Datenschutz ist mehr als nice to have. Datenschutz ist von der Geschäftsführung und den weiteren Ebenen ernst zu nehmen. Bei Verstößen drohen sensible Strafen, die sich durch Prävention vermeiden lassen. Die zur Aufklärung von Datenschutzverstößen berufenen Behörden sind aktiv wie nie. Zudem darf jeder Verstöße melden. Die Datenschutzbehörden sind im Anschluss zur Ermittlung verpflichtet. Auch beanspruchen Bewerber, Arbeitnehmer oder Ehemalige vermehrt nach Art. 15 DSGVO Auskunft. In Prozessen um Kündigungsschutz bezeichnen Anwälte das als Standardrepertoire. Diese lauern auf zu späte, mangelnde oder mangelhafte Antwort sowie unzulässige Verarbeitung zur Geltendmachung von Schadensersatzansprüchen nach Art. 82 DSGVO. Viele scheuen sich vor dem Datenschutz. Doch ist das System einmal verstanden, verfliegt die Angst. Der folgende Beitrag erklärt daher die wichtigsten Säulen des Arbeitnehmerdatenschutzes. Vom Bewerber bis hin zum Ehemaligen. Damit Sie und Ihre GmbH keine bösen Überraschungen erleben.
1. Grundlagen
Spätestens seit Einführung der DSGVO ist den meisten Datenschutz ein Begriff. Als europäische Verordnung ist die DSGVO bindend. Datenschutzgesetze des Bundes oder der Länder flankieren diese. Doch was sind die Grundprinzipien des Datenschutzes? Ist der Datenschutz der Untergang des freien Fragens oder lenkt er unsere technische Welt in sichere Bahnen? Die Wahrheit liegt wie so oft in der Mitte. Personenbezogene Daten dürfen nur zu bestimmten Zwecken erhoben werden. Ein pauschales Sammeln jeglicher personenbezogener Daten ohne einen Zweck ist unzulässig. Darüber hinaus ist stets Transparenz zu wahren, die Anzahl der erhobenen Daten zu minimieren und die Speicherung zu begrenzen. Auch die Richtigkeit, Integrität und Vertraulichkeit sind durch geeignete Maßnahmen zu gewährleisten.
Zudem muss eine der folgenden Bedingungen erfüllt sein: Die Person muss in die Datenverarbeitung eingewilligt haben, die Datenverarbeitung ist für die Erfüllung eines Vertrages (meist des Arbeitsvertrages) oder zur Durchführung vorvertraglicher Maßnahmen (z. B. Bewerbung) erforderlich, Sie müssen einer rechtlichen Verpflichtung nachkommen (z. B. steuerrechtlich) oder die Verarbeitung der Daten muss zur Wahrung berechtigter Interessen erforderlich sein (z. B. Logistikprozesse). In letzterem Fall dürfen die Interessen oder Grundrechte zum Schutz personenbezogener Daten der betroffenen Person nicht überwiegen (dies ist z. B. bei biometrischen Scans meist der Fall). Außerdem verbietet die DSGVO die Verarbeitung gewisser Kategorien personenbezogener Daten. Solche dürfen nur in streng definierten Ausnahmefällen verarbeitet werden. Darunter fallen rassische und ethnische Herkunft, Religion und Weltanschauung, Behinderung, sexuelle Identität, Gesundheit, Vermögensverhältnisse, Vorstrafen und laufende Ermittlungsverfahren. Das klingt kompliziert, aber was bedeutet dies für die Praxis im Unternehmen?
2. Bewerbungsverfahren
Die Datenerhebung beginnt im Bewerbungsverfahren. Vollständig automatische Systeme sind verboten. Sie müssen den Bewerbungsprozess durch einen Menschen kontrollieren lassen. Setzen Sie externe Personalberater oder Headhunter ein, sollten Sie diese ausdrücklich zum Datenschutz verpflichten. Während des Verfahrens stellt sich regelmäßig die Frage: Wonach dürfen Sie fragen? Eine allgemeine Erlaubnis zum Erheben jeglicher personenbezogener Daten, die Sie als nützlich ansehen, besteht nicht. Das ist aufgrund der oben aufgeführten Grundsätze wie folgt beschränkt: Zum Bewerbermanagement dürfen Sie die Stammdaten erheben. Darunter sind Name, Anschrift, Telefonnummer und E-Mail-Adresse zu verstehen. Weiterhin steht und fällt die Frage mit der Erforderlichkeit. Überlegen Sie sich, benötigen Sie diese Information, um einen Bewerber bewerten zu können oder ist dies für die Ausübung der Tätigkeit notwendig? Dabei besteht ein gewisser Spielraum, welche Informationen Sie für unentbehrlich erachten. Nach relevanten Zeugnissen dürfen Sie stets Fragen. Wie Ihr Bewerber aussieht, ist in der Regel kein legitimes Kriterium. Nach der Fahrerlaubnis dürfen Sie fragen, wenn Sie einen Fahrer für eine Tätigkeit einstellen, die eine Fahrerlaubnis erfordert. Denn der Job ist nur mi einer solchen möglich. Ihren Buchhalter dürfen Sie nach strafrechtlichen Vermögensdelikten fragen. Sobald Sie abstrakt nach Vorstrafen fragen, wäre das unzulässig. Hinsichtlich der Eignung ist ebenfalls auf die Erforderlichkeit für die Tätigkeit abzustellen. Bei einem Piloten sind psychologische Tests notwendig, im Sekretariat nicht. Für eine Sicherheitskraft dürfen Sie die Fitness testen. Nach dem bisherigen Gehalt dürfen Sie jedenfalls fragen, wenn das Gehalt für die Vakanz noch nicht feststeht. Fragen nach der Schwangerschaft sind stets unzulässig, selbst bei einer Vakanz zu einer befristeten Stelle. Für anderweitige Nachforschungen besteht ein strenger Maßstab. Eigenständige Recherchen in sozialen Netzwerken sind kritisch zu sehen. Berufsnetzwerke wie Xing oder LinkedIn dürfen Sie regelmäßig einsehen. Informationen aus privaten sozialen Netzwerken wie Facebook, Instagram oder TikTok dürfen Sie nicht speichern, verschriftlichen oder berücksichtigen. Nachfragen bei früheren Arbeitgebern sind nur mit Zustimmung des Bewerbers und bei objektiven Zweifeln an den Bewerbungsunterlagen zulässig. Backgroundchecks, wie in den USA üblich, sind grundsätzlich unzulässig. Die personenbezogenen Daten von abgelehnten Bewerbern sind nach sechs Monaten zu löschen, aufgrund der regelmäßigen Klagen auf Schadensersatz und Entschädigung wegen diskriminierender Ablehnung. Sie müssen sich im Prozess schließlich mit jenen Bewerberdaten verteidigen. Sollten Bewerber einwilligen, z. B aufgrund des Interesses für zukünftige Stellen im Bewerberpool zu bleiben, dürfen Sie die personenbezogenen Daten weiter aufbewahren.
3. Im Arbeitsverhältnis
Während des Arbeitsverhältnisses bestehen ebenfalls diverse Fallstricke. Zum Erfüllen gesetzlicher Pflichten dürfen Sie die notwendigen personenbezogenen Daten erheben, von der Sozialversicherungsnummer bis hin zur Überstundenliste.
a) Arbeitsvertrag
Aufgrund der Pflicht, organisatorische Maßnahmen zum Datenschutz zu ergreifen, bietet sich eine Verpflichtung der Arbeitnehmer zum Datenschutz an. Dies ist im Muster-Arbeitsvertrag zu ergänzen. Zudem ist ein Merkblatt zum Datenschutz wünschenswert, das Arbeitnehmern das Thema praktisch näherbringt.
b) Personalakte
Ob Sie Ihre Personalakte elektronisch, in Papier oder elektronisch und in Papier führen, steht Ihnen frei. Dabei dürfen Sie jegliche Personalunterlagen in die Personalakte nehmen, müssen allerdings Löschfristen wie z. B. für Abmahnungen beachten. Abmahnungen sind zu löschen, sofern sie keine Relevanz mehr haben.
c) Überwachung
Parallel zum Bewerbungsverfahren kommt es während des Arbeitsverhältnisses auf die Erforderlichkeit der Erhebung personenbezogener Daten an. Dies betrifft heutzutage maßgeblich die technische Überwachung, die mit der überwiegenden Anzahl eingesetzter Softwares einhergeht. Von Microsoft Teams über das Diensthandy bis zu Scannern, viele gängige Arbeitsmittel erheben personenbezogene Daten. Was man als nützlich empfinden mag, ist mit einem erheblichen Eingriff in das Persönlichkeitsrecht der Arbeitnehmer verbunden. Um Eingriffe in das Persönlichkeitsrecht zu mindern, sollte private Kommunikation, z. B. per Outlook oder Diensthandy, verboten sein. Auf Dauer kann Überwachungsdruck gesundheitliche Folgen haben. Die Erforderlichkeit ist daher restriktiv und in Relation zum Interesse zu betrachten. Interessen, die solche Überwachung erforderlich machen können, sind insbesondere Logistikprozesse, die Qualifizierung von Mitarbeitern und die Möglichkeit, objektives Feedback zu erteilen und Personalentscheidungen zu treffen. Eine Dauerüberwachung durch Geotracking oder Ähnliches ist nur in absoluten Ausnahmen zulässig. Zudem ist die Überwachung transparent zu machen und die Arbeitnehmer sind umfassend zu informieren. Da das Verfolgen dieser Zwecke z. B. in Pausenräumen oder Aufenthaltsbereichen nicht möglich ist, darf hier keine Überwachung stattfinden.
d) Sanktionen
Ob Sie eine Abmahnung oder Kündigung auf datenschutzwidrig erlangte personenbezogene Daten stützen dürfen, sollten Sie nicht voreilig mit dem Spruch “Datenschutz ist kein Tatenschutz” annehmen. Einfache Datenschutzverstöße sind in der Regel irrelevant. Sollte der Verstoß schwerwiegend sein, kann das zur Unwirksamkeit der Sanktion führen.
4. Ehemalige
Scheiden Arbeitnehmer aus, stehen Sie vor der Frage, wie lange Sie die diversen während des Arbeitsverhältnisses erhobenen personenbezogenen Daten (z. B. Personalakte, Überstunden, Gehaltsunterlagen, Versorgungszusagen oder Pensionsfonds) aufbewahren dürfen und ab wann sie zu löschen sind. Diese personenbezogenen Daten müssen Sie löschen, wenn Sie überflüssig sind. Die Personalakte müssen Sie deshalb vier Jahre nach Beendigung des Arbeitsverhältnisses löschen. Denn vier Jahre nach dem Ende des Arbeitsverhältnisses drohen keine Rechtsstreite mehr. Selbst wenn der Ehemalige begründete Forderungen hätte, wären diese Ansprüche aufgrund der gesetzlichen Verjährungsfrist von drei Jahren zum Ende des Jahres der Beendigung verjährt. Die nach dem Arbeitszeitgesetz zwei Jahre ab der Erbringung der Überstunden aufzubewahrenden Unterlagen zu Überstunden, sind deshalb nach zwei Jahren zu löschen. Unterlagen zum Gehalt sind aufgrund der Berechnung der Sozialversicherungsbeiträge nach dem Vierten Sozialgesetzbuch fünf Jahre aufzubewahren, denn bei Betriebsprüfungen alle vier Jahre und einer vierjährigen Verjährungsfrist sind diese spätestens nach fünf Jahren überflüssig. Da Lohnkonten nach dem Einkommenssteuergesetz sechs Jahre aufzubewahren sind, müssen diese erst im Anschluss gelöscht werden.
5. Auskunftsanspruch
Aufgrund der DSGVO dürfen Personen Auskunft über die von Ihnen verarbeiteten Daten verlangen. Sie dürfen sogar Kopien verlangen. Sollten Sie diesen Anspruch zu spät, nicht oder fehlerhaft beantworten, drohen Schadensersatzansprüche und aufgrund unklarer Rechtsprechung langwierige Prozessrisiken.
6. Strafen
Die Datenschutzbehörden verhängen Rekordstrafen. Für eine Liste mit unzulässigen Informationen über Arbeitnehmer in der Probezeit bezahlte ein Berliner Unternehmen jüngst 215.000 Euro. Nehmen Sie Datenschutz nicht auf die leichte Schulter.