Durch die europäische Datenschutz-Grundverordnung (DSGVO) gibt es für Unternehmen seit dem Inkrafttreten am 25. Mai 2018 zahlreiche Besonderheiten. Neben dem Kundendatenschutz hat der Gesetzgeber mit der DSGVO auch Mitarbeiterdaten ins Visier genommen. Die Experten von SmartBR geben Ihnen als Betriebsrat einen ersten Überblick.
Zielgruppe und Funktion: umfassender Datenschutz am Arbeitsplatz
Die DSGVO ist – anders als die vielerorts verbreitete Meinung – nicht nur auf Unternehmen ab einer bestimmten Größe anzuwenden. Sie gilt auch für kleine und mittelständische Betriebe, sobald und soweit personenbezogene Daten von Angestellten oder Kunden verarbeitet werden. Unter den Punkt „Verarbeitung“ fallen hier bereits das Abspeichern in Datenbanken und die Nutzung zu Kontakt- oder anderen Zwecken. Kurzum: jegliche Nutzung Daten Dritter.
Hier lässt der Gesetzgeber wenig Auslegungsspielraum. Die Normen der DSGVO gelten nach Wortlaut und Rechtsprechung für jedes Unternehmen, das Mitarbeiter beschäftigt, weil dies immer eine Nutzung der entsprechenden Daten voraussetzt. Zu den personenbezogenen Daten des Personals, die typischerweise beim Arbeitgeber gespeichert sind, gehören:
- Name und Vorname
- Staatsangehörigkeit
- Wohnanschrift und Kontaktdaten
- Familiäre Verhältnisse und Steuerdaten
- Geburtsdatum
- Einkommen (Gehalt) und Kontoverbindung
- Daten aus der Bewerbung wie Lebenslauf, Berufserfahrung und Co.
Unter den Mitarbeiterdatenschutz fallen „personenbezogene Daten“, die von der DSGVO als „eindeutig zuordenbar“ konkretisiert werden. Sobald eine Information also den Rückschluss auf eine konkrete Person zulässt, handelt es sich um ein schützenswertes personenbezogenes Datum.
Tipp: Wir empfehlen die Regelung konkreter Einzelheiten mit einer individuellen Betriebsvereinbarung zur Umsetzung der DSGVO bei Mitarbeiterdaten. So gehen Sie als Betriebsrat sicher, dass Ihr Arbeitgeber mit den Daten der Mitarbeiter transparent und gesetzeskonform umgeht.
-
Muster-Betriebsvereinbarung Datenschutz nach Geltung der DSGVO
Arbeitnehmerdatenschutz: Die DSGVO gilt bei Mitarbeiterdaten schon ab der Bewerbung
Sobald eine Bewerbung beim Arbeitgeber eingeht, hält dieser bereits eine Fülle an personenbezogenen Daten in den Händen. Da nach der DSGVO und dem BDSG Bewerber hier bereits als Mitarbeiter zu behandeln sind, gilt das insbesondere für deren Daten. Abgesehen davon dürfen im Vorstellungsgespräch nur Fragen gestellt werden, die in Zusammenhang mit der entsprechenden Stelle stehen.
Darüber hinausgehende Fragen sind nicht zulässig. Haben Sie berechtigte Zweifel an der Einhaltung dieser Vorgaben, können Sie als Betriebsrat den Arbeitgeber bitten, Sie am Bewerbergespräch teilhaben zu lassen.
Für das laufende Arbeitsverhältnis listet die DSGVO (nicht abschließend) auf, wann personenbezogene Daten an die entsprechenden Stellen übermittelt oder beim Arbeitgeber gespeichert werden dürfen. Das gilt bei klassischen Arbeitsverträgen zum Beispiel für:
- Übermittlung der Lohnsteuerdaten ans Finanzamt (andersherum darf das Finanzamt benötigte Steuerdaten wie Steuerklasse und ID-Nr. herausgeben)
- Weitergabe sozialversicherungsrelevanter Informationen an die Träger der gesetzlichen Versicherungen
- Erfassung und Speicherung der Arbeitszeit
- Krankheitstage und Fehlzeiten
- Fehlverhalten von Mitarbeitern, jedoch nur nach vorheriger Anhörung
Der Personaldaten-Datenschutz ist bei Gesundheits- und Vermögensinformationen besonders streng. Im Betrieb frei zugängliche Kalender über Krankheitstage oder Ausfallzeiten sind daher unzulässig. Auch die Gehaltsdaten von Mitarbeitern dürfen nur an die Stellen übermittelt werden, die entsprechende Beiträge oder Steuern festsetzen – in Zweifelsfällen ist die Einholung der schriftlichen Zustimmung des Kollegen empfehlenswert.
DSGVO Mitarbeiterdaten und ihre Absicherung gegen Dritte
Alle personenbezogenen Mitarbeiterdaten müssen in Papierform oder als elektronische Personalakte gespeichert werden. Entscheiden Sie sich für ersteres, gelten für den Mitarbeiterdatenschutz klassische Schutzvorrichtungen wie ein abschließbarer Schrank in einem verschlossenen Raum. Auf beide darf nur der zuständige Personalsachbearbeiter Zugriff haben. Die elektronische Personalakte muss durch geeignete Schutzvorkehrungen (Verschlüsselung, Virenschutz, Firewall und Co.) gesichert werden.
Beachten Unternehmen die DSGVO bei Mitarbeiterdaten nicht, kann dies erhebliche Bußgelder und andere rechtliche Konsequenzen haben. Daten, die für das Arbeitsverhältnis nicht mehr benötigt werden, sind in der Regel nach zwei Jahren zu löschen.

Sie erhalten innerhalb von 24 Stunden Ihre Antwort!