Beschäftigtendatenschutz: Gesetzliche Grundlagen und Definitionen

Kathleen Kunst
Fachanwältin für Arbeitsrecht, Partnerin der Kanzlei Dr. Jula & Partner mbB

Kapitel

Beschäftigtendatenschutz: Gesetzliche Grundlagen und Definitionen
Arbeitnehmerdatenschutz: Verarbeitung von personenbezogenen Daten
Sonderthema Videoüberwachung im Betrieb
Beschäftigtendatenschutz: Pflichten des Betriebsrats und Arbeitgebers
Harte Konsequenzen für Arbeitgeber bei Datenschutzverstößen

Beschäftigtendatenschutz: Gesetzliche Grundlagen — Bild: Haufe Online Redaktion Diese rechtlichen Regelungen sind für den Beschäftigtendatenschutz relevant.

Beschäftigtendatenschutz ist ein komplexes Thema. Das fängt bereits bei den zahlreichen rechtlichen Regelungen an, die hierfür gelten. Wer für den Beschäftigtendatenschutz verantwortlich ist, sollte diese Regelungen kennen.

Der Datenschutz wird mit weiter zunehmender Digitalisierung zu einem immer präsenteren Thema auch in Arbeitsverhältnissen. Datensparsamkeit und Transparenz sind die Leitlinien, aber worauf gilt es konkret für Arbeitgeber zu achten, welche Rechtsgrundlagen gelten, welche Rolle spielen Betriebsrat und Datenschutzbeauftragte, wie können Arbeitnehmer die Verarbeitung ihrer Daten kontrollieren, welche Folgen haben Verstöße und wie ist der aktuelle Stand beim Thema Videoüberwachung? Hier ein Überblick.

Gesetzliche Grundlagen des Arbeitnehmerdatenschutzes

Die EU-Datenschutz-Grundverordnung (DSGVO) bildet die Grundlage für den europaweiten Datenschutz. Seit 25.5.2018 gilt sie unmittelbar in allen Mitgliedstaaten. An ihr haben sich die nationalen Gesetze zu orientieren. Das gilt speziell auch für den Beschäftigtendatenschutz, für den die DSGVO jedoch keine konkreten Regelungen enthält, sondern es per Öffnungsklausel den Mitgliedsstaaten überlässt, ihren Arbeitnehmerdatenschutz nach Maßgabe der DSGVO selbst zu regeln (Art. 88 DSGVO).

Der deutsche Gesetzgeber hat davon Gebrauch gemacht. Dreh- und Angelpunkt des deutschen Mitarbeiterdatenschutzes ist § 26 Bundesdatenschutzgesetz (BDSG). Das BDSG gilt im privatwirtschaftlichen Bereich sowie in Behörden, Körperschaften, Anstalten oder Stiftungen des öffentlichen Rechts. Für die Datenverarbeitung in öffentlichen Stellen der Länder haben die Landesdatenschutzgesetze Vorrang.

Wichtige Vorgaben für den Beschäftigtendatenschutz enthalten zudem Regelungen im Betriebsverfassungsgesetz (BetrVG) und Bundespersonalvertretungsgesetz (BPersVG).

Weiter Beschäftigtenbegriff

Beschäftigtendatenschutz genießen (§ 26 Abs. 8 BDSG):

Arbeitnehmer einschließlich Leiharbeitnehmer, und zwar auch gegenüber dem Entleiher
Auszubildende,
Heimarbeiter und Gleichgestellte, Beamte, Richter, Soldaten, Zivildienstleistende, Freiwillige,
Rehabilitanden, arbeitnehmerähnliche Personen, Beschäftigte in Behindertenwerkstätten,
Bewerber und ehemalige Beschäftigte.

Was sind „personenbezogenen Daten“?

Personenbezogene Daten sind sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen (Art. 4 DSGVO), also z.B.:

Name, Anschrift,
Geburtsdatum, Familienstand,
Personalnummer, IP-Adresse, Steueridentifikationsnummer.

Dann gibt es die besonderen Kategorien personenbedingter Daten (Art. 9 DSGVO), die noch persönlicher sind und deshalb einen erhöhten Schutz nach sich ziehen wie z.B.:

Gesundheitsdaten,
biometrische Daten,
rassische oder ethnische Herkunft,
religiöse oder weltanschauliche Überzeugungen,
Gewerkschaftszugehörigkeit oder sexuelle Orientierung.

Größere Hürden für besonders sensible Daten an Beispielen

Ein Zeiterfassungssystem mit Fingerabdruckscan z.B. ist nicht durch den gesetzlichen Erlaubnistatbestand des § 26 Abs. 1 BDSG gerechtfertigt und muss von Mitarbeitern folglich nicht genutzt werden. Erst wenn konkrete Anhaltspunkte für den Missbrauch der Zeiterfassung durch Arbeitnehmer bestehen, kommt eine solche Nutzungsanweisung in Betracht (LAG Berlin-Brandenburg, Urteil v. 4.6.2020, 10 Sa 2130/19).

Zu Zeiten der Corona-Pandemie ging es hoch her um die Erhebung und Verarbeitung sensibler Gesundheitsdaten. Der Arbeitgeber hat eine Fürsorgepflicht gegenüber allen Mitarbeitern, die er in seinem Bereich vor Infektionen zu schützen hat. Diese und die sich immer wieder ändernden Vorschriften des IfSG erlaubten ihm zeitweise z.B. die Erhebung von Informationen zu Kontaktpersonen oder die Frage nach dem Urlaubsort mit dem Fokus auf Risikogebiete.

Datenschutzbeauftragte

Ein Datenschutzbeauftragter ist ein Muss

in Unternehmen mit mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG),
wenn für die Datenverarbeitungen eine Datenschutz-Folgenabschätzung (Art. 35 DSGVO) notwendig ist oder
wenn der Betrieb personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet (§ 38 Abs. 1 BDSG).

Die Aufgaben des Datenschutzbeauftragten sind in Art. 39 DSGVO aufgeführt. Er wacht über die Einhaltung des Datenschutzes im Unternehmen und fungiert als Schnittstelle zwischen Arbeitgeber und Aufsichtsbehörde.

1(current)
2
3
4
5

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024