Zum Inhalt springen Zur Navigation springen
LfDI BaWü veröffentlicht 3. Ratgeber zum Beschäftigtendatenschutz

LfDI BaWü veröffentlicht 3. Ratgeber zum Beschäftigtendatenschutz

Der Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BaWü) hat gestern den Ratgeber Beschäftigtendatenschutz in der 3. Auflage veröffentlicht. Neben rechtlichen Grundlagen liegt der Schwerpunkt des Ratgebers in einer Zusammenstellung von Fällen aus der Praxis. Der Ratgeber gibt somit auf 51 Seiten einen Einblick in die Arbeit des LfDI und zeigt dessen Standpunkte beim Beschäftigtendatenschutz.

Welche Themen werden behandelt?

Um Ihnen einen Überblick zu verschaffen erhalten Sie hier eine kurze Zusammenfassung des Inhalts. Die 3. Auflage des Ratgebers Beschäftigtendatenschutz finden Sie auf der Internetseite des LfDI Baden-Württemberg.

Rechtsgrundlagen

Die wesentliche Vorschrift des Beschäftigtendatenschutzes seit dem 25.05.2018 ist § 26 BDSG welcher mit nur wenigen Änderungen mit § 32 BDSG-alt identisch ist. Die Probleme des alten Rechts bleiben somit erhalten. Insbesondere fehle ein eigenes „Gesetz zur Regelung des Beschäftigtendatenschutzes“. Problematisch ist auch, dass sich die schon vor der DSGVO bestehenden Spezial-Regelungen – arbeitsrechtstypisch – in unterschiedlichsten Gesetzen finden (zum Beispiel: § 39 Abs. 8, 9 EStG und § 18 f) SGB IV – für Daten der Lohnsteuerkarte und die Sozialversicherungsnummer).

Neben der grundsätzlichen Schwierigkeit der Unübersichtlichkeit müssen die Vorschriften nun auch im Einklang mit der DSGVO stehen, wenn dies nicht der Fall ist, ist die DSGVO vorrangig anzuwenden. Rechtssicherheit wird jedoch nur eine Rechtsprechung zu den Themen bringen.

Zudem geht die Aufsichtsbehörde auf die gestiegenen Anforderungen, aus Art. 88 Abs. 2 DSGVO an eine Betriebsvereinbarung ein, die bestehen, soweit die Betriebsvereinbarung als Rechtsgrundlage für die Verarbeitung von Mitarbeiterdaten dienen soll. Insbesondere sei durch die in Art. 88 Abs. 2 DSGVO definierten Anforderungen die bislang teilweise vertretene Ansicht, dass durch Betriebsvereinbarungen auch negativ vom Schutzstandard des BDSG abgewichen werde könne (vgl. insbesondere BAG 27.5.1986 – BAGE 52, 88 = NZA 1986, 643, 646) endgültig nicht mehr haltbar.

Verarbeitung personenbezogener Daten von Beschäftigten

Bei der Verarbeitung von Beschäftigtendaten rät der LfDI dazu, soweit es möglich ist, die Daten zu anonymisieren. Daneben helfen bei der Einhaltung des Datenschutzes und der Erfüllung/Beantwortung von Betroffenenrechten (wie auch bei anderen personenbezogenen Daten) ein Datenschutzmanagementsystem, sowie Protokollierungs- und Löschkonzepte. Für die Erfüllung von Informationspflichten gegenüber Beschäftigten empfiehlt der LfDI auch das Intranet oder das schwarze Brett zu nutzen.

In einem kurzen Abschnitt wird zudem die Weitergabe von Beschäftigtendaten im Konzern angesprochen, bringt dabei jedoch keine neuen Erkenntnisse.

Grundsätze des Datenschutzrechts

Der LfDI geht mit Blick auf den Beschäftigtendatenschutz auf die Grundsätze des Datenschutzrechts nach Art. 5 Abs. 1 DSGVO ein und stellt fest, dass Verantwortliche der Rechenschaftspflicht aus Absatz 2 nur nachkommen können, wenn sie die Datenverarbeitungen in geeigneter Weise dokumentieren, als auch die technischen und organisatorischen Maßnahmen entsprechend anpassen. Als mögliche Form des Nachweises wird noch einmal die Bedeutung des Verarbeitungsverzeichnisses nach Art. 30 DSGVO vorgeschlagen. Insbesondere kann auch ein erweitertes Verarbeitungsverzeichnis von immensem Vorteil für den Verantwortlichen sein.

Welche Fälle aus der Praxis wurden dargestellt?

Wie oben schon erwähnt hat sich der Landesbeauftragter Baden-Württemberg jedoch nicht nur „trocken“ mit dem Beschäftigtendatenschutz auseinandergesetzt, sondern auch in 13 Fällen von Problemen aus der täglichen Praxis berichtet.

  • Fall 1: In diesem wurde durch die unerlaubte Öffnung eines E-Mail-Postfaches erkannt, dass es in dem betroffenen Unternehmen an einer verbindlichen Regelung zur privaten Nutzung von Internet und E-Mail fehlte. Es wurde nach der Beratung durch die Behörde eine Betriebsvereinbarung abgeschlossen, auf deren Grundlage die Beschäftigten fortan wirksam in die Verarbeitung ihrer Informations- und Kommunikationstechnik Daten einwilligen können. Auch Fall 13 beschäftigt sich mit einer ähnlichen Thematik.
  • Fall 2: Dieser Fall betrifft die Unwirksamkeit einer Einwilligung eines Auszubildenden in die Durchführung eines Drogenschnelltests durch den Arbeitgeber.
  • Fall 3: Die Aufsichtsbehörde stellt die Verknüpfung zwischen den arbeitsgerichtlich entwickelten Grundsätzen zum Fragerecht und dem Datenschutzrecht her, nach dem nur solche Informationen erhoben werden dürfen, die für die Begründung oder Durchführung des Beschäftigungsverhältnisses erforderlich sind.
  • Fall 4: Datenschutzrechtliche Zulässigkeit von Pre-Employment-Screenings.
  • Fall 5: Kontakt zum ehemaligen Arbeitgeber ohne Einwilligung des Bewerbers.
  • Fall 6: Der LfDI vertritt hier die Ansicht, dass eine Speicherung von Bewerbungsunterlagen nach Abschluss des Auswahlverfahrens über vier Monate hinaus nicht erforderlich sei. Dies weicht von den bisher üblicher Weise für Zulässig erachteten 6 Monaten ab. Daneben geht auch die Behörde davon aus, dass eine längere Speicherung der Unterlagen durch eine Einwilligung zur Aufnahme in einen Bewerberpool zulässig ist. Jedoch ist nach Auffassung der Behörde auch hierbei auf eine Speicherdauer von einem Jahr zu begrenzen, da kein Interesse an veralteten Unterlagen bestehen könne.
  • Fall 7: Im Rahmen dieses Falls geht der LfDI darauf ein, wie von Betroffenen versucht wird das Datenschutzrecht für eigene Zwecke zu nutzen und wie die Behörde darauf reagiert.
  • Fall 8: Einsatz einer GPS-Ortung (Tracking) von Firmenfahrzeugen.
  • Fall 9: Der Fall handelt von einem Unternehmenskauf, bei dem vor Übergang der Arbeitsverhältnisse (im Rahmen es Teil-Betriebsübergangs) ausführliche Daten der Beschäftigten an den Käufer gegeben wurden, damit dieser den Mitarbeitern ein Angebot unterbreiten konnte.
  • Fall 10 („1“): Hier geht es um das beliebte Thema Mitarbeiterfotos.
  • Fall 10 („2“): Umgang mit Krankmeldungen, Arbeitsunfähigkeitsbescheinigungen und Geburtstagslisten.
  • Fall 11: Der LfDI weist auf die datenschutzrechtlichen Aspekte bei Durchführung einer Mitarbeiterumfrage hin.
  • Fall 12: Videoüberwachung im Arbeitsverhältnis.

Was bedeutet das für die Praxis?

Es ist erfreulich, dass die Aufsichtsbehörden über ein ¾ Jahr nach Anwendbarkeit der DSGVO wieder die Zeit finden solche Ratgeber zu veröffentlichen und bei der Einhaltung des Datenschutzes in der Praxis unterstützen. Unternehmen in Baden-Württemberg sollten nun jedoch überlegen bei welchen Prozessen sie im Beschäftigtendatenschutz noch Verbesserungspotenzial haben und ob sie die Speicherdauer bei Bewerbungsunterlagen auf 4 Monate beschränken. Allerdings bleibt auch hierzu – wie es auch das LfDI mehrfach festgestellt hat – zu sagen: Rechtssicherheit wird nur eine gefestigte Rechtsprechung bringen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.