Beschäftigtendaten im Anwendungsbereich der DSGVO
Die Verarbeitung personenbezogener Daten von Beschäftigten unterliegt grundsätzlich der Datenschutz-Grundverordnung (DSGVO). Dies betrifft sämtliche Phasen eines Beschäftigungsverhältnisses – von der Anbahnung über die Durchführung bis zur Beendigung – und umfasst sowohl klassische Personaldaten als auch digitale Nutzungs- und Kommunikationsdaten, soweit ein Personenbezug besteht. Flankierend sind nationale Regelungen zu berücksichtigen, insbesondere § 26 BDSG als beschäftigungsspezifische Rechtsgrundlage.
Rechtsgrundlagen der Datenverarbeitung im Arbeitsverhältnis
Erforderlichkeit für die Begründung, Durchführung oder Beendigung
Im Beschäftigungskontext ist die Zulässigkeit der Datenverarbeitung regelmäßig daran geknüpft, ob sie für Zwecke des Beschäftigungsverhältnisses erforderlich ist. Erfasst werden insbesondere Verarbeitungsvorgänge, die mit der Vertragsdurchführung oder der Erfüllung arbeitsrechtlicher Pflichten in Zusammenhang stehen. Der Maßstab der Erforderlichkeit verlangt eine zweckgebundene und angemessene Verarbeitung; pauschale oder vorsorgliche Datenerhebungen ohne konkreten Bezug werden dadurch nicht gedeckt.
Einwilligung von Beschäftigten
Einwilligungen können im Arbeitsverhältnis eine Rolle spielen, unterliegen jedoch besonderen Anforderungen. Die Freiwilligkeit ist wegen des strukturellen Über- und Unterordnungsverhältnisses im Beschäftigungsverhältnis nicht selbstverständlich. Zudem müssen Einwilligungen informiert, bestimmt und widerruflich sein. Damit ist die Einwilligung im Beschäftigtenverhältnis rechtlich nur unter engen Voraussetzungen tragfähig und bedarf einer sorgfältigen Einordnung anhand der Umstände des Einzelfalls.
Kollektivrechtliche Grundlagen
Soweit Betriebsvereinbarungen oder vergleichbare kollektivrechtliche Regelungen datenschutzrelevante Sachverhalte betreffen, können sie eine tragfähige Grundlage für Verarbeitungsvorgänge darstellen. In solchen Konstellationen ist auf die hinreichend klare Festlegung von Zweck, Umfang und Grenzen der Verarbeitung sowie auf die Vereinbarkeit mit den Vorgaben der DSGVO abzustellen.
Transparenz- und Informationspflichten
Informationsumfang und Zeitpunkt
Die DSGVO verlangt, dass betroffene Beschäftigte über Art, Zwecke und Rechtsgrundlagen der Datenverarbeitung sowie über Empfänger, Speicherdauer und Betroffenenrechte informiert werden. Diese Information hat in verständlicher Form und innerhalb der gesetzlich vorgesehenen Fristen zu erfolgen. Der Umfang richtet sich nach den konkreten Verarbeitungstätigkeiten im Unternehmen und betrifft insbesondere auch interne Systeme, Personalverwaltung sowie digitale Kommunikationsumgebungen.
Dokumentation und Nachweisbarkeit
Neben der Information selbst ist die Nachweisbarkeit datenschutzrechtlicher Pflichten von Bedeutung. Die DSGVO knüpft die Rechtmäßigkeit der Verarbeitung nicht nur an materielle Voraussetzungen, sondern fordert auch die Einhaltung organisatorischer Pflichten, die im Rahmen der Rechenschaftspflicht belegbar sein müssen.
Zweckbindung, Datenminimierung und Speicherbegrenzung
Die Verarbeitung von Beschäftigtendaten ist an den Grundsatz der Zweckbindung gebunden. Daten dürfen nicht ohne tragfähige Grundlage für neue, mit dem ursprünglichen Zweck unvereinbare Zwecke genutzt werden. Ergänzend verlangt die DSGVO Datenminimierung, also die Beschränkung auf das erforderliche Maß, sowie Speicherbegrenzung, wonach Daten zu löschen oder zu anonymisieren sind, sobald der Zweck entfällt und keine Aufbewahrungspflichten entgegenstehen.
Überwachung, Kontrolle und IT-Nutzung
Kontrollmaßnahmen und Verhältnismäßigkeit
Maßnahmen zur Kontrolle von Arbeitsleistungen, zur IT-Sicherheit oder zur Wahrung betrieblicher Interessen können datenschutzrechtlich relevant sein, sobald personenbezogene Daten verarbeitet werden. Hierbei ist insbesondere zu berücksichtigen, dass Kontrollinstrumente – abhängig von Ausgestaltung und Intensität – zu erheblichen Eingriffen in Rechte und Freiheiten der Beschäftigten führen können. Maßgeblich sind daher klare Zwecksetzungen, Begrenzungen sowie die Einhaltung der datenschutzrechtlichen Grundsätze.
Kommunikations- und Nutzungsdaten
Die Verarbeitung von Kommunikations- und Nutzungsdaten (z. B. E-Mail- oder Protokolldaten) wirft regelmäßig Abgrenzungsfragen zwischen betrieblicher Organisation, IT-Sicherheit und Persönlichkeitsrechten auf. Die Zulässigkeit richtet sich nach der jeweils einschlägigen Rechtsgrundlage und den konkreten Rahmenbedingungen im Unternehmen, einschließlich etwaiger Regelungen zur privaten Nutzung betrieblicher Systeme.
Verarbeitung besonderer Kategorien personenbezogener Daten
Gesundheitsdaten und andere besondere Kategorien personenbezogener Daten unterliegen einem erhöhten Schutz. Deren Verarbeitung ist nur unter zusätzlichen Voraussetzungen zulässig, etwa wenn sie zur Ausübung von Rechten oder zur Erfüllung gesetzlicher Pflichten aus dem Arbeitsrecht erforderlich ist oder andere gesetzlich vorgesehene Ausnahmen eingreifen. Bereits die Zuordnung von Fehlzeiten, arbeitsmedizinische Informationen oder Angaben zu Behinderungen können in diesen Schutzbereich fallen.
Datenweitergabe und Auftragsverarbeitung
Interne und externe Empfänger
Beschäftigtendaten werden häufig an interne Stellen sowie an externe Empfänger übermittelt, etwa an Lohnabrechnungsdienstleister, IT-Dienstleister oder Konzernunternehmen. Datenschutzrechtlich kommt es darauf an, ob die Weitergabe für den jeweiligen Zweck erforderlich ist und ob die Empfängerstellung korrekt eingeordnet wird (eigene Verantwortlichkeit, gemeinsame Verantwortlichkeit oder Auftragsverarbeitung).
Verträge und organisatorische Pflichten
Bei Einschaltung von Dienstleistern ist regelmäßig zu klären, ob eine Auftragsverarbeitung im Sinne der DSGVO vorliegt. In solchen Fällen sind die gesetzlichen Anforderungen an vertragliche Regelungen und an geeignete technische und organisatorische Maßnahmen einschlägig.
Betroffenenrechte im Beschäftigtenverhältnis
Beschäftigte können insbesondere Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung sowie Widerspruch geltend machen; zudem bestehen Rechte im Zusammenhang mit automatisierten Entscheidungen, sofern diese eingesetzt werden. Die praktische Umsetzung dieser Rechte ist im Beschäftigungskontext häufig mit Abwägungsfragen verbunden, insbesondere wenn gesetzliche Aufbewahrungspflichten, arbeitsrechtliche Dokumentationsinteressen oder Rechte Dritter berührt sind.
Datenschutzverstöße, Sanktionen und arbeitsrechtliche Schnittstellen
Verstöße gegen die DSGVO können zu behördlichen Maßnahmen und finanziellen Sanktionen führen. Daneben kommen zivilrechtliche Ansprüche in Betracht, insbesondere im Zusammenhang mit Schadensersatz. Im Arbeitsverhältnis treten datenschutzrechtliche Fragestellungen zudem häufig im Kontext arbeitsrechtlicher Auseinandersetzungen auf, etwa wenn die Zulässigkeit von Beweismitteln betroffen ist oder wenn im Rahmen interner Untersuchungen personenbezogene Daten verarbeitet werden.
Einordnung bei Verdachtslagen und laufenden Verfahren
Werden im Unternehmen verdachtsbezogene Sachverhalte geprüft, ist eine datenschutzrechtliche Bewertung regelmäßig mit Fragen der Zweckbindung, Erforderlichkeit und der Grenzen interner Ermittlungsmaßnahmen verknüpft. Soweit Vorgänge Gegenstand laufender Verfahren sind, ist bei jeder Darstellung nach außen eine zurückhaltende, tatsachenorientierte Darstellung geboten; zudem ist die Unschuldsvermutung zu wahren und gegebenenfalls auf belastbare Quellen abzustellen. Eine wertende Zuschreibung ohne gesicherten Tatsachenkern kann neben datenschutzrechtlichen auch persönlichkeitsrechtliche Risiken begründen.
Schlussbemerkung
Beschäftigtendatenschutz bewegt sich im Spannungsfeld aus betrieblichen Abläufen, Compliance-Anforderungen und den Vorgaben der DSGVO sowie des nationalen Rechts. Für Unternehmen stellt sich dabei häufig die Frage, wie konkrete Verarbeitungsvorgänge im Personalbereich rechtlich einzuordnen sind und welche Pflichten sich daraus ableiten. Wenn hierzu Klärungsbedarf besteht, kann eine Einordnung durch MTR Legal im Rahmen einer Rechtsberatung im Datenschutz in Betracht kommen.
