Paul Echen

Personenbezogene Daten von Beschäftigten dürfen nur erhoben, verarbeitet oder genutzt werden, wenn dies dem Unternehmen gestattet ist. Dabei sind die gesetzlichen und arbeitsvertraglichen Regelungen zu beachten. Auch hier gilt, dass der Betroffene auch seine Einwilligung in Bezug auf den Umgang mit seinen Daten erteilen kann. Diese Einwilligung darf aber nicht durch Druckausübung oder Täuschung erlangt werden. Für die Beurteilung der Freiwilligkeit der Einwilligung ist insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht in Textform aufzuklären.

 
Hinweis

Bisherige Regeln sind eine gute Grundlage

Wer bislang die Regeln des alten BDSG sowie ggf. kollektivvertragliche Vorschriften beachtet hat, ist auch nach den geänderten Vorschriften auf Grund der DSGVO gut aufgestellt. Die zentrale Norm im neuen BDSG ist künftig § 26 BDSG 2018.

Im Vergleich zum bisherigen Datenschutzrecht bezieht der neue § 26 BDSG 2018 ausdrücklich auch Leiharbeitnehmer im Verhältnis zum Entleiher und Freiwillige, die einen Dienst nach dem Bundesfreiwilligendienstgesetz leisten, mit ein.

Nach Art. 5 Abs. 2 DSGVO müssen Unternehmen nachweisen, dass sie die Vorgaben der DSGVO einhalten. Nach Art. 24 Abs. 1 DSGVO besteht eine Beweispflicht für den Arbeitgeber bei diesbezüglichen Streitfällen.

4.1 Personaldaten/Personalakten

Eine wichtige Bedeutung kommt der Personalakte zu. Diese beinhaltet alle Daten über den einzelnen Mitarbeiter, angefangen von der Bewerbung bis hin zum Ausscheiden aus dem Unternehmen. Der Datenschutz gilt unabhängig davon, ob die Akten elektronisch oder konventionell in Papierform geführt werden.

Personalakten müssen vertraulich geführt und aufbewahrt werden. Damit ist ein wirksamer Zugriffsschutz unumgänglich. Zudem müssen die Personalakten auch vollständig und nachvollziehbar sein.

Der Schutz personenbezogener Daten umfasst nicht nur die Daten von aktiven Mitarbeitern, sondern auch die von Bewerbern sowie ausgeschiedenen Mitarbeitern.

Umgang mit Bewerberdaten

Die Datenschutzregeln gelten sowohl für Bewerbungen auf Stellenangebote, als auch für Initiativbewerbungen. Im Rahmen der Bewerbung dürfen nur solche Daten erhoben werden, die für die jeweilige Stelle tatsächlich von Bedeutung sind und in einem entsprechenden sachlichen Zusammenhang stehen. Auch hier kann der Bewerber natürlich freiwillig mehr Daten übermitteln, was oftmals im Rahmen von Initiativbewerbungen geschieht. Inwieweit öffentlich zugängliche Bewerberdaten, z. B. von Webseiten, Foren oder Plattformen wie XING, LinkedIn oder Facebook, in das Bewerbungsverfahren aktiv einbezogen werden dürfen, ist strittig. Dennoch spielen diese Informationen eine immer wichtigere Rolle, denn auch ohne aktive, sprich dokumentierte Einbeziehung kann man sich dadurch ein besseres Bild vom Bewerber machen.

Nach Abschluss des Bewerbungsverfahrens sind die personenbezogenen Daten von abgelehnten Bewerbern unverzüglich zu löschen (bzw. zu vernichten), sofern diese nicht mehr für die Zweckerfüllung benötigt werden. Personenbezogene Daten, die weiterhin gespeichert bleiben können, sind Name, Anschrift und Geburtsdatum, da diese gegebenenfalls in einem neuen Bewerbungsverfahren nochmals genutzt werden müssen.

 
Praxis-Beispiel

Aufbewahrung von Bewerberdaten

Da der (potenzielle) Arbeitgeber den Grund für die Absage eines Bewerbers dokumentieren muss und bis zu 2 Monate nach Zugang der Ablehnung mit einer Schadensersatzklage rechnen muss, können die Bewerbungsunterlagen (Daten und/oder Kopien) bis zu 6 Monate aufbewahrt werden. Die entsprechenden Unterlagen sind für diesen Zeitraum zu sperren.

Das sollte in Bezug auf Mitarbeiterdaten veranlasst werden:

  • Standard Schutzvorkehrungen, wie Datensicherung, Virenscanner und Firewall.
  • Alle Vorgänge Unterlagen, E-Mails etc. nachvollziehbar dokumentieren.
  • Datenträger müssen vor Zugriffen Unberechtigter geschützt sein, z. B. durch eigene Laufwerke oder besonders geschützte Verzeichnisse mit gesonderten Zugängen für Personalverantwortliche.
  • Bei papierhafter Aktenführung: Abgeschlossene Karteischränke, die nur von Personalverantwortlichen eingesehenen werden können.

4.2 Daten über die Internet- und E-Mail-Nutzung eigener Mitarbeiter

Die Internet-Nutzung und E-Mail-Nutzung des einzelnen Arbeitnehmers kann technisch umfangreich protokolliert und ausgewertet werden. Dabei können beispielsweise

  • Benutzeridentifikation,
  • IP-Adressen,
  • Datum und Uhrzeit des Zugriffs,
  • Datenmenge
  • sowie Zieladresse des Zugriffs

erfasst werden. Anhand dieser Daten wäre es für den Arbeitgeber möglich nachzuvollziehen, wann der Arbeitnehme...

Das ist nur ein Ausschnitt aus dem Produkt ProFirma Professional. Sie wollen mehr?

Jetzt kostenlos 4 Wochen testen

Anmelden und Beitrag in meinem Produkt lesen


Meistgelesene beiträge