Distri-Award
– Jetzt zur Umfrage!

Suchen

Korrekt speichern: DSGVO-Praxis und Beschäftigtendaten Datenschutzprobleme in der Personalabteilung

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Die Datenverarbeitung im Beschäftigungskontext gehört zu den Mängelschwerpunkten im betrieblichen Datenschutz. Die Aufsichtsbehörden berichten von zahlreichen Praxisfällen, in denen die typischen Fehler der Unternehmen sichtbar werden.

Firmen zum Thema

So vielfältig die Verarbeitung von Beschäftigtendaten ist, so mannigfaltig sind auch die Probleme von Unternehmen, mit den Daten ihrer Mitarbeiter*Innen datenschutzgerecht umzugehen.
So vielfältig die Verarbeitung von Beschäftigtendaten ist, so mannigfaltig sind auch die Probleme von Unternehmen, mit den Daten ihrer Mitarbeiter*Innen datenschutzgerecht umzugehen.
(Bild: gemeinfrei / Pixabay )

Die Maßnahmen zur Eindämmung der Corona-Pandemie haben in den vergangenen Wochen und Monaten bei Arbeitgebern und Beschäftigten viele Fragen aufgeworfen, inwieweit Daten über den Gesundheitszustand rechtssicher verarbeitet werden dürfen. Doch Beschäftigtendaten müssen nicht nur in Krisenzeiten besonders geschützt werden.

Beschäftigtendaten werden insbesondere für die „Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags einschließlich der Erfüllung von durch Rechtsvorschriften oder durch Kollektivvereinbarungen festgelegten Pflichten, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz, des Schutzes des Eigentums der Arbeitgeber oder der Kunden sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen und für Zwecke der Beendigung des Beschäftigungsverhältnisses“ verarbeitet, wie sich der Datenschutz-Grundverordnung (DSGVO/GDPR) entnehmen lässt.

So vielfältig die Verarbeitung von Beschäftigtendaten ist, so mannigfaltig sind auch die Probleme von Unternehmen, mit den Daten ihrer Mitarbeiterinnen und Mitarbeiter und mit den Daten der Bewerberinnen und Bewerber datenschutzgerecht umzugehen. Das zeigen die Praxisfälle, von denen die Aufsichtsbehörden für den Datenschutz berichten.

Bewerberdaten werden nicht rechtzeitig gelöscht

Ein Klassiker im Beschäftigtendatenschutz ist die zu späte Löschung von Bewerberdaten. Ohne die Bewerber entsprechend informiert um Einwilligung zu bitten, speichern viele Unternehmen die Daten von Bewerbern für lange Zeit, wenn diese für eine aktuelle Stellenausschreibung nicht in Betracht kommen, aber vielleicht ja im nächsten Jahr.

Tatsächlich aber gilt: Über das Auswahlverfahren hinaus dürfen Bewerberdaten nach entsprechender Information der Bewerber noch maximal sechs Monate aufgehoben werden, um bei Klagen nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) reagieren zu können. Darüber hinaus ist die weitere Speicherung nur mit Einwilligung der Bewerber zulässig.

Versand unverschlüsselter Daten an Beschäftigte

Ein Arbeitgeber beabsichtigte, die Gehaltsabrechnungen seiner Mitarbeiter unverschlüsselt an deren private E-Mail-Adresse versenden. Die Aufsichtsbehörde erfuhr davon und hat den Arbeitgeber auf die erheblichen datenschutzrechtlichen Risiken einer unverschlüsselten E-Mail-Übertragung hingewiesen. Eine unverschlüsselte E-Mail sei letztlich einer mit Bleistift geschriebenen Postkarte vergleichbar, so die Aufsichtsbehörde. Bei Lohn- und Gehaltsdaten der Mitarbeiter handelt es sich um besonders sensible Daten. Arbeitgeber haben eine besondere Sorgfaltspflicht, diese persönlichen Daten der Arbeitnehmer vor unberechtigten Zugriffen zu schützen. Unverschlüsselte E-Mails sind dazu sicherlich nicht geeignet.

Unberechtigte Abfragen von Bewerberdaten

Ein Unternehmen stellte auf seiner Webseite einen Bewerbungsfragebogen für zukünftige Mitarbeiter zur Verfügung. Abgefragt wurden darin unter anderem: Angaben zur Kündigung des derzeitigen Arbeitsverhältnisses, Name und Geburtsdatum des Ehepartners und der Kinder, Beruf des Ehepartners, Vorhandensein einer eigenen Wohnung sowie Angaben zu Krankheiten und Schulden. Nach Einschalten der Aufsichtsbehörde hat das Unternehmen den Bewerbungsfragebogen nicht weiter verwendet und das Bewerbungsverfahren umgestellt. Offensichtlich wurden hier die Prinzipien der Datenminimierung und Erforderlichkeit nicht beachtet.

Verarbeitung von Gesundheitsdaten im Beschäftigungskontext

Aufgrund einer Beschwerde wurde der zuständigen Aufsichtsbehörde bekannt, dass ein Arbeitgeber alle Beschäftigten seines Unternehmens schriftlich dazu aufforderte, Krankmeldungen mit Belegen per WhatsApp an die Personalabteilung zu schicken.

Dazu die Aufsichtsbehörde: Mit der Übersendung von Krankmeldungen übermitteln Arbeitnehmerinnen und Arbeitnehmer stets sensible Daten über ihre Gesundheit im Sinne des Art. 9 Datenschutz-Grundverordnung (DSGVO) an ihre Arbeitgeber. Hierfür sind nur sichere Kommunikationswege geeignet, die Zugriffe Dritter ausschließen. Diese Voraussetzungen erfüllt der Messenger-Dienst WhatsApp nicht. Eine Nutzung dieses Dienstes durch den Arbeitgeber für den Transport von Beschäftigtendaten, insbesondere für die Übermittlung von sensiblen Daten wie Gesundheitsdaten, ist datenschutzrechtlich nicht zulässig, so die Aufsicht.

Zeiterfassung und Biometrie

Arbeitgeber sind zur Erfassung der täglichen Arbeitszeit ihrer Beschäftigten berechtigt. Doch es kommt auch auf die Methode der Zeiterfassung an. Fingerabdruckscanner sind dafür nicht zulässig, so die Aufsichtsbehörde. Die Begründung: Die Erfassung der täglichen Arbeitszeit unter Verwendung von Fingerabdruckscannern ist unzulässig, da zur reinen Zeiterfassung weniger risikobehaftete Mittel zur Verfügung stehen, welche die Rechte der Arbeitnehmer weniger beeinträchtigen.

Die DSGVO zählt biometrische Daten zu den personenbezogenen Daten besonderer Kategorie, wie Artikel 9 DSGVO zu entnehmen ist. Es gilt: Der Einsatz von Fingerabdruckscannern oder eine Verwendung von anderen biometrischen Daten ausschließlich für Zwecke der Zeiterfassung sind regelmäßig datenschutzrechtlich nicht zulässig.

Aufzeichnung von Anrufen zu Schulungszwecken

Die Aufzeichnung von eingehenden Anrufen durch den Arbeitgeber in einem Callcenter zum Zweck der späteren Auswertung zur Schulung der Beschäftigten verstößt in der Regel gegen Datenschutzrecht, weil die Aufzeichnung für die Schulung der Beschäftigten nicht erforderlich ist, so die Datenschutzaufsicht von Bremen. Angesichts des Beschäftigungskontexts kommt auch eine Einwilligung als Rechtsgrundlage im Regelfall nicht in Betracht, wegen der besonderen Anforderungen an die Erteilung einer Einwilligung durch Beschäftigte. Hintergrund ist hierbei die Frage, inwieweit man im Beschäftigungsverhältnis von einer freiwillig erteilten Einwilligung ausgehen kann.

Fazit

Diese Beispiele zeigen, dass jede Verarbeitung personenbezogener Daten von Beschäftigten (dazu zählt der Datenschutz auch die Bewerber) ganz genau überlegt werden sollte, damit die Beschäftigtendaten richtig geschützt werden. Für Deutschland ist dabei neben der DSGVO auch das neue Bundesdatenschutzgesetz (BDSG-neu) zu beachten (§ 26 BDSG Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses).

Gerade aus Sicht der IT-Sicherheit (Abwehr von Risiken und Bedrohungen) sollte dabei beachtet werden: „Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“

Anlasslose Überprüfungen bei Beschäftigten zur Vermeidung von Straftaten sind somit verboten, einen Generalverdacht darf es aus Sicht des Datenschutzes nicht geben.

(ID:46862603)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research