Mitarbeiterdaten stellen einen anspruchsvollen Themenkomplex dar, weshalb Sie im nachfolgenden Ratgeber Ihre Fragen zur Speicherung, Löschung, Weitergabe und Risiken beantwortet bekommen und nichts offen oder ungeklärt bleibt. Wir informieren Sie in unserem Artikel über die wichtigsten Regelungen und die aktuelle Rechtsprechung des Bundesarbeitsgerichts.
Tipp: Holen Sie sich das Einverständnis zur Datennutzung bereits von Bewerbern ein.
Welche Mitarbeiterdaten darf man speichern?
In Deutschland dürfen nur diejenigen Mitarbeiterdaten gespeichert werden, die für den Arbeitsvertrag und die arbeitsrechtlichen Vorgänge relevant sind. Zu den erlaubten Daten gehören in der Regel:
- Stammdaten des Mitarbeiters (Name, Anschrift, Geburtsdatum, Sozialversicherungsnummer)
- Angaben zur Beschäftigung (Beginn und Ende des Arbeitsverhältnisses, Arbeitszeit, Arbeitsort, Tätigkeit)
- Personal- und Sozialdaten (Familienstand, Kinder, Bankverbindung, Religionszugehörigkeit, Nationalität)
- Gesundheitsdaten (z.B. für den Arbeitsschutz notwendige Informationen)
- Fortbildungsmaßnahmen und Zeugnisse
- Gehalts- und Lohnabrechnungen, Steuer- und Sozialversicherungsdaten
Durch den in Deutschland strengen vorherrschenden Datenschutz darf und sollte der Arbeitgeber nur jene Daten speichern, die mit Blick auf den Arbeitsvertrag und die Erfüllung gesetzlicher Vorgaben notwendig sind. Einwilligungen der Mitarbeiter gilt es immer schriftlich einzuholen, bevor Daten über das erforderliche Maß hinaus gespeichert, verwendet oder weitergegeben werden.
Was sind Mitarbeiterdaten?
Prinzipiell handelt es sich bei Mitarbeiterdaten um personenbezogene Daten, die sich auf Arbeitnehmer, Praktikanten, Auszubildende und andere Beschäftigte eines Unternehmens beziehen. Diese Daten können in verschiedenen Formen vorliegen, wie z.B. in elektronischer oder schriftlicher Form. Zudem können sie Informationen enthalten, die für das Arbeitsverhältnis relevant sind. Allgemein sind Mitarbeiterdaten besonders schützenswerte Daten, da sie eine Vielzahl von vertraulichen Informationen enthalten können. Für Unternehmen besteht daher eine Verpflichtung, sicherzustellen, dass die Verarbeitung der Daten gemäß den Datenschutzvorschriften stattfindet und dass nur befugte Personen Zugriff auf diese Daten haben.
Wichtig: Zu den Mitarbeiterdaten können auch Daten gehören, die in Zusammenhang mit dem Bewerbungsverfahren stehen, wie z.B. Lebenslauf, Zeugnisse und Referenzen. Darüber hinaus können auch Daten über das Verhalten am Arbeitsplatz, wie z.B. Überwachungsaufnahmen dazu zählen.
Wann müssen Mitarbeiterdaten gelöscht werden?
Laut DSGVO sind Mitarbeiterdaten zu löschen, wenn sie für den Zweck der Erhebung nicht mehr benötigt werden oder wenn eine gesetzliche Aufbewahrungsfrist abgelaufen ist. Die genauen Fristen hängen von der Art der Daten ab. Zum Beispiel gilt es, Personalakten in der Regel mindestens 10 Jahre lang aufzubewahren. Währenddessen sind es bei Lohn- und Gehaltsabrechnungen sechs Jahre. Nach Ablauf dieser Fristen ist die Löschung oder Vernichtung der Daten unerlässlich.
Es gibt jedoch auch Ausnahmen von der Löschpflicht. Beispielsweise wenn Sie die Daten für rechtliche Zwecke oder zur Erfüllung von Verträgen benötigen. In jedem Fall ist die Sicherstellung des Schutzes der Daten besonders wichtig.
Aufbewahrung von Mitarbeiterdaten
In Deutschland müssen Arbeitgeber sicherstellen, dass der Schutz der Daten und der Umgang mit diesen angemessen und vertraulich ist. Dazu gehört unter anderem, dass die Daten auf geeigneten Datenträgern gespeichert sind und dass der Zugang zu den Daten auf autorisierte Personen beschränkt ist. Außerdem ist der Schutz der Daten vor unbefugtem Zugriff, Verlust oder Beschädigung von hoher Wichtigkeit. Verwendbar sind dazu technische und organisatorische Maßnahmen wie Firewalls, Passwortschutz, regelmäßige Back-ups und Zutrittskontrollen.
Wer hat in Deutschland Zugriff auf Mitarbeiterdaten?
Im Allgemeinen haben nur bestimmte Personen innerhalb eines Unternehmens Zugriff auf Mitarbeiterdaten. Dies hängt meist von dem Zweck ab, den diese verfolgen, ebenso wie von deren Zuständigkeit. Die Daten sind besonders sensibel, weshalb es sie vor unbefugtem Zugriff zu schützen gilt. Der Arbeitgeber und seine Vertreter dürfen Mitarbeiterdaten nur dann verarbeiten, wenn dies für das Arbeitsverhältnis erforderlich ist oder wenn sie eine gesetzliche Verpflichtung dazu haben.
Es gibt jedoch auch einige spezielle Fälle, in denen Dritte Zugriff auf Mitarbeiterdaten haben können, wie zum Beispiel:
- Auftragsverarbeiter: Wenn das Unternehmen einen externen Dienstleister beauftragt hat, um personenbezogene Daten zu verarbeiten, hat dieser Zugriff auf die Daten.
- Behörden: In einigen Fällen sind Behörden oder Gerichte berechtigt, auf Mitarbeiterdaten zuzugreifen, z.B. im Rahmen von Ermittlungen.
- Betriebsrat: Der Betriebsrat hat Zugang zu einigen Mitarbeiterdaten, insbesondere wenn er die Interessen der Mitarbeiter vertritt.
Achtung: Es ist wichtig, dass Unternehmen und Organisationen sicherstellen, dass es den Zugriff auf Mitarbeiterdaten auf eine “need-to-know”-Basis zu beschränken gilt, um die Vertraulichkeit und Integrität der Daten zu gewährleisten. Unternehmen sollten auch klare Richtlinien und Verfahren für den Zugriff auf Mitarbeiterdaten implementieren. Des Weiteren kann das regelmäßige Schulen Ihrer Mitarbeiter eine gute Möglichkeit darstellen, um sicherzustellen, dass diese die Datenschutzvorschriften verstehen und einhalten.
Wann dürfen Daten von Mitarbeitern an Dritte weitergegeben werden?
Eine Weitergabe der Mitarbeiterdaten an Dritte darf grundsätzlich nur dann stattfinden, wenn eine Rechtsgrundlage für die Datenverarbeitung vorliegt. In der Regel müssen die Mitarbeiter ausdrücklich in die Weitergabe ihrer Daten einwilligen, es sei denn, es gibt eine gesetzliche Grundlage für die Datenübermittlung.
Einige Beispiele für gesetzliche Grundlagen sind:
- Wenn die Datenübermittlung für die Erfüllung eines Vertrags notwendig ist, z.B. um Lohnzahlungen an einen externen Dienstleister auszulagern
- Wenn eine gesetzliche Verpflichtung zur Datenübermittlung besteht, z.B. um Lohnsteuer- oder Sozialversicherungsbeiträge abzuführen
- Wenn die Datenübermittlung zur Wahrung berechtigter Interessen des Arbeitgebers oder Dritter erforderlich ist, z.B. zur Betrugsprävention oder zur Durchsetzung von Ansprüchen
Unabhängig von der Rechtsgrundlage muss der Arbeitgeber sicherstellen, dass die Daten angemessen geschützt und vertraulich behandelt und dass die Mitarbeiter über die Weitergabe ihrer Daten informiert werden. Arbeitnehmer haben auch das Recht, Auskunft über die Daten zu erhalten, die über sie gespeichert sind und gegebenenfalls eine Berichtigung oder Löschung zu verlangen.
Wie schützen die DSGVO und das BDSG Mitarbeiterdaten?
Die Datenschutz-Grundverordnung (DSGVO) schützt Mitarbeiterdaten, indem sie klare Regeln für die Verarbeitung personenbezogener Daten festlegt. Sie gilt für alle Unternehmen in der Europäischen Union (EU) und hat zum Ziel, die Rechte und Freiheiten von Personen im Hinblick auf den Schutz ihrer personenbezogenen Daten zu stärken.
Einige der wichtigsten Bestimmungen der DSGVO im Hinblick auf den Schutz von Mitarbeiterdaten sind:
- Einwilligung: Arbeitgeber müssen sicherstellen, dass sie eine rechtmäßige Einwilligung der Mitarbeiter einholen, bevor sie deren personenbezogene Daten verarbeiten.
- Transparenz: Arbeitgeber müssen die Mitarbeiter darüber informieren, welche Daten sie erheben, zu welchem Zweck sie diese verarbeiten und wie lange die Dauer der Aufbewahrung ist.
- Datensparsamkeit: Arbeitgeber dürfen nur die personenbezogenen Daten erheben, die sie tatsächlich benötigen, und müssen sicherstellen, dass diese Daten sachlich richtig und aktuell sind.
- Datensicherheit: Arbeitgeber müssen geeignete technische und organisatorische Maßnahmen ergreifen, um die personenbezogenen Daten der Mitarbeiter zu schützen.
- Auskunftsrecht: Mitarbeiter haben das Recht, Auskunft über die personenbezogenen Daten zu erhalten, die der Arbeitgeber über sie gespeichert hat, und können gegebenenfalls eine Berichtigung, Löschung oder Einschränkung der Verarbeitung verlangen.
- Meldung von Datenschutzverletzungen: Arbeitgeber müssen Datenschutzverletzungen an die zuständige Datenschutzbehörde melden und gegebenenfalls auch die betroffenen Mitarbeiter informieren.
Das Bundesdatenschutzgesetz (BDSG) ist ein nationales Gesetz und ergänzt die DSGVO in Deutschland. Es enthält spezifische Regelungen für den Datenschutz im nationalen Kontext und gilt für Unternehmen und Organisationen, die personenbezogene Daten in Deutschland verarbeiten. Das BDSG konkretisiert und erweitert die Vorgaben der DSGVO und enthält zum Beispiel Bestimmungen zu besonderen Arten von personenbezogenen Daten, zur Videoüberwachung und zur Auftragsverarbeitung.
Welche Strafen drohen bei Verstößen?
Bei Verstößen gegen die Datenschutzvorschriften bei der Speicherung von Mitarbeiterdaten können sowohl Bußgelder als auch Schadenersatzforderungen drohen. Die Datenschutz-Grundverordnung (DSGVO) sieht für Verstöße gegen die Datenschutzvorschriften Bußgelder von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Das Bundesdatenschutzgesetz (BDSG) sieht für Verstöße gegen spezifische Bestimmungen Bußgelder von bis zu 50.000 Euro vor.
Die Höhe des Bußgeldes hängt von verschiedenen Faktoren ab, wie zum Beispiel der Schwere des Verstoßes, der Dauer der Verletzung, der Anzahl der betroffenen Personen und dem Umfang des entstandenen Schadens. Auch wiederholte oder systematische Verstöße können zu höheren Bußgeldern führen. Zusätzlich zu den Bußgeldern können betroffene Mitarbeiter auch Schadenersatzforderungen geltend machen, wenn ihnen durch den Verstoß ein Schaden entstanden ist. Dies kann zum Beispiel der Fall sein, wenn die Mitarbeiterdaten unrechtmäßig an Dritte weitergegeben wurden oder wenn es zu einer unbefugten Einsichtnahme in die Daten kam.
Was gilt bei Videoaufzeichnungen von Mitarbeitern?
Generell muss man bei Zulässigkeit von Videoaufzeichnungen trennen. So ist in bestimmten Bereichen eines Betriebs, wie z. B. in Eingangs- oder Kassenbereichen, eine offene Videoüberwachung zulässig. Diese Bereiche sind besonders anfällig für Rechtsverstöße von Kunden oder Mitarbeitern, weshalb eine Überwachung zur Wahrung berechtigter Interessen des Betriebs zulässig ist. Generell müssen aber die datenschutzrechtlichen Vorgaben eingehalten werden, wie beispielsweise, dass in diesen Bereichen Hinweise auf die Kameras ausgehängt werden. Lesen Sie mehr zum Thema Kameraüberwachung in unserem Ratgeber Artikel “Überwachungskamera erlaubt – Sicherheit oder Datenschutzfalle?”.
Nach aktueller Rechtsprechung des Bundesarbeitsgericht (BAG) dürfen Videoaufzeichnungen aus einer offenen Videoüberwachung im Kündigungsschutzprozess auch dann als Beweismittel verwendet werden, wenn die Überwachung nicht vollständig den Datenschutzbestimmungen entspricht. Dies gilt auch für vorsätzliche Pflichtverstöße des Arbeitnehmers. Den Verstoß gegen die Datenschutzformalitäten sahen die Richter nicht als schweren Grundrechtseingriff. Nur eine schwere Grundrechtsverletzung verbietet aber die Nutzung der Aufnahmen als Beweismittel. (Bundesarbeitsgericht, Urteil vom 29.06.2023, 2 AZR 296/22)