Datenschutz in der Personalverwaltung: Der rechtssichere Umgang mit Arbeitnehmerdaten

Wer Mitarbeiter beschäftigt, muss zahlreiche persönliche Daten von Arbeitnehmern verarbeiten, speichern und verwalten. Dabei müssen Arbeitgeber die geltenden Datenschutzbestimmungen einhalten und die Persönlichkeitsrechte ihrer Beschäftigten wahren.

Geschätzte Lesedauer: 5 Minuten

Wann dürfen Sie Mitarbeiterdaten verarbeiten?

Zur Datenverarbeitung zählen das Erheben und Erfassen, Speichern, Verwenden, Abfragen, Übermitteln, Abgleichen und Löschen von Daten.

Die zentrale Regelung für die Verarbeitung von Mitarbeiterdaten ist § 26 Bundesdatenschutzgesetz (BDSG). Dort ist festgelegt, dass Unternehmen personenbezogene Daten von Beschäftigten verarbeiten dürfen, wenn dies für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist.

Unter diesen Voraussetzungen darf das Unternehmen Mitarbeiterdaten speichern und verwalten (zum Beispiel zur Erstellung der Gehaltsabrechnung), ohne dafür jedes Mal eine Einwilligung des Arbeitnehmers zu benötigen.

Zu beachten ist: Wenn Sie Mitarbeiterdaten speichern möchten, die nicht zur Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich sind, benötigen Sie dafür gemäß § 26 Abs. 2 BDSG eine schriftliche Einwilligung des betroffenen Arbeitnehmers. Dabei müssen Arbeitgeber den Mitarbeiter über den Zweck der Datenverarbeitung informieren und ihn über sein Recht, die Einwilligung zu widerrufen, aufklären.

Was gehört zu den Mitarbeiterdaten?

Als Mitarbeiterdaten gelten personenbezogene Daten, die im Arbeitsverhältnis vom Unternehmen erfasst und verarbeitet werden. Dazu zählen:

Wie erfolgt die Verarbeitung besonders sensibler Daten?

Besonders sensible Daten – dazu gehören Gesundheitsdaten und biometrische Daten – dürfen Sie nur speichern, wenn eine der folgenden Voraussetzungen gegeben ist:

• der betroffene Mitarbeiter ausdrücklich eingewilligt hat
• die Datenverarbeitung erforderlich ist, damit der Verantwortliche oder die betroffene Person seine/ihre rechtlichen Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes ausüben kann
• die Datenverarbeitung zu Schutz lebenswichtiger Interessen der betroffenen oder einer anderen Person erforderlich ist
• es sich um personenbezogene Daten handelt, welche die betroffene Person selbst öffentlich gemacht hat

Was sind wichtige Grundsätze zur Verarbeitung von Mitarbeiterdaten?

Die in Art. 5 Datenschutz-Grundverordnung (DSGVO) genannten Grundsätze sind auch bei der Verarbeitung von Arbeitnehmerdaten zu beachten:

• Rechtmäßigkeit: Arbeitgeber müssen personenbezogene Daten auf rechtmäßige Weise verarbeiten.
• Verarbeitung nach Treu und Glauben: Arbeitgeber müssen personenbezogene Daten nach dem Grundsatz von Treu und Glauben verarbeiten.
• Transparenz: Arbeitgeber müssen personenbezogene Daten in einer für die betroffene Person nachvollziehbaren Weise verarbeiten.
• Zweckbindung: Arbeitgeber dürfen personenbezogene Daten nur dann verarbeiten, wenn es einem festgelegten, eindeutigen und legitimen Zweck dient.
• Datenminimierung: Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.
• Richtigkeit: Personenbezogene Daten müssen sachlich richtig und auf dem neuesten Stand sein.
• Speicherbegrenzung: Arbeitgeber müssen personenbezogene Daten in einer Form speichern, welche die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
•  Integrität und Vertraulichkeit: Arbeitgeber müssen personenbezogene Daten in einer Weise verarbeiten, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet und die Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor Verlust, Zerstörung und Schädigung schützt.

Arbeitgeber haben im Hinblick auf die Einhaltung dieser Grundsätze eine Rechenschaftspflicht. Sie müssen nachweisen können, dass diese Grundsätze im Unternehmen eingehalten werden.

Wann dürfen/müssen Sie Daten aus der Personalakte löschen?

Es gilt der Grundsatz der Speicherbegrenzung. Das heißt, dass Sie personenbezogene Daten nur so lange speichern dürfen, wie es für die Zwecke, für die sie verarbeitet wurden, erforderlich ist. Anschließend müssen Sie die Daten löschen. Wenn ein Mitarbeiter aus dem Arbeitsverhältnis ausscheidet, sind seine personenbezogenen Daten zu löschen, sofern mit der Kündigung der Zweck der Datenspeicherung wegfällt.

Bestimmte Daten müssen Sie aber noch aufbewahren, auch wenn der Mitarbeiter das Unternehmen bereits verlassen hat. Das gilt für solche Daten, zu deren Aufbewahrung das Unternehmen gesetzlich verpflichtet ist. 

Welchen Auskunftsanspruch hat der Arbeitnehmer?

Die Arbeitnehmer haben gegenüber dem Unternehmen ein Auskunftsrecht im Hinblick auf die Verarbeitung personenbezogener Daten. Sie können insbesondere Auskunft darüber verlangen,

• welche personenbezogenen Daten verarbeitet werden
• zu welchem Zweck die Datenverarbeitung erfolgt
• gegenüber welchen Personen Daten offengelegt werden dürfen und
• ob ein Recht auf Berichtigung oder Löschung der Daten besteht

Was passiert, wenn Sie gegen die Datenschutzbestimmungen verstoßen?

Arbeitgeber müssen nachweisen können, dass sie personenbezogene Daten gemäß den geltenden Datenschutzbestimmungen verarbeitet haben. Diese Pflicht trifft auch Kleinbetriebe. Bei Zuwiderhandlung kann die zuständige Behörde ein Bußgeld verhängen.

Arbeitnehmer haben die Möglichkeit, gerichtlich dagegen vorzugehen, wenn ihre Persönlichkeitsrechte durch unzureichenden Datenschutz verletzt werden.

Welche Unternehmen einen betrieblichen Datenschutzbeauftragten benennen müssen und welche Aufgaben, Rechte und Pflichten der Datenschutzbeauftragte hat können Sie hier einsehen. Haben Sie noch Fragen? Wir helfen Ihnen gerne weiter!