14 min Zuletzt auktualisiert: 28.06.2023

Von Bewerbung bis Kündigung: Der ultimative Leitfaden zum Datenschutz im Arbeitsverhältnis

Datenschutz im Arbeitsverhältnis

Immer mehr ArbeitnehmerInnen entscheiden sich heutzutage für alternative Kommunikationskanäle wie WhatsApp, um mit GeschäftspartnerInnen oder KundInnen zu interagieren. Der Grund dafür liegt auf der Hand: Das Versenden von Nachrichten und Anhängen über solche Kanäle ist oft schneller und unkomplizierter als das Schreiben von E-Mails. Allerdings kann es in Fällen von Streitigkeiten zwischen ArbeitgeberInnen und Angestellten zu unangenehmen Konsequenzen kommen, wenn Letztere ihre Diensthandys oder Firmenlaptops für diese Kommunikation genutzt haben. ArbeitgeberInnen könnten sich dazu entschließen, die Geräte einzusammeln, um möglicherweise gelöschte Daten von anderen Kanälen wiederherzustellen und somit Kündigungsgründe zu finden, obwohl es keine Anhaltspunkte für Fehlverhalten gibt.

Selbst wenn ArbeitgeberInnen geeignete Beweismittel finden würden, könnte ihr Vorgehen unerwünschte Folgen haben. Schließlich ist es ihnen nicht gestattet, alle Kommunikationskanäle ohne weiteres zu überwachen. Wenn Unternehmen auch private Nachrichten von Mitarbeitenden abfangen, kann dies als Verletzung des Persönlichkeitsrechts betrachtet werden und sogar zu Schadensersatzforderungen gegen die ArbeitgeberInnen führen.

Gibt es ein Arbeitnehmerdatenschutzgesetz?

Obwohl es kein spezielles Gesetz zum Schutz von Arbeitnehmerdaten gibt, sind die allgemeinen Datenschutz-Grundsätze für ArbeitnehmerInnen und andere betroffene Personen von grundlegender Bedeutung. Diese gewährleisten das grundgesetzliche Recht auf informationelle Selbstbestimmung der ArbeitnehmerInnen, sowohl vor und während als auch nach dem Beschäftigungsverhältnis.

Eine zentrale Rolle im Arbeitnehmerdatenschutz spielt der Grundsatz der Zweckbindung, der in Art. 5 Abs. 1 lit. b und Art. 6 DSGVO verankert ist. Demnach dürfen personenbezogene Daten nur zu festgelegten, eindeutigen und legitimen Zwecken erhoben, verarbeitet und genutzt werden. Zum Beispiel dürfen Daten über die Kantinenbesuche von Mitarbeitenden, die lediglich zur Abrechnung erhoben wurden, nicht verwendet werden, um deren Ernährungsgewohnheiten zu überprüfen. Deshalb dürfen ArbeitgeberInnen nur die personenbezogenen Daten von Betroffenen erheben, die für die Aufnahme, Beendigung oder Durchführung des Beschäftigungsverhältnisses relevant sind.

§ 26 BDSG spielt ebenfalls eine bedeutende Rolle, wenn es um den Umgang von ArbeitgeberInnen mit den personenbezogenen Daten ihrer ArbeitnehmerInnen geht. ArbeitgeberInnen werden in der DSGVO als Verantwortliche bezeichnet (Art. 4 Nr. 7 DSGVO) und sind somit für die Einhaltung der gesetzlichen Pflichten verantwortlich, da sie die Kontrolle über den jeweiligen Datenverarbeitungsvorgang ausüben.

Datenschutz im Bewerbungsverfahren

Im Rahmen von Bewerbungsverfahren ist neben der DSGVO auch § 26 Abs. 1 S. 1 BDSG relevant. Die Verarbeitung von Bewerbungsunterlagen wie Zeugnissen, Anschreiben und Lebensläufen ist in der Regel notwendig, um eine Beschäftigung einzugehen. Bei der Erhebung ihrer Daten sind BewerberInnen gemäß Art. 13 DSGVO über Zweck, Umfang und Rechtsgrundlage der Verarbeitung zu informieren. 

Diese Informationspflicht umfasst beispielsweise:

  • die Kontaktdaten des oder der Verantwortlichen;
  • den Zweck der Verarbeitung; 
  • die Speicherfrist der Bewerbungsunterlagen;
  • das Beschwerderecht des oder der Betroffenen bei der zuständigen Aufsichtsbehörde;
  • sowie den Hinweis auf das Widerrufsrecht bei Einwilligung des oder der Betroffenen.

Wer hat Zugriff auf Bewerberdaten?

Zugriffsrechte auf Bewerberdaten sind beschränkt und nur Personen vorbehalten, die über die Einstellung der BewerberInnen entscheiden sollen. Üblicherweise sind das die zuständigen SachbearbeiterInnen in der Personalabteilung, TeamleiterInnen und die Geschäftsführung. Bewerberdaten sollten keinesfalls in einem allgemein zugänglichen Ordner gespeichert werden. Um den Zugang zu Personaldaten zu begrenzen, sollten Schutzmaßnahmen wie Verschlüsselungen, Passwörter und Authentifizierungen eingesetzt werden.

Wie lange dürfen Bewerberdaten gespeichert werden?

Da im Datenschutzrecht der Grundsatz der Zweckbindung gilt, ist es Verantwortlichen nicht gestattet, die Daten abgelehnter BewerberInnen dauerhaft zu speichern, es sei denn, sie haben der Verarbeitung zugestimmt, um in Zukunft auch andere Stellenangebote zu erhalten. Daher müssen die Daten erfolgloser KandidatInnen in der Regel unverzüglich nach Abschluss des Bewerbungsverfahrens gelöscht werden.

Welche Fragen sind zulässig im Bewerbungsgespräch?

Wie bereits erwähnt, dürfen ArbeitgeberInnen gemäß § 26 Abs. 1 S. 1 BDSG im Rahmen der Entscheidung über die Begründung eines Beschäftigungsverhältnisses die Daten der BewerberInnen verarbeiten. Dabei ist zunächst zu unterscheiden, in welchem Zusammenhang ArbeitgeberInnen BewerberInnen um Informationen bitten. Nach ständiger Rechtsprechung des Bundesarbeitsgerichts dürfen ArbeitgeberInnen nach allen Tatsachen fragen, an deren Kenntnis sie ein „berechtigtes, billigenswertes und schutzwürdiges Interesse“ haben. Dies wird allgemein unter dem Kriterium der „Erforderlichkeit“ zusammengefasst.

Zulässig sind insbesondere Fragen zu:

  • fachlicher Qualifikation und beruflichem Werdegang
  • Vorstrafen, soweit diese einschlägig sind
  • körperlicher und gesundheitlicher Verfassung
  • sonstigen persönlichen Voraussetzungen, solange sie im Zusammenhang mit der Tätigkeit stehen oder Voraussetzung für diese sind

Es ist unzulässig, wenn ArbeitgeberInnen ihr beschränktes Fragerecht im Bewerbungsverfahren umgehen wollen, indem sie von BewerberInnen eine Einwilligung einholen, um Fragen bezüglich einer möglichen Schwangerschaft stellen zu dürfen. Wenn ArbeitgeberInnen ihr Fragerecht überschreiten, haben BewerberInnen das „Recht zur Lüge“. Das bedeutet, dass sie auf unzulässige Fragen falsche Antworten geben können, ohne negative Konsequenzen befürchten zu müssen. ArbeitgeberInnen können das Arbeitsverhältnis aufgrund der Lüge weder anfechten noch kündigen

Unzulässig sind grundsätzlich Fragen nach:

  • Schwangerschaft
  • politischer oder religiöser Gesinnung
  • sexueller Orientierung
  • Vermögensverhältnissen 

Datenschutz im Arbeitsverhältnis

In Bezug auf die Informationserhebung durch ArbeitgeberInnen im Arbeitsverhältnis ist es wichtig zu betonen, dass diese nur solche Informationen erheben und verarbeiten dürfen, für die sie ein berechtigtes, billigenswertes und schutzwürdiges Interesse haben. Dieses Interesse bezieht sich ausschließlich auf Informationen, die in direktem Zusammenhang mit dem Arbeitsverhältnis stehen. Informationen, die der Privatsphäre der Beschäftigten zuzuordnen sind und keinen Beschäftigungsbezug aufweisen, gelten somit nicht als Personaldaten. Beispielsweise ist die Erfassung der Freizeitaktivitäten der Beschäftigten für eine Personalbeurteilung unzulässig.

ArbeitgeberInnen haben selbstverständlich ein berechtigtes Interesse daran, sicherzustellen, dass ihre Mitarbeitenden ihren Arbeitsverpflichtungen gerecht werden. Dank moderner Technologien haben sie heute weitreichende Möglichkeiten, den Arbeitsalltag der Angestellten im Auge zu behalten.

Dennoch sollte eine vollumfängliche Kontrolle des Verhaltens der Mitarbeitenden vermieden werden, da sie einen ständigen Überwachungsdruck erzeugt. Dies ist grundsätzlich nicht zulässig und stellt eine Verletzung des Persönlichkeitsrechts dar. In einer positiven und erfrischenden Arbeitsumgebung ist es wichtig, das richtige Maß an Kontrolle und Vertrauen zu finden, um die Privatsphäre der Mitarbeiter zu respektieren und gleichzeitig deren Leistung zu fördern.

Mitarbeitende sollten stets über jegliche Überwachungsmaßnahmen im Unternehmen informiert werden. Zum Beispiel ist die verdeckte Videoüberwachung normalerweise nur als ultimative Option erlaubt, wenn es konkrete Hinweise auf schwerwiegendes Fehlverhalten gibt. Deshalb empfiehlt es sich, eine solche Maßnahme erst nach sorgfältiger rechtlicher Beratung und Überprüfung in Betracht zu ziehen.

Was sind Personaldaten?

Personaldaten umfassen alle Informationen, die sich auf bestimmte Mitarbeitende beziehen und in direktem Zusammenhang mit der Person oder dem Inhalt und Verlauf des Arbeitsverhältnisses stehen. ArbeitgeberInnen dürfen beispielsweise die folgenden Daten verarbeiten:

  • Name, Geburtsdatum und Anschrift
  • Kontodaten
  • allgemeine Steuerinformationen für die Lohnabrechnung wie Steuerklasse und Steuer-ID
  • Krankenversicherungs- und Sozialversicherungsnummer
  • Gesundheitsdaten für Krankenmeldungen
  • Religionszugehörigkeit zur Abführung der Kirchensteuer

Mitarbeitende sind ebenfalls angehalten, die Datenschutzbestimmungen zu beachten, insbesondere wenn es um personenbezogene Daten von KollegInnen geht. Beispielsweise dürfen Fotos oder Geburtstagslisten nicht ohne die Zustimmung der betroffenen Personen veröffentlicht werden.

Wann darf ich Daten von Mitarbeitenden ohne Einwilligung verarbeiten?

Nach § 26 Abs. 1 S. 1 BDSG dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, ohne, dass die Einwilligung des Mitarbeitenden benötigt wird, wenn: 

  • dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses erforderlich ist
  • dies für die Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich ist
  • oder dies für die Erfüllung für sich aus Vereinbarung oder Gesetz ergebenden Rechten und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist 

Neben den allgemeinen Regelungen für die Datenvereinbarung im Zusammenhang mit dem Beschäftigungsverhältnis in § 26 Abs. 1 S. 1 enthält die Norm in Abs. 1 S. 2 BDSG eine spezielle Vorgabe für Maßnahmen zur Aufdeckung von Straftaten – auch repressive Maßnahmen genannt. Solche Maßnahmen sollen nur dann zulässig sein, wenn dokumentationspflichtige, tatsächliche Anhaltspunkte den Verdacht begründen, dass der oder die Betroffene (Arbeitnehmende) im Beschäftigungsverhältnis eine Straftat begangen hat. Zudem müssen diese Maßnahmen zur Aufdeckung erforderlich sein und das schutzwürdige Interesse des oder der Betroffenen aufgrund der Verhältnismäßigkeit nicht überwiegen. Somit wird deutlich gemacht, dass Ermittlungsmaßnahmen gegen einzelne Arbeitnehmende ohne konkreten Tatverdacht unzulässig sind.

Wann darf ich Daten von Mitarbeitenden mit Einwilligung verarbeiten?

Neben gesetzlichen Ermächtigungen können auch Einwilligungen eine Legitimation für eine Datenverarbeitung darstellen. Die DSGVO geht vom Grundsatz der informierten Einwilligung aus, das heißt, ArbeitgeberInnen müssen die Beschäftigten umfassend über den Zweck der Datenverarbeitung und, wenn erforderlich oder auf Verlangen der ArbeitnehmerInnen, auch über die Folgen der Verweigerung der Einwilligung informieren. 

Im Rahmen von Beschäftigungsverhältnissen ist die Freiwilligkeit der Einwilligung der ArbeitnehmerInnen ein zentrales Wirksamkeitskriterium. Besonders im Falle eines klaren Ungleichgewichts zwischen Beschäftigten und ArbeitgeberInnen ist die Freiwilligkeit regelmäßig zu verneinen. Zwar nennt Erwägungsgrund 43 der DSGVO die „Behörde“ als Verantwortlichen, es liegt jedoch auf der Hand, dass ein klares Ungleichgewicht zwischen Betroffenen und Verantwortlichen auch im Anstellungsverhältnis entstehen kann. 

Ein Beispiel hierfür wäre, wenn ArbeitgeberInnen Online-Filmdienste anbieten und bei der Datenerhebung für diesen Service zusätzliche Informationen wie die sexuelle Orientierung oder politische Ansichten einer Person erfragen. Die betroffene Person könnte denken, dass ihre Zustimmung zur Verarbeitung dieser Daten erforderlich ist, um Zugang zu den gewünschten Online-Diensten zu erhalten. In diesem Fall ist die Einwilligung jedoch nicht freiwillig, sondern eher „gebunden“ erteilt worden.

Was passiert mit Daten von Arbeitnehmenden nach Beendigung des Arbeitsverhältnisses?

Wenn ein Arbeitsverhältnis endet, ist es wichtig, dass ArbeitgeberInnen prüfen, ob und in welchem Umfang Mitarbeiterdaten weiterhin verwendet werden dürfen. Dabei spielt der Grundsatz der Zweckbindung eine entscheidende Rolle. Das bedeutet, dass Datenverarbeitungen nur dann zulässig sind, wenn sie für die Beendigung und Abwicklung des Arbeitsverhältnisses notwendig sind. Selbst nach dem Ausscheiden der Mitarbeiter können deren Daten gespeichert bleiben, sofern ein auf das Arbeitsverhältnis bezogenes Bedürfnis dafür vorliegt.

Ein Beispiel dafür wäre, dass die Speicherung von Daten in Bezug auf offene oder umstrittene Ansprüche, Dokumentationen für die Gewerbeaufsicht oder bereits gewährte Urlaubsansprüche zulässig ist. Hinsichtlich der Speicherdauer kann keine allgemeingültige Frist festgelegt werden, da sie im Einzelfall zu bestimmen ist. Im Zweifelsfall gilt jedoch die für den Einzelfall maßgebliche Verjährungsfrist.

Die nachvertragliche Fürsorgepflicht der ArbeitgeberInnen erfordert, mögliche Schäden von Rechtsgütern der ehemaligen Mitarbeitenden abzuwenden, die im Einflussbereich der ArbeitgeberInnen liegen. Dazu gehört auch die Klärung, ob MitarbeiterInnen ein Interesse an ihren privaten Daten, wie zum Beispiel E-Mails, haben. Wenn die private Nutzung untersagt ist, sollte eine Löschung im erforderlichen Umfang durchgeführt werden.

Wie schütze ich meine Personalabteilung vor Datenschutzverstößen?

Um Ihr Unternehmen vor Datenschutzverstößen und möglichen Geldbußen oder Schadensersatzforderungen zu bewahren, ist es wichtig, Ihre Mitarbeitenden kontinuierlich für einen verantwortungsvollen Umgang mit personenbezogenen Daten zu sensibilisieren und regelmäßig zu schulen. Schulungen sind ein unverzichtbares Instrument, um Ihre Belegschaft dabei zu unterstützen, Datenschutzverstöße zu verhindern und konsequent regelkonform zu agieren.

E-Learning für mehr Datenschutz im Personalwesen

So viel ist sicher: Sensible Daten gehören im Personalwesen zum Tagesgeschäft. Wappnen Sie Ihre Mitarbeitenden jetzt für die HR-spezifischen Datenschutzherausforderungen und schützen Sie Ihr Unternehmen vor DSGVO-Verstößen.

Zum E-Learning

Inhaltsangabe

Unsere Auszeichnungen

DBA Siegel

Unsere Partner

lawpilots GmbH
Am Hamburger Bahnhof 3
10557 Berlin
Deutschland

+49 (0)30 22 18 22 80 kontakt@lawpilots.com
lawpilots GmbH hat 4.6362191958496 von 5 Sternen 2570 Bewertungen auf ProvenExpert.com

E-Learnings

Darum lawpilots

Expertise

Unternehmen

Ressourcen

Verkauf nur an UnternehmerInnen, Gewerbetreibende, FreiberuflerInnen und öffentliche Einrichtungen. Kein Verkauf an VerbraucherInnen im Sinne des § 13 BGB.
Meldestelle für HinweisgeberInnen: lawpilots@hinweis.hb-ecommerce.eu; 0151 / 19461497