnahme am BEM bereit ist, sollte der Arbeitgeber in diesem Fall im Gespräch den möglichen Verfahrensablauf aufzeigen und versuchen, etwaige Vorbehalte auszuräumen. Im Rahmen des durchzuführenden Suchprozesses sollte geprüft und erörtert werden, ob und ggf. welche personenbezogenen Angaben etwa über den Gesundheitszustand voraussichtlich erforderlich sind und auf welche Weise diese rechtskonform zu erheben und verarbeiten sind, um die Arbeitsunfähigkeitszeiten zu verringern. Nur wenn der oder die Beschäftigte im Fortgang des Suchprozesses nicht bereit ist, konstruktiv mitzuwirken, kann eine Berechtigung zur Beendigung des BEM für den Arbeitgeber bestehen.
Wie ist mit der Eigenschaft als schwerbehinderter Mensch umzugehen?
Bei der Schwerbehinderteneigenschaft muss differenziert werden. Grundsätzlich muss der Beschäftigte seine Anerkennung als schwerbehinderter Mensch oder eine Gleichstellung nicht offenbaren.
Im Bewerbungsverfahren können die Betroffenen frei entscheiden, ob sie ihre Eigenschaft als schwerbehinderter Mensch angeben. Im Personalfragebogen ist die Beantwortung entsprechender Fragen ausdrücklich als freiwillig zu kennzeichnen. Zu beachten ist hier aber, dass eine Behinderung ggf. ungefragt anzugeben ist, wenn sie ihrer Art nach die Ausübung der angestrebten Tätigkeit beeinträchtigt.
Im Beschäftigungsverhältnis können die Betroffenen ebenfalls entscheiden, ob sie dem Arbeitgeber eine Anerkennung als schwerbehinderter Mensch offenbaren. Nachteilsausgleiche aufgrund der Schwerbehinderung wie z.B. der Zusatzurlaub können jedoch nur bei entsprechendem Nachweis gewährt werden.
In einem bestehenden Beschäftigungsverhältnis wird eine Frage des Arbeitgebers nach der Schwerbehinderteneigenschaft für zulässig erachtet, wenn die Zeit bis zum Erreichen des besonderen Kündigungsschutzes abgelaufen ist. Denn mit dem Schwerbehindertenstatus treten besondere Rechtsfolgen für das Arbeitsverhältnis ein.
Was ist bei der Weitergabe und Veröffentlichung von Beschäftigtendaten zu beachten?
Bei Veröffentlichungen in Hausmitteilungen oder im Intranet von Behörden müssen das Personalaktengeheimnis und der Beschäftigtendatenschutz beachtet werden.
Gegen eine Veröffentlichung von personenbezogenen Beschäftigtendaten bestehen keine Bedenken, soweit die Bekanntgabe zur Durchführung des Dienstbetriebes notwendig ist. Hierzu zählen sogenannte Organisations- und Funktionsangaben wie beispielsweise Name, Dienstzimmer, Funktionsbezeichnungen bzw. -übertragungen und Organisationseinheit.
Gehaltslisten
Listen über das Gehalt namentlich genannter Beschäftigter dürfen nicht veröffentlicht werden. Personalvertretungen haben jedoch im Rahmen ihrer Überwachungsaufgabe sowie nach dem Entgelttransparenzgesetz einen Informationsanspruch.
Prämienzahlungen
Eine personenbezogene Veröffentlichung von Entscheidungen im Rahmen der Leistungsbezahlung darf in Hausmitteilungen oder im Intranet nur mit Einwilligung der betroffenen Beschäftigten erfolgen.
Dürfen Beurteilungsnoten als Notenspiegel im Intranet veröffentlicht werden?
Beurteilungsnoten sind Personalaktendaten. Personalaktendaten unterliegen dem Personalaktengeheimnis und dürfen grundsätzlich nur für Zwecke der Personalverwaltung oder Personalwirtschaft verwendet werden. Eine Bekanntgabe von Beurteilungsnoten, die Rückschlüsse auf einen Beamten zulassen, verstößt gegen das Personalaktengeheimnis. Deshalb lässt § 50 Abs. 4 Bundeslaufbahnverordnung (BLV) die Bekanntgabe der Beurteilungsnoten in Form eines Notenspiegels aufgeschlüsselt nach dem Anteil der Frauen, Männer, Teilzeit- und Telearbeitskräfte nur dann zu, wenn die Anonymität der Beurteilten gewahrt bleibt.
Geburtstagslisten/Altersangaben
Der Geburtstag oder das Alter mag zwar im Kollegenkreis oft genug bekannt sein. Das rechtfertigt jedoch nicht, das Personalaktendatum „Geburtstag“ durch den Arbeitgeber öffentlich zu machen. Im Zusammenhang mit Veröffentlichungen zu Jubiläen, Ehrungen und Auszeichnungen müssen die Betroffenen um ihre Einwilligung gebeten werden. Geburtstagslisten sollten auch nicht durch andere Beschäftigte, z.B. durch Aushang in allgemein genutzten Räumen, veröffentlicht werden.
Fotos
Fotos mögen u.a. für die Ausstellung von Dienstausweisen, insoweit also für die Durchführung des Beschäftigungsverhältnisses, erforderlich sein. Dies trifft aber auf eine Veröffentlichung z.B. im Intranet einer Behörde nicht zu und ist deshalb nur mit Einwilligung der Betroffenen zulässig. Bei der Veröffentlichung von Fotos ist neben dem Datenschutz auch das im Kunsturheberrechtsgesetz verankerte „Recht am eigenen Bild“ zu beachten.
Private Adressen/Telefonnummern
Die Personalverwaltung darf die private Adresse oder – soweit bekannt – Telefonnummer einer/eines Beschäftigten nicht an Vorgesetzte, die Personalvertretung oder Kolleginnen und Kollegen herausgeben. Für die Schwerbehindertenvertretung ist dies im konkreten Einzelfall unter Berücksichtigung der einschlägigen Rechtsprechung zu prüfen. Sollen Glückwunschkarten oder Genesungsschreiben an einen abwesenden Beschäftigten verschickt werden, empfehle ich, das Schreiben der Personalverwaltung zu geben und sie zu bitten, es mit der Anschrift zu versehen und abzuschicken.
Welchen Zugriff haben Vorgesetzte auf Beschäftigtendaten?
Die Führung von Unterlagen zu einzelnen Beschäftigten – unabhängig davon, ob dies in automatisierter oder in manueller Form erfolgt – ist grundsätzlich Aufgabe der Personalabteilung. Demnach haben Fachvorgesetzte keinen Zugang zu Personalaktendaten ihrer Mitarbeitenden. Ebenso dürfen in den Fachabteilungen keine Personalteil- oder Personalnebenakten geführt werden.
Jedoch dürfen Vorgesetzte im Rahmen ihrer Führungsaufgabe personenbezogene Daten ihrer Mitarbeitenden verarbeiten, wenn dies für die folgenden Zwecke erforderlich ist:
Arbeitsorganisation und personelle Führung
Aus datenschutzrechtlicher Sicht bestehen keine Bedenken dagegen, wenn Vorgesetzte personenbezogene Angaben zu ihren Mitarbeitenden nutzen, soweit dies für die organisatorische und personelle Führung der jeweiligen Organisationseinheit erforderlich ist. So kann die Leitung einer Organisationseinheit im Hinblick auf die Steuerung der Aufgabenerledigung beispielsweise einer Person erteilten Arbeitsaufträge und terminliche Vorgaben schriftlich festhalten.
Abwesenheitslisten
Zu den organisatorischen Aufgaben einer bzw. eines Vorgesetzten gehört auch die Führung eines Abwesenheits- und Urlaubsplanes. Es bestehen keine datenschutzrechtlichen Bedenken dagegen, wenn sich Fachvorgesetzte Angaben über geplante Abwesenheitszeiten für einen gewissen Zeitraum – zum Beispiel das Urlaubsjahr – notieren, um so die Funktionsfähigkeit ihrer Organisationseinheit im Hinblick auf Abwesenheitszeiten von Beschäftigten steuern und sicherstellen zu können.
Wichtig: Die zur Arbeitsorganisation und zur personellen Führung genutzten Beschäftigtendaten bei den Vorgesetzten sind zu löschen, wenn sie für deren konkrete Aufgabenerfüllung nicht mehr erforderlich sind.
Insbesondere wenn der An- oder Abwesenheitsplan innerhalb einer Organisationseinheit auch von allen Beschäftigten eingesehen werden kann, ist darauf zu achten, dass die Abwesenheitsgründe, insbesondere krankheitsbedingte, nicht als solche erkennbar sind. Persönlich bedingte Abwesenheit (neben Krankheit zum Beispiel auch Urlaub, Gleittage, Freistellung) sollte ohne Angabe des Grundes z.B. mit „persönlich abwesend“ ausgewiesen werden. Diese Daten sollten regelmäßig ein Jahr nach Ablauf des vorherigen Kalenderjahres gelöscht werden.
Beurteilungsdaten
Außer Frage steht, dass Vorgesetzte im Entwurfsstadium von Beurteilungen Daten der Beschäftigten nutzen und entsprechende Entwürfe – allerdings ohne einen Rückgriff auf frühere Beurteilungen – erstellen dürfen.
Ebenso ist es zulässig, im Hinblick auf die künftige Beurteilung von Beschäftigten hierfür erforderliche Angaben als Gedächtnisstütze aufzuschreiben. Dies erstreckt sich jedoch ausschließlich auf persönliche Notizen. Im Falle einer innerdienstlichen Weitergabe sind diese Notizen als dienstliche Aufzeichnungen anzusehen und zumindest bis nach Abschluss des Beurteilungsverfahrens ordnungsgemäß zu verakten. Nach Abschluss des Beurteilungsverfahrens sind die eröffneten Beurteilungen in die Personalakte aufzunehmen. Diese unterliegen dem Personalaktengeheimnis und dürfen – auch in Ablichtungen – bei Fachvorgesetzten nicht weiter aufbewahrt werden. Dasselbe gilt für etwaige Entwurfsfassungen – sei es in elektronischer oder in Papierform. Dementsprechend sind Entwürfe und vorbereitende Notizen zu löschen.
Gremienarbeit und Datenschutz
Welcher Datenschutz gilt im Personalratsbüro?
Für die Datenverarbeitung durch den Personalrat hat die BfDI einen Leitfaden herausgegeben, der detaillierte Ausführungen zu diesem Thema enthält.
Generell gilt, dass die Personalvertretung personenbezogene Daten verarbeiten darf, soweit dies zur Ausübung oder Erfüllung ihrer Rechte und Pflichten erforderlich ist, welche sich aus einem Gesetz, einem Tarifvertrag oder einer Betriebs- oder Dienstvereinbarung ergeben.
Verantwortlichkeit
Die Dienststelle bleibt Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Das stellt auch § 69 S. 2 Bundespersonalvertretungsgesetz (BPersVG) klar. Der nachfolgende Satz 3 gibt Dienststelle und Personalrat jedoch auf, sich bei der Wahrung des Datenschutzes gegenseitig zu unterstützen. Gleichwohl trifft den Personalrat als unabhängige Institution des Personalvertretungsrechts innerhalb der Dienststelle eine Verantwortung für eine rechtmäßige Verarbeitung der bei ihm aufkommenden personenbezogenen Daten.
Kontrolle durch den behördlichen Datenschutzbeauftragten
Anders als vor Anwendung der DSGVO besteht auch ein Kontrollrecht der oder des behördlichen Datenschutzbeauftragten gegenüber dem Personalrat. Denn es kann gemäß der DSGVO keine kontrollfreien Räume geben.
Datenverarbeitung im Personalrat
Die eigenständige Sicherstellung einer rechtmäßigen Datenverarbeitung trifft den Personalrat sowohl als Gremium wie auch seine Mitglieder.
Im Personalrat dürfen die personenbezogenen Daten der Beschäftigten solange verarbeitet werden, wie dies für die konkrete Ausübung des Beteiligungsrechts erforderlich ist. Ist der Beteiligungsfall (Einstellung, Eingruppierung, Beförderung usw.) erledigt, ist auch die Datenverarbeitung zu beenden. Die Daten sind also zu löschen.
Längere Aufbewahrungsfristen können gerechtfertigt sein, wenn sich dies aus einem Gesetz ergibt oder ein Vorgang rechtliche Folgewirkungen hat. Das gilt in der Regel für die Niederschriften/Protokolle der Personalratssitzungen. Sie haben den Charakter von Privaturkunden im Sinne des § 426 ZPO und sind über die Amtszeit eines Personalrates hinaus aufzubewahren. Im Sinne der Datensparsamkeit sollten die Protokolle nur die unabdingbar notwendigen personenbezogenen Daten enthalten.
Auch Personallisten mit Stammdaten, die der Personalrat dauerhaft benötigt und die ihm regelmäßig von der Dienststelle zur Verfügung gestellt werden, müssen nicht sofort nach Einsichtnahme gelöscht werden. Vielmehr muss der Personalrat in eigener Zuständigkeit prüfen, wie lange die Liste erforderlich ist und wann, z. B. nach Zweckerfüllung und/oder Aktualisierung durch die Dienststelle, sie zu löschen ist.
Welcher Datenschutz gilt in der Schwerbehindertenvertretung?
Die Schwerbehindertenvertretung ist eng mit dem Beschäftigungsverhältnis verbunden, denn die Wahl einer Vertrauensperson hängt von der Anzahl schwerbehinderter Menschen in einem Betrieb oder einer Dienststelle ab. Die Aufgaben der Schwerbehindertenvertretung werden in § 178 SGB IX beschrieben und können als Vertretung der Interessen der schwerbehinderten Menschen zusammengefasst werden. Für den Datenschutz im Sozialrecht gelten spezielle Regelungen, die sich in §§ 67 ff SGB X finden.
Generell gilt auch für die Schwerbehindertenvertretung, dass eine Rechtsgrundlage für die Datenverarbeitung erforderlich ist. Rechtsgrundlagen können gesetzliche Vorschriften sein aber auch Dienst- oder Betriebsvereinbarungen. Liegt keine Rechtsgrundlage vor, muss eine Einwilligung der betroffenen Person für die Datenverarbeitung eingeholt werden.
Die Verantwortlichkeit für eine rechtmäßige Datenverarbeitung in der Schwerbehindertenvertretung ist nicht spezialgesetzlich geregelt. Nach Auffassung der BfDI ist sie nicht Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Das bleibt die Dienststelle. Aufgrund der besonderen Stellung der Schwerbehindertenvertretung muss sie aber dafür Sorge tragen, mit den ihr anvertrauten Daten rechtmäßig umzugehen.
Es dürfen nur Daten verarbeitet, d.h. erhoben, gespeichert und übermittelt, werden, die für die Erfüllung der gesetzlichen Aufgaben der Schwerbehindertenvertretung erforderlich sind. Die Daten müssen vor unbefugtem Zugriff gesichert sein.
Welche Rolle spielen Dienst- und Betriebsvereinbarungen beim Beschäftigtendatenschutz?
Dienst- bzw. Betriebsvereinbarungen sind schriftliche Übereinkünfte zwischen Betriebs-/Personalrat und Arbeitgeber. Sie sind Kollektivvereinbarungen im Sinne von Art. 88 DSGVO und dürfen – solange sie das Schutzniveau der DSGVO nicht unterschreiten – auch konkretisierende Regelungen zum Datenschutz treffen. Wichtig ist die Beachtung des Schutzniveaus der DSGVO. Dies ist nicht verhandelbar, so dass selbst eine nach dem BPersVG verfahrensfehlerfrei zustande gekommene Dienstvereinbarung für sich genommen keine eigenständige Grundlage für Datenverarbeitungen sein kann. Die Vereinbarungen können auch konkretisierende Regelungen zu besonderen Kategorien personenbezogener Daten beinhalten.
Bei der Verhandlung oder vor dem Abschluss sollte die oder der behördliche Datenschutzbeauftragte eingebunden werden.
Datenschutzrechtlich sind Dienst- oder Betriebsvereinbarungen von Bedeutung, weil sie eine Konkretisierung einer Erlaubnis- oder Verbotsnorm für die geregelte Datenverarbeitung darstellen können, aus der sich unmittelbare Rechte der Beschäftigten ergeben können.
In der Praxis spielen Kollektivvereinbarungen zum Beispiel bei Zeiterfassungssystemen, Videokameras, Personalinformationssystemen, Telefonanlagen oder Aktenverwaltungssystemen eine Rolle. Auch Dienstvereinbarungen zur privaten Nutzung von Internet und E-Mail am Arbeitsplatz können die Verarbeitung von Beschäftigtendaten regeln.
Weitere Themen
Was ist bei der Nutzung des Internets am Arbeitsplatz zu beachten?
Soweit die Nutzung des Internets am dienstlichen PC erlaubt wird oder sogar erforderlich ist, werden dabei personenbezogene Daten verarbeitet.
Bei dieser Datenverarbeitung und ihrer Kontrolle durch den Arbeitgeber sind das Recht der Beschäftigten auf informationelle Selbstbestimmung und das Interesse des Arbeitgebers an der Einhaltung der Verhaltensmaßgaben gegeneinander abzuwägen. Arbeitgeber haben ein berechtigtes Interesse daran, Missbrauch oder gar strafbare Handlungen bei der Nutzung des dienstlichen Internetzugangs zu unterbinden.
Der Arbeitgeber darf deshalb das Surfverhalten seiner Beschäftigten kontrollieren. Eine Totalüberwachung des Surfverhaltens ist unverhältnismäßig und daher unzulässig. Aber eine zeitnahe Auswertung der Protokolldaten sei es als Stichprobe oder ggf. im Zusammenhang mit einem konkreten Missbrauchsverdacht ist zulässig.
Die Kontrolle der Surf-Aktivitäten der Beschäftigten ist über sog. Systemprotokolle möglich. Die Protokolle dienen der Datenschutzkontrolle, der Datensicherheit, der Sicherheit des ordnungsgemäßen Betriebs und ggf. der Abrechnung. Anhand der Protokolle ist nachvollziehbar, wer was gelesen hat.
Es wird empfohlen für die Nutzung des Internets am Arbeitsplatz eine Dienstvereinbarung unter Beteiligung der oder des behördlichen Datenschutzbeauftragten abzuschließen. Darin können die konkreten Bedingungen für die Internetnutzung am Arbeitsplatz festgelegt werden – sowohl hinsichtlich der Kontrollbefugnis des Arbeitgebers als auch der Nutzungsbedingungen für die Beschäftigten.
Zur Kontrollbefugnis des Arbeitgebers ist in der Dienstvereinbarung Folgendes zu regeln:
- Zu welchen genau definierten Zwecken werden die Protokolldaten verwendet (z. B. Aufrechterhaltung der Systemsicherheit, Analyse und Korrektur technischer Fehler)?
- Was wird konkret protokolliert (z. B. Datum, Uhrzeit, Anzahl der übertragenen Bytes, Rechner oder Benutzeridentifikation, ggf. Zieladresse des angeforderten Dokuments, Fehlercode der Übertragung)?
- Wer hat Zugriff auf die Protokolldaten? Der Zugriff muss auf das technische Personal, das für den Netzbetrieb zuständig ist, begrenzt bleiben. Diese Personen sind zu verpflichten, die Zweckbindung und die Vertraulichkeit zu beachten.
- Wie lange werden die Protokolldaten gespeichert? Dabei ist die Speicherdauer so kurz zu halten, wie dies zur Erfüllung der Zwecke erforderlich ist, d. h. wenige Tage.
- Welches Verfahren findet im Falle eines konkreten Verdachts auf Missbrauch oder eine strafbare Handlung Anwendung (z. B. eine weitergehende Einsicht in die Protokolldaten)? Es empfiehlt sich, ein Verfahren festzulegen, bei dem die betroffene Person von dem Verdacht in Kenntnis gesetzt wird und der behördliche Datenschutzbeauftragte sowie die Personalvertretung einbezogen werden.
Für die Nutzungsbedingungen der Beschäftigten sind festzulegen:
- Verhaltensgrundsätze,
- Erlaubnis zur privaten Nutzung zusätzlich zur dienstlichen Nutzung, soweit der Arbeitgeber die private Nutzung erlauben möchte,
- Zustimmung der Beschäftigten zu den definierten Kontrollen im Falle einer erlaubten privaten Nutzung. Es empfiehlt sich, einen Vordruck für die Zustimmung als Anlage zur Dienstvereinbarung zu nehmen. Ohne Zustimmung des Beschäftigten zu definierten Kontrollen muss die private Nutzung des Internets unterbleiben.
Weitere Informationen zu diesem Thema finden Sie auch in der Broschüre Info 5 der BfDI.
Ist Videoüberwachung am Arbeitsplatz zulässig?
Die Videoüberwachung von Beschäftigten durch den Arbeitgeber stellt einen schwerwiegenden Eingriff in das allgemeine Persönlichkeitsrecht dar. Eine anlasslose Videoüberwachung „ins Blaue hinein“ ist in aller Regel unzulässig. Grundsätzlich unzulässig ist auch eine Videoüberwachung im Sinne einer Leistungskontrolle der Beschäftigten.
Eine Videoüberwachung von Beschäftigten ist nur in streng begrenztem Rahmen zulässig. Entsprechend der Schwere des Eingriffs müssen einer Videoüberwachung erhebliche schutzwürdige Interessen des Arbeitgebers gegenüberstehen, z.B. wenn ein konkreter Verdacht einer strafbaren Handlung vorliegt.
Bei einer Videoüberwachung – beispielsweise zum Schutze der Beschäftigten oder zum Schutz von Gebäuden und Grundstücken – muss auf diese Überwachung sichtbar hingewiesen werden. Falls die Aufnahmen gespeichert werden, ist der Hinweis entsprechend zu ergänzen. Insofern gelten die allgemeinen Transparenz- und Informationspflichten der DSGVO.
Rechtmäßig aufgezeichnete Daten dürfen solange gespeichert werden, wie eine Rechtsverfolgung durch den Arbeitgeber noch möglich ist. Diese Speicherdauer wird eingeräumt, weil anderenfalls der Arbeitgeber gehalten wäre, das gesamte Material umgehend, vollständig und vor allem anlasslos auszuwerten. Eine solche anlasslose Auswertung stellt dagegen im Ergebnis einen schwerwiegenderen Eingriff in die Rechte der Beschäftigten dar als eine Speicherung für längere Zeit. Grundvoraussetzung ist allerdings, dass die ursprüngliche Aufzeichnung zulässig war. Andernfalls kann auch die nachfolgende Speicherung bzw. Verwertung nicht zulässig sein.
Was ist bei Befragungen der Beschäftigten zu beachten?
Eine Befragung der Beschäftigten ist ein beliebtes Instrument, um an Informationen über Betriebsklima und Arbeitszufriedenheit zu gelangen. Dabei muss die Anonymität gewährleistet werden. Eine nachträgliche Zuordnung der Antworten zu einzelnen Beschäftigten verbietet sich.
Eine Befragung von Beschäftigten ist nur auf freiwilliger Basis (Einwilligung) möglich. Die für eine wirksame Einwilligung erforderliche Hinweis auf die Freiwilligkeit sollte in den Erhebungsbogen selbst mit aufgenommen werden und sollte dort besonders hervorgehoben werden.
Es besteht keine Verpflichtung zur Teilnahme. Im Vorfeld sollte der Arbeitgeber deshalb über die folgenden Punkte informieren:
- Gegenstand, Zweck und Ablauf der Befragung,
- durch wen und für wen die Daten erhoben werden,
- welche Auswertungen konkret vorgesehen sind.
Die Planung und Durchführung einer Befragung von Beschäftigten sollte unter Einbindung der oder des behördlichen Datenschutzbeauftragten erfolgen.
Zusatzinformationen
Publikationen und Downloads
- Zur Detailansicht der Publikation Handlungsempfehlung an öffentliche Stellen des Bundes zu Auskunftsersuchen im Beschäftigtendatenschutz(Publikation kann heruntergeladen oder in den Warenkorb gelegt werden)
- Leitfaden zur Datenverarbeitung im Personalrat
- Telearbeit und Mobiles Arbeiten
-
Zur Detailansicht der Publikation
Datenschutz im Sicherheitsüberprüfungsrecht
Personeller Geheim- und Sabotageschutz in der Wirtschaft(Publikation kann heruntergeladen oder in den Warenkorb gelegt werden) - Zur Detailansicht der Publikation Das Recht auf Datenschutz(Publikation kann heruntergeladen oder in den Warenkorb gelegt werden)