Beschäftigtendaten als Unternehmenskapital

Die personenbezogenen Daten der Beschäftigten sind für Unternehmen eine wertvolle Ressource. Sie werden nicht nur benötigt, um rechtliche Anforderungen zu erfüllen, etwa Gehaltsabrechnungen zu erstellen oder Arbeitsunfälle zu dokumentieren. Von den Beschäftigtendaten ist die gesamte Unternehmenssteuerung und die Erreichung wirtschaftlicher und geschäftlicher Ziele abhängig. Datenbanken und Dateien mit Beschäftigtendaten werden vielseitig eingesetzt: von der Steuerung von Projekten über die Bewertung des Arbeitsklimas bis hin zur Verknüpfung mit Personalakten von Beschäftigten.

Verarbeitungen von Beschäftigtendaten unterliegen den Anforderungen der DSGVO und des BDSG und sind aus datenschutzrechtlicher Sicht genau zu betrachten. Nicht jedes Vorhaben lässt sich aus Datenschutzsicht rechtfertigen. Oftmals wissen Personalabteilungen gar nicht, inwieweit sie personenbezogene Daten von Beschäftigten für bestimmte Zwecke nutzen dürfen. Wir klären an dieser Stelle mit Schulungen auf und unterstützen Ihr Unternehmen mit entsprechenden technischen und organisatorischen Maßnahmen.

Wenn bspw. eine Bewertung der Arbeitsleistung von Beschäftigten beabsichtigt wird oder Standortdaten von Dienstfahrzeugen für eine Planung und Koordinierung von Tätigkeiten von Außendienstmitarbeitern per GPS erhoben werden, ist häufig eine Datenschutz-Folgenabschätzung durchzuführen. Für Beschäftigte sind eine Vielzahl von Risiken denkbar, die mit unterschiedlich hoher Wahrscheinlichkeit und Schadensschwere für die betroffenen Personen eintreten können.

Typische Risiken sind in Anlehnung an EG 75 DSGVO eine Diskriminierung, Kontrollverlust oder die Offenlegung vertraulicher und höchstpersönlicher Informationen, auch resultierend aus einem Profiling bzw. einer Verknüpfung von Einzelumständen. Bspw. gibt es rechtliche Grenzen, welche Angaben zu einem Beschäftigten in seiner Personalakte gespeichert werden dürfen und welche nicht.

Auch die Rechtmäßigkeit der Verarbeitung von Beschäftigtendaten ist genau zu prüfen. So stellt eine Einwilligung zur Verarbeitung von Beschäftigtendaten regelmäßig keine wirksame Rechtsgrundlage dar. Dies entspricht der Auffassung von vielen Datenschutzbehörden und Arbeitsgerichten. Auch in der DSGVO und im BDSG wird die Rechtmäßigkeit der Einwilligung im Beschäftigungsverhältnis in Frage gestellt. So heißt es bspw. in EG 43 S. 1 DSGVO:

„Um sicherzustellen, dass die Einwilligung freiwillig erfolgt ist, sollte diese in besonderen Fällen, wenn zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht, insbesondere wenn es sich bei dem Verantwortlichen um eine Behörde handelt, und es deshalb in Anbetracht aller Umstände in dem speziellen Fall unwahrscheinlich ist, dass die Einwilligung freiwillig gegeben wurde, keine gültige Rechtsgrundlage liefern.“

In § 26 Abs. 2 BDSG wird zur Freiwilligkeit der Einwilligung folgendes festgelegt:

„Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.“

Das Kriterium der Freiwilligkeit der Einwilligung ist im Beschäftigungsverhältnis also regelmäßig nicht gegeben. Alternative Rechtsgrundlagen, etwa die Verarbeitung auf Grundlage des Arbeitsvertrags (Art. 6 Abs. 1 lit. b DSGVO) oder die Wahrnehmung berechtigter Interessen des Arbeitgebers (Art. 6 Abs. 1lit. f DSGVO) müssen überprüft werden.  

Für Unternehmen kann es sehr wichtig sein, ihren Personalabteilungen einen umfassenden Zugriff auf Beschäftigtendaten zu gewähren, also einen unternehmensinternen Austausch dieser personenbezogenen Daten zu gewährleisten. Dies ist grundsätzlich möglich, jedoch müssen hier datenschutzrechtliche Regeln und Rahmenbedingungen eingehalten werden. Es kommt nämlich auf die konkrete Ausgestaltung des Vorhabens an. Zu berücksichtigen sind u.a. die Verhältnismäßigkeit der Verarbeitung mit den Parametern Art, Umfang, Umstände und Zwecke. Technische und organisatorische Maßnahmen müssen zum Einsatz kommen, um die Rechtmäßigkeit des Datenaustauschs zu gewährleisten.

Im Bereich des Personalwesens sind verschiedene Aspekte des Datenschutzes zu berücksichtigen. Dies betrifft sowohl den unternehmensinternen Regelbetrieb als auch einmalige Projekte, bei denen zum Beispiel Mitarbeiterfotos auf die Unternehmenswebseite hochgeladen werden sollen. NOTOS Xperts unterstützt Ihr Unternehmen bei der Einhaltung der datenschutzrechtlichen Anforderungen und zeigt Ihnen, wie Sie Beschäftigtendaten im Rahmen des rechtlich zulässigen bestmöglich nutzen können.

Kontaktieren Sie uns!

 

← zurück

Ihr Ansprechpartner:

Jens Engelhardt

Managing Partner | Externer Datenschutzbeauftragter

Rechtsanwalt
Fachanwalt für IT-Recht
Fachanwalt für Urheber- und Medienrecht
Fachanwalt für gewerblichen Rechtsschutz

Ihr Ansprechpartner:

Erdem Durmus

Externer Datenschutzbeauftragter

CIPP/E
Basiszertifikat Projektmanagement von der GPM
Fachkundenachweise zum Datenschutzbeauftragten