Anmeldung




 

Thema der Woche 2. KW 2011

Datenschutz für Mitarbeiterdaten

Ein Unternehmen, insbesondere die Personalabteilung und -abrechnung, benötigt für ihre Arbeit eine Vielzahl an persönlichen Daten der Mitarbeiter. Diese müssen besonders geschützt werden und dürfen Unbefugten nicht zugänglich gemacht werden.

Welche Daten dürfen erhoben werden?

Unternehmen dürfen nur Daten von ihren Beschäftigten erheben und speichern, die es notwendig braucht. Eine "Vorratsdatenhaltung" ist also nicht zulässig. Die Speicherung ist nur erlaubt, solange die Daten benötigt werden. Dabei müssen gesetzliche Aufbewahrungsfristen (etwa im Steuerrecht) beachtet werden.

Das bedeutet auch, dass Daten die nicht benötigt werden auch nicht erhoben werden dürfen.

Wichtigste Rechtsgrundlage für die Erhebung und Speicherung von Personaldaten ist § 32 Bundesdatenschutzgesetz (BDSG). Die darin niedergelegten Grundsätze gelten sowohl für die Durchführung der Beschäftigung (mit allen notwendigen Abrechnungen und Meldungen) als auch für die Begründung einer Beschäftigung, also die Auswahl eines neuen Mitarbeiters.

Weitergabe von Daten

Grundsätzlich dürfen personenbezogene Daten vom Arbeitgeber nicht an Dritte weitergegeben werden. Sie sind vielmehr absolut vertraulich zu behandeln. Ausnahmen gibt es aber dann, wenn die Weitergabe von Daten aufgrund eines Gesetzes erfolgt, zum Beispiel im Rahmen von ELENA, dem elektronischen Entgeltnachweis, oder im Rahmen des Meldeverfahrens in der Sozialversicherung.

Grundsätzlich zulässig ist auch die Übermittlung von Daten, wenn Aufgaben des Arbeitgebers an Dritte delegiert werden. Das ist zum Beispiel der Fall wenn die Gehaltsabrechnung ausgelagert und auf einen Steuerberater oder ein Servicebüro übertragen wird. In diesen Fällen muss sich aber der Arbeitgeber davon überzeugen, dass die Datenschutzbestimmungen auch bei den Dienstleister eingehalten werden. In einem Vertrag mit einem solchen Dienstleister müssen auch die Verpflichtungen zum Datenschutz enthalten sein. Hier ist ein schriftlicher Vertrag mit gesetzlich definierten Mindestinhalten erforderlich.

Grundsätzlich muss sich der Arbeitgeber auch davon überzeugen, dass die datenschutzrechtlichen Bestimmungen eingehalten werden. Er ist also durch die Übertragung der Aufgabe nicht von seiner Verantwortung befreit. Der Auftraggeber muss sich vor Beginn der Datenverarbeitung und danach regelmäßig von der Einhaltung der vereinbarten Datenschutzmaßnahmen überzeugen. Das Ergebnis der Überprüfung ist zu dokumentieren (§ 11 Abs. 2 BDSG).

Diese Regeln gelten auch im Rahmen von Zeitarbeit auch im Verhältnis zwischen Personaldienstleister und Entleiher. Ausgetauscht werden dürfen hier nur die Daten, die für die Abwicklung des Zeitarbeitsverhältnisses unbedingt notwendig sind.

Notwendige Daten

An die Frage welche Daten zur Durchführung des Beschäftigungsverhältnisses notwendig sind, sind strenge Anforderungen geknüpft. Unproblematisch sind alle Angaben, die der Arbeitgeber

  • für die Durchführung der Lohnsteuerabrechnung und
  • zur Beurteilung der Sozialversicherungspflicht,
  • der Beitragspflicht und
  • zur Erstellung der Meldungen zur Sozialversicherung benötigt.


Das führt dazu, dass bei einer bestehenden Beschäftigung Daten notwendig sein können, die bei der Anbahnung des Arbeitsverhältnisses (Bewerbungsgespräch) noch nicht erhoben werden dürfen. Dazu gehört etwa das Alter des Beschäftigten. Dieses ist für die Beurteilung der Sozialversicherungspflicht erforderlich (im Übrigen auch das Geburtsdatum für die Erstellung der Meldungen), nicht jedoch für die Einstellung.

Weitere Beispiele sind die Zugehörigkeit zu einer Gewerkschaft und die Behinderung eines Mitarbeiters. Für die Einstellung sind diese Daten nicht erforderlich und dürfen nicht erhoben werden, um eine Diskriminierung im Sinne des Gleichbehandlungsgesetz (AGG) zu vermeiden. Für die Durchführung der Beschäftigung kann es aber notwendig sein, dass der Arbeitgeber über eine Gewerkschaftsmitgliedschaft informiert wird. Das ist der Fall, wenn bestimmte Leistungen aus dem Tarifvertrag auf Gewerkschaftsmitglieder beschränkt sind. Im Falle der Behinderung eines Beschäftigten hat der Arbeitgeber ein unmittelbares Interesse an der Information, da er einen bestimmten Prozentsatz der Arbeitsplätze mit Schwerbehinderten besetzen soll. Kann er dies nicht nachweisen, muss er eine Ausgleichsabgabe zahlen. Aus diesem Grund ist der Mitarbeiter verpflichtet, nach der Einstellung die entsprechende Information zu geben.

Interne Datensicherheit

Die erhobenen Daten sind vom Arbeitgeber so sicher aufzubewahren, dass kein unbefugter Dritter von ihnen Kenntnis erlangen kann. Das gilt sowohl für elektronisch gespeicherte Daten, als auch für die klassische Personalakte in Papierform. 

Elektronisch gespeicherte Daten müssen durch Zugangsberechtigungen oder Speicherung auf separaten Medien gesichert werden. Personalakten müssen in verschlossenen Räumen oder Schränken aufbewahrt werden. Es muss sichergestellt sein, dass nur die berechtigten Personen Zugang zu diesen Informationen bekommen können.

Unterlagen mit geschützten Daten müssen immer, auch bei einem nur kurzfristigen Verlassen des Zimmers, gesichert werden (Raum abschließen!). Bei einem Computer mit sensiblen Daten ist darauf zu achten, dass der Bildschirm mit einer Sperre geschützt werden kann.

Im weiteren Sinne gehören auch die Videoüberwachung von Mitarbeitern oder die Überwachung von deren Telefon- und E-Mail-Verkehr zur Frage des Datenschutzes von Arbeitnehmern.

Informationspflicht

Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene über die Speicherung zu informieren. Dazu gehören Informationen über 

  • Art der Daten,
  • Zweck der Erhebung,
  • Verarbeitung oder
  • Nutzung und
  • die Identität der verantwortlichen Stelle.

Eine besondere Verpflichtung kann sich auch aus anderen Gesetzen und Vorschriften ergeben. So sind die Arbeitgeber zum Beispiel verpflichtet, ihre Beschäftigten über die Datenübermittlung im Rahmen des ELENA-Verfahrens zu informieren. Diese Verpflichtung ergibt sich unmittelbar aus dem Sozialgesetzbuch (§ 97 SGB IV).

Der Schutz von personenbezogenen Daten der Mitarbeiter ist ein hohes Gut. Es dürfen immer nur die Daten erhoben werden, die für die Durchführung der Beschäftigung oder deren Anbahnung erforderlich sind.
Neben den rein datenschutzrechtlichen Bestimmungen sind auch die Regelungen des AGG zu beachten.