FAQ Beschäftigtendatenschutz
Im Zentrum des Beschäftigtendatenschutzes steht der Schutz der Privatsphäre der Beschäftigten. Dieser Schutz muss jedoch stets mit dem Informationsinteresse des Arbeitgebers abgewogen werden.
Hier finden Sie Informationen und Antworten auf häufig gestellte Fragen zu Ihren Rechten im Beschäftigungsverhältnis oder Bewerbungsverfahren.
Allgemeines zum Beschäftigtendatenschutz
Für welche Beschäftigten ist dieBfDI zuständig?
Die Bundesbeauftragt für den Datenschutz und die Informationsfreiheit (BfDI) ist für die Datenschutzaufsicht über die öffentlichen Stellen des Bundes zuständig, also auch für den Beschäftigtendatenschutz bei diesen Stellen. Auch zahlreiche bundesunmittelbare Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts unterliegen der Datenschutzaufsicht durch denBfDI, wiez. B. Berufsgenossenschaften, viele gesetzliche Krankenkassen oder wissenschaftliche Forschungseinrichtungen. Ebenso beaufsichtigt dieBfDI privatwirtschaftliche Firmen, welche sich im Besitz des Bundes befinden. Dazu gehören beispielsweise die Bundeswehr Fuhrpark ServiceGmbH, die Bundesrepublik Deutschland - FinanzagenturGmbH und viele andere mehr.
Beschäftigte im Sinne von§ 26Abs. 8BDSG sind unter anderem Arbeitnehmerinnen und Arbeitnehmer, Beamtinnen und Beamte des Bundes, Soldatinnen und Soldaten sowie Bewerberinnen und Bewerber. Die Zuständigkeit desBfDI erstreckt sich auch auf die noch verbliebenen Bundesbeamtinnen und -beamten bei den Postnachfolgeunternehmen und der Deutschen Bahn.
Wie ist die Rechtslage für den Beschäftigtendatenschutz?
Ein eigenständiges Beschäftigtendatenschutzgesetz gibt es derzeit nicht. DieBfDI setzt sich seit langer Zeit für die Schaffung beschäftigtendatenschutzrechtlicher Regelungen ein. Auch die Konferenz der unabhängigen Datenschutzbeauftragten des Bundes und der Länder (DSK) fordert seit vielen Jahren ein Beschäftigtendatenschutzgesetz (siehez. B.dieEntschließungen vom 29. April 2022 und vom 11. Mai 2023). Der interdisziplinäre Beirat Beschäftigtendatenschutz, den dasBMAS eingesetzt hatte, kam in seinemAbschlussberichtvom Januar 2022 ebenfalls zu dem Schluss, dass - neben weiteren Maßnahmen - ein eigenständiges Beschäftigtendatenschutzgesetz erforderlich ist.
Die derzeit maßgebliche Norm, die vom deutschen Gesetzgeber auf der Grundlage der Öffnungsklausel desArt. 88DSGVO für Datenverarbeitungen im Beschäftigungskontext erlassen wurde, ist§ 26BDSG. Danach dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses beispielsweise verarbeitet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. § 26BDSG regelt zudem etwa Vorgaben zur im Beschäftigungsverhältnis nur ausnahmsweise zulässigen Einwilligung (§ 26Abs. 2BDSG) oder die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses (§ 26Abs. 3BDSG).
Die aktuelle Bestimmung des § 26BDSG reicht angesichts aktueller rechtlicher (siehe insbesondere das Urteil des Europäischen Gerichtshofs (EuGH) vom 30. März 2023 in der RechtssacheC‐34/21) und technologischer Entwicklungen (z. B. bei der Künstlichen Intelligenz) indes nicht aus. Die Norm ist zu unbestimmt, lässt zu viel Interpretationsspielraum, ist nicht hinreichend praktikabel, normenklar und sachgerecht. Da die Digitalisierung der Arbeitswelt eine immer weitergehende Überwachung von Beschäftigten ermöglicht und großes Interesse an der Nutzung dieser technischen Möglichkeiten besteht, wächst das Bedürfnis der Beschäftigten und von Bewerberinnen und Bewerbern nach einem hinreichenden Schutz ihres Rechts auf informationelle Selbstbestimmung. Erforderlich sind spezifische Regelungen für den deutschen Beschäftigtendatenschutz, die einen verhältnismäßigen Ausgleich zwischen den grundrechtlich geschützten Interessen der Arbeitgeberinnen und Arbeitgeber und dem Recht auf informationelle Selbstbestimmung der Beschäftigten gewährleisten. Entscheidend ist, dass die spezifischen nationalen Vorschriften zum Beschäftigtendatenschutz den Schutz der Rechte und Freiheiten der Beschäftigten zum Ziel haben und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen. Es geht also um spezifische, zur jeweiligen Verarbeitungssituation passende, Schutzmaßnahmen für die Betroffenen. Solche Schutzmaßnahmen können etwa technischer, organisatorischer oder rechtlicher Natur sein.
Der im aktuellen Koalitionsvertrag verankerte Auftrag, Regelungen zum Beschäftigtendatenschutz zu schaffen, soll in gemeinsamer Federführung desBMI und desBMAS umgesetzt werden. Es wäre zu begrüßen, wenn das Vorhaben der Schaffung eines Beschäftigtendatenschutzgesetzes in der aktuellen, 20. Legislaturperiode abgeschlossen würde.
Weitere spezifische Vorschriften im Sinne derDSGVO finden sich in zahlreichen Gesetzen des Arbeits- und Dienstrechts. Das Arbeitsschutzgesetz, das Mutterschutzgesetz, das Allgemeine Gleichbehandlungsgesetz, das Sozialgesetzbuch Neuntes Buch oder das Entgelttransparenzgesetz und nicht zuletzt das Bundesbeamtengesetz (BBG) oder das Bundespersonalvertretungsgesetz sind nur ein kleiner Ausschnitt der zahlreichen Rechtsgrundlagen, die im Beschäftigungskontext die Verarbeitung personenbezogener Daten mit sich bringen. Im Bundesbeamtengesetz sind insbesondere personalaktenrechtliche Regelungen enthalten. Diese speziellen bundesgesetzlichen Datenschutzregelungen haben Vorrang vor den allgemeinen Datenschutzregelungen desBDSG.
Kann eine Einwilligung im Beschäftigungsverhältnis erteilt werden?
NachArt. 6Abs. 1lit. a),Art. 7DSGVO i.V.m.§ 26Abs. 2BDSG kann die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis auch auf der Grundlage einer Einwilligung erfolgen. Zwingende Voraussetzung ist hier, dass die Einwilligung in informierter Form erfolgt und tatsächlich freiwillig abgegeben wird. Ob diese tatsächliche Freiwilligkeit vorliegt, muss nach den Umständen des Einzelfalles beurteilt werden. Dabei ist die grundsätzlich bestehende Abhängigkeit im Beschäftigungsverhältnis der oder des Beschäftigten vom Arbeitgeber zu berücksichtigen. Wenn eine beschäftigte Personz. B. im Rahmen einer Teilnahme an einer Veranstaltung ihres Arbeitgebers eine Videoaufzeichnung von sich ablehnen sollte, dürfen für sie daraus keine Nachteile entstehen und ihre Teilnahme an der Veranstaltung muss weiterhin möglich sein. Für die Freiwilligkeit spricht auch ein rechtlicher oder wirtschaftlicher Vorteil, den die oder der Beschäftigte durch die Einwilligungserklärung erlangt,z. B. bei der Einführung eines betrieblichen Gesundheitssystems oder der Erlaubnis zur privaten Nutzung von betrieblichenIT-Systemen.
Die Einwilligung muss zudem schriftlich oder elektronisch abgegeben werden, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber ist verpflichtet, über den Zweck der Datenverarbeitung und den jederzeit möglichen Widerruf der Einwilligung zu informieren.
Datenschutz bei Bewerbungen
Was ist bei Bewerbungen und im Umgang mit Bewerbungsunterlagen zu beachten?
Bewerbungen bei einem potentiellen Arbeitgeber gehören zur Anbahnung eines Beschäftigungsverhältnisses. Personen, die sich bewerben, gelten gemäߧ 26Abs. 8 Satz 2BDSG als Beschäftigte. Kommt nach einer Bewerbung ein Beschäftigungsverhältnis zustande, werden die erforderlichen Bewerbungsunterlagen zur Personalakte genommen.
Bewerbung perE-Mail oder online
Bewerbungen werden sowohl konventionell per Post als auch perE-Mail beziehungsweise auf elektronischen Wegen verschickt.
Bei einem Versand perE-Mail ist zu beachten, dass die Datenübertragung oftmals nicht geschützt ist, so dass eine Verschlüsselung erfolgen sollte. Falls eine Bewerbung perE-Mail möglich ist, muss der Arbeitgeber eine gleichrangige,z.B. eine postalische Bewerbung, zulassen. Die Möglichkeit, sich nur perE-Mail bewerben zu können, reicht damit nicht aus.
Bietet der Arbeitgeber Bewerbungen über Internetplattformen mitOnline-Eingabemasken an, muss die Verarbeitung durch geeignete technische und organisatorische Maßnahmen geschützt werden.
Bewerberinterview per Videoübertragung
Bei Live-Interviews ist zu beachten, dass je nach eingesetzter Technik die Chat-Protokolle auf den Servern des Anbieters zwischengespeichert werden. Es ist die freiwillige Einwilligung nicht nur der Bewerberinnen und Bewerber, sondern auch der Gesprächspartner auf Seiten des Arbeitgebers erforderlich. Für die Bewerber ist die Einwilligung nur dann freiwillig, wenn ihnen auch ein persönliches Gespräch oder ein Telefongespräch als Alternative angeboten werden.
Bei zeitversetzten Interviews werden die Antworten auf eingeblendete Fragen aufgezeichnet und später ausgewertet. Diese Art des Interviews ermöglicht auch die Auswertung non-verbalen Verhaltens oder den Einsatz von Sprachanalyseverfahren. Bei diesen Methoden stellt sich datenschutzrechtlich die Frage der Geeignetheit, Erforderlichkeit und Verhältnismäßigkeit. Außerdem ist besonders auf eine Begrenzung der Zugriffsmöglichkeiten sowie die rechtzeitige Löschung der Aufzeichnung zu achten.
Datenschutzrechtlich zulässige Fragen im Bewerbungsverfahren
Im Bewerbungsverfahren dürfen nur solche Fragen gestellt werden, die für den jeweiligen konkreten Arbeitsplatz von Bedeutung sind. Es dürfen in diesem Zusammenhang also nur Daten verarbeitet werden, an deren wahrheitsgemäßer Beantwortung der Arbeitgeber ein berechtigtes, billigenswertes und schutzwürdiges Interesse hat, so dass Belage des Bewerbers hinter diesen zurücktreten müssen. Es besteht eine umfangreiche arbeitsgerichtliche Rechtsprechung zu dieser Frage. DieDSK hat sich in ihrer Entschließung vom 29. April 2023 dafür ausgesprochen, das Fragerecht der Arbeitgeberinnen und Arbeitgeber an Bewerberinnen und Bewerber in einem Beschäftigtendatenschutzgesetz näher zu regeln.
Soweit dabei der Gesundheitszustand angesprochen wird, muss sich der Arbeitgeber auf Fragen nach wesentlichen Beeinträchtigungen der Leistungsfähigkeit beschränken. Die Fragen sind nur zulässig, wenn die Beantwortung für die Begründung des Beschäftigungsverhältnisses erforderlich ist.
Schwangerschaft
Die Frage nach einer vorliegenden Schwangerschaft ist grundsätzlich unzulässig. Dies ergibt sich gesetzlich bereits aus § 7Abs. 1 in Verbindung mit § 1 Allgemeines Gleichbehandlungsgesetz (AGG). Aus datenschutzrechtlicher Sicht fehlt somit immer die erforderliche Erhebungsbefugnis.
Bestehende Behinderung
Die Frage nach einer bestehenden Behinderung ist ausschließlich dann zulässig, wenn die konkret auszuübende Tätigkeit durch eine Behinderung unmöglich wäre. Der Arbeitgeber darf im Bewerbungsverfahren auch nicht danach fragen, ob die Eigenschaft als schwerbehinderter Mensch festgestellt worden ist. Diese Frage hätte diskriminierenden Charakter.
Einsatz von Künstlicher Intelligenz (KI)
Heutzutage werden im Bewerbungsverfahren vielfach algorithmische Systeme einschließlich künstlicher Intelligenz (KI) eingesetzt. Es fehlen jedoch hinreichende rechtliche Rahmenbedingungen dafür. DieBfDI setzt sich für deren Schaffung ein. Zum Beispiel sollte die Einwilligung grundsätzlich keine Rechtsgrundlage für den Einsatz von Künstlicher Intelligenz im Bewerbungsverfahren bilden. Darüber hinaus sind die Systeme den Bewerbern gegenüber transparent auszugestalten. Ebenso zu beachten ist das Recht auf eine nicht-automatisierte Entscheidung im Sinne desArt. 22Abs. 1DSGVO.
Rückgabebzw. Löschung der Bewerbungsunterlagen
Nach einer erfolglosen Bewerbung müssen Bewerbungsunterlagen grundsätzlich gelöscht beziehungsweise an die Bewerbenden zurückgegeben werden. Dies ergibt sich aus den Grundsätzen der Datenminimierung und Speicherbegrenzung nachArt. 5Abs. 1lit. c) und e) sowie ausArt. 17DSGVO. Sind die Bewerberdaten für die Bewerbungszwecke, für die sie erhoben wurden, nicht mehr erforderlich, sind sie unverzüglich zu löschen (Art. 17Abs. 1lit. a)DSGVO). Der Arbeitgeber darf die Unterlagen und eine Dokumentation über das Bewerbungsverfahren jedoch für einen gewissen Zeitraum aufbewahren, um sich gegen einen etwaigen Verstoß gegen das Benachteiligungsverbot nach demAGG verteidigen zu können. Daher wird eine Aufbewahrung der Bewerbungsunterlagen für maximal sechs Monate für zulässig erachtet.
Die Bewerbungsunterlagen sind deshalb bei einer erfolglosen Bewerbung nach sechs Monaten ab Rücknahme der Bewerbung oder ab Zugang der Ablehnung an den Bewerberinnen und Bewerbern zurückzugeben oder aber zu vernichten.
Für einige Behördenbzw. Laufbahnen wiez.B. die Piloten - oder Kriminalkommissarausbildung gelten bestimmte Zugangsvoraussetzungen,u.a. maximal zwei zulässige Bewerbungen. In diesen Fällen dürfen sogenannte Kopf- oder Rumpfdaten solange aufbewahrt werden, bisz.B. aus Altersgründen eine Bewerbung nicht mehr zulässig ist, um Wiederbewerbungen erkennen zu können.
Umgang mit Bewerbungsdaten in besonderen Fällen
Das Institut für Luft- und Raumfahrtmedizin des Deutschen Luft- und Raumfahrtzentrums (DLR) in Hamburg führt für verschiedene Arbeitgeber aus dem Bereich Luftfahrt psychologische Auswahluntersuchungen durch.
Sogenannte Kopfdaten (Name, Geburtsdatum, Untersuchungsdatum, Untersuchungsanlass und Gesamtergebnis) von Bewerbern speichert dasDLR bis zum Erreichen des Renteneintrittsalters. Dies ist datenschutzrechtlich zulässig, da die Kopfdaten auch nach dem Auswahlverfahren benötigt werden, um erneute Bewerbungen erkennen und Auswahluntersuchungen sodann auf etwaige Trainingseffekte kontrollieren zu können. DasDLR schützt hiermit das Interesse der gesamten Bevölkerung an der Luftverkehrssicherheit und damit an einem hohen Ausbildungsstand von beispielsweise Luftfahrzeugführenden und Flugsicherungspersonal. Das Recht auf informationelle Selbstbestimmung der Bewerbenden muss hinter diesem allgemeinen Interesse zurückstehen.
Das Auskunftsrecht derDSGVO gilt also hier nicht uneingeschränkt.
Darf die Bundeswehr einem Jugendlichen oder einer Jugendlichen ungefragt Werbung zur Rekrutierung zusenden?
Nach§ 58c des Soldatengesetzes (SG) übermitteln die Meldebehörden dem Bundesamt für das Personalwesen der Bundeswehr (BAPersBw) den Namen und die gegenwärtige Adresse aller Personen mit deutscher Staatsangehörigkeit, die im darauffolgenden Jahr 18 Jahre alt werden. DasBAPersBw darf diese Daten nur dazu verwenden, Informationsmaterial über Tätigkeiten in den Streitkräften zu versenden. Für diese Datenverarbeitung liegt somit eine Rechtsgrundlage vor.
Ich rate Betroffenen, wenn eine solche Werbung nicht erwünscht ist, der Datenübermittlung bei den Meldebehörden zu widersprechen. Liegt ein solcher Widerspruch vor, ist eine Übermittlung der Kontaktdaten an dasBAPersBw unzulässig. Hat die Übermittlung von der Meldebehörde an das Bundesamt bereits stattgefunden, rate ich den betroffenen Personen, die Löschung ihrer Daten beim Bundesamt zu beantragen, wenn sie keine Werbung erhalten wollen. Da es sich um die Ausübung von persönlichen Datenschutzrechten handelt, müssen diese direkt gegenüber dem Verantwortlichen geltend gemacht werden.
Umgang mit Personaldaten
Was ist beim Umgang mit Personalakten zu beachten?
Für die Beschäftigten im öffentlichen Dienst sind Personalakten zu führen. Zur Personalakte gehören alle Daten, welche die Beschäftigten betreffen, soweit sie mit dem Beschäftigungsverhältnis unmittelbar zusammenhängen (Personalaktendaten). Regelungen über den datenschutzgerechten Umgang mit Personalaktendaten finden sich vor allem in§§ 106 ff.BBG. Soweit in Tarifverträgen keine speziellen Vorschriften enthalten sind, werden die beamtenrechtlichen Regelungen auch für Tarifbeschäftigte angewendet. Für Soldaten gelten die§§ 29ff des Soldatengesetzes. Die gesetzlichen Bestimmungen werden in Personalaktenrichtlinienz.B. desBMI konkretisiert.
Zu den Personalaktendaten gehören auch die Daten, die in Dateien (z.B. in einem Personalinformationssystem) gespeichert sind.
Grundsätze
Beim Umgang mit Personalakten sind insbesondere folgende Grundsätze zu beachten:
- Die Personalakten müssen vollständig sein.
- Für jeden Beschäftigten darf nur eine Personalakte geführt werden, die aus mehreren Teilakten bestehen kann. Inoffizielle Akten, wie sie häufig durch Vorgesetzte geführt werden, sind unzulässig!
- Personalaktendaten dürfen nur für Zwecke der Personalverwaltung oder der Personalwirtschaft verwendet werden.
- Die Personalakten sind so aufzubewahren, dass ein Zugang durch Unberechtigte ausgeschlossen wird.
- Zugang zu Personalakten dürfen nur solche Beschäftigte haben, die im Rahmen der Personalverwaltung mit der Bearbeitung von Personalangelegenheiten befasst sind.
- Beschäftigte haben einen Anspruch auf Einsicht in ihre vollständige Personalakte. Es dürfen Auszüge, Abschriften oder Ablichtungen gefertigt werden. Ausdrucke aus Personalinformationssystemen sind gleichfalls möglich. Das Einsichtsrecht ist Teil des umfassenderen Auskunftsrechts gemäßArt. 15DSGVO.
- Personalakten dürfen nur mit Einwilligung derbzw. des Beschäftigten an andere Behörden übersandt werden. Ausnahmen hiervon sind gesetzlich geregelt (z.B. § 111Abs. 1BBG, § 29Abs. 1BDG).
Was ist beim Einsatz von Personalinformations- und Personalverwaltungssystemen zu beachten?
In der Personalverwaltung werden elektronische oderIT-gestützte Personalinformations-/ Personalverwaltungssysteme eingesetzt. In solchen Systemen ist eine Fülle von Informationen über die Beschäftigten hinterlegt. Je nach Einzelfall können oder müssen einige der Daten aufgrund entsprechender gesetzlicher Regelungen vom Arbeitgeber an andere Stellen – beispielsweise an Sozialversicherungsträger – weitergegeben werden.
Zugriffsberechtigungen
Die Zugriffsberechtigung für die in einem Personalinformations-/Personalverwaltungssystem gespeicherten personenbezogenen Daten ist streng reglementiert.
Grundsätzlich dürfen nur die mit der Bearbeitung von Personalangelegenheiten beauftragten Beschäftigten Zugriff nehmen und zwar nur, soweit dies zu Zwecken der Personalverwaltung oder Personalwirtschaft erforderlich ist.
Den Gleichstellungsbeauftragten hat der Gesetzgeber den Zugang zu entscheidungsrelevanten Teilen der Personalakte und damit auch auf die automatisiert gespeicherten Personalaktendaten eingeräumt. Dies gilt jedoch nur, soweit der Zugang zur Wahrnehmung von Aufgaben nach dem Bundesgleichstellungsgesetz erforderlich ist. Welche Personalaktendaten hiervon konkret betroffen sind, muss – gegebenenfalls im Einzelfall – nachvollziehbar dargelegt werden. Losgelöst vom jeweiligen Einzelvorgang kann es zur Aufgabenerfüllung der Gleichstellungsbeauftragten erforderlich sein, dieser einen eingeschränkten Lesezugriff auf den Stammdatensatz in einem Personalverwaltungs-/ Personalinformationssystem einzuräumen. Dies setzt jedoch eine konkrete Festlegung der einzelnen Datenfelder voraus und sollte auch entsprechend dokumentiert werden.
Für die Personalvertretung gibt es kein eigenes Recht auf Zugang zur Personalakte oder auf automatisiert gespeicherte Beschäftigtendaten. Nach Rechtsauffassung derBfDI können dem Personalrat jedoch ebenfalls bestimmte Grunddaten zur Verfügung gestellt werden, die dieser im Rahmen seines generellen Informationsanspruchs und zur sachgemäßen Aufgabenerfüllung, insbesondere zur Wahrnehmung seiner Beteiligungsrechte nach dem Bundespersonalvertretungsgesetz benötigt.
Löschfristen
Für Personalaktendaten gelten unterschiedliche Löschfristen. Sie ergeben sich aus den einschlägigen Rechtsvorschriften und sind insbesondere bei der Erstellung von Personalaktenrichtlinien und bei der Programmierung elektronischer Personalinformationssysteme zu berücksichtigen. Die Beachtung und Umsetzung der Löschfristen ist durch Löschkonzepte und Löschroutinen sicherzustellen. Es empfiehlt sich, die Löschung bereits bei der Struktur der Personalakte zu berücksichtigen.
Was muss der Arbeitgeber im Umgang mit Gesundheitsdaten beachten?
Gesundheitsdaten gehören zu den Daten besonderer Kategoriegem.Art. 9DSGVO. Ihre Verarbeitung ist nur unter bestimmten Bedingungen erlaubt. Im Zusammenhang mit einem Beschäftigungsverhältnis sind dies vor allem Fälle, in denen die Verarbeitung von Gesundheitsdaten zur Ausübung von Rechten und Pflichten, die aus einer Erkrankungbzw. auch aus einer Schwerbehinderung entstehen, erforderlich ist. Dies können Rechte und Pflichten sowohl der Beschäftigten als auch des Arbeitgebers sein.
Zu den Gesundheitsdaten gehörenz.B. Gesundheitszeugnisse und ärztliche Stellungnahmen zur gesundheitlichen Eignung. Das Ergebnis wird in einem gesonderten und versiegelten Umschlag übersandt und versiegelt zur Personalakte genommen.
Krankheit und Krankmeldung
Die Erfassung einer Dienst- oder Arbeitsunfähigkeit wegen Krankheit hat verschiedene Aspekte.
Erforderlich und damit datenschutzrechtlich zulässig ist sie zur Erfüllung gesetzlicher Vorschriften,z.B. zur Errechnung der Dauer der Lohnfortzahlung oder zur Unterbreitung eines Angebots für eine Maßnahme des betrieblichen Eingliederungsmanagements (BEM). Diese Aufgaben obliegen dem Arbeitgeber, so dass ausschließlich die Personalverwaltung die Datenverarbeitung zu diesem Zweck vornehmen darf und muss.
Soweit ärztliche Bescheinigungen über eine Arbeitsunfähigkeit wegen Erkrankung noch in Papierform ausgestellt werden, sollten sie grundsätzlich unmittelbar der Personalverwaltung zugeleitet werden. Dasselbe gilt für kurzzeitige Krankmeldungen ohne ärztliches Attest.
Dem stehen allerdings häufig die Interessen der vorgesetzten Person undggf. des Teams entgegen, dem die erkrankte Person angehört. Die Abwesenheit mussz.B. durch Umverteilung der Arbeit auf anwesende Beschäftigte oder eine andere Prioritätensetzung aufgefangen werden. Insoweit hält dieBfDI es datenschutzrechtlich für zulässig, wenn eine Mitteilung über die Abwesenheit an den Arbeitsbereich erfolgt, um dort die Aufgabenerledigung zu planen. Für die Einsatzplanung ist die Kenntnis über die Abwesenheit erforderlich. Die Angabe eines Abwesenheitsgrunds ist hingegen nicht erforderlich.
Wenn die krankheitsbedingte Abwesenheit in eine Abwesenheitsliste eingetragen werden soll, hält dieBfDI es für zulässig und ausreichend, wennz.B. ein Kürzel wie „p.a.“ = „persönlich abwesend“ in den Übersichten erfasst wird.
Die Übersichten sind zu löschen, wenn sie nicht mehr erforderlich sind. Hierbei betrachtet dieBfDI grundsätzlich einen Zeitraum von einem Jahr nach Ablauf des Kalenderjahres, für das die Abwesenheiten notiert wurden, als angemessen.
Für unzulässig erachtet dieBfDI außerdem Aufzeichnungen innerhalb der Arbeitseinheit, die einen Überblick über die Dauer der krankheitsbedingten Abwesenheit (auch wegen Mutterschutz) in der Vergangenheit erlauben.
Krankenstatistik
Auch für übergreifende statistische Auswertungen ist die Verarbeitung von Fehlzeiten wegen Krankheit durch die Personalverwaltung von Bedeutung. Aus datenschutzrechtlicher Sicht geht es – wie bei jeder Veröffentlichung von Beschäftigtendaten - darum, das Persönlichkeitsrecht der einzelnen Beschäftigten zu wahren. Für die Statistik bedeutet dies vor allem, dass weder einzelne Beschäftigte namentlich genannt werden, noch dass aufgrund besonderer Umstände oder wegen zu geringer Fallzahlen Rückschlüsse auf einzelne Personen möglich sind.
Welche Daten darf der Arbeitgeber im Rahmen des Betrieblichen Eingliederungsmanagements (BEM) verarbeiten?
DasBEM ist ein Instrument, um Beschäftigte mit längeren Arbeitsunfähigkeitszeiten den Wiedereinstieg in das Arbeitsleben zu erleichtern. Das Verfahren verfolgt den Zweck, die Ursachen von Arbeitsunfähigkeit zu ergründen und gemeinsam nach einer Möglichkeit zu suchen, künftige Arbeitsunfähigkeitszeiten zu vermeiden oder zu verringern.
In dem Verfahren werden regelmäßig Daten über Erkrankungen als sensible Daten im Sinne desArt. 9DSGVO verarbeitet. Dies darf gemäߧ 167Abs. 2 Sozialgesetzbuch Neuntes Buch (SGBIX) nur auf der Grundlage einer vorherigen, informierten und freiwilligen Zustimmung der oder des Beschäftigten erfolgen. Dazu gehört, dass der Arbeitgeber zuvor darüber informiert, welche konkreten personenbezogenen Daten von wem und für welchen Zweck verwendet werden.
In Erfüllung seiner Verpflichtung aus § 167Abs. 2SGBIX schickt der Arbeitgeber Beschäftigten, die innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig sind, regelmäßig ein sogenanntes Einladungsschreiben zumBEM zu. Da die zuständigen Interessensvertretungen (z. B. der Personalrat) und bei schwerbehinderten Menschen auch die Schwerbehindertenvertretungen einzubinden sind, ist es zulässig, wenn der Arbeitgeber diese über das Einladungsschreiben an die betroffene Person informiert. Für eine standardmäßige Übermittlung von personenbezogenen Daten im Zusammenhang mit demBEM an die Gleichstellungsbeauftragte gibt es jedoch keine Rechtsgrundlage.
Sofern die betroffene Person die mit dem Einladungsschreiben regelmäßig übersandte Einwilligungserklärung für Datenverarbeitung zunächst nicht abgeben möchte, darf der Arbeitgeber nicht allein deshalb von der Einleitung desBEM absehen. Wenn die betroffene Person zur Teilnahme amBEM bereit ist, sollte der Arbeitgeber in diesem Fall im Gespräch den möglichen Verfahrensablauf aufzeigen und versuchen, etwaige Vorbehalte auszuräumen. Im Rahmen des durchzuführenden Suchprozesses sollte geprüft und erörtert werden, ob undggf. welche personenbezogenen Angaben etwa über den Gesundheitszustand voraussichtlich erforderlich sind und auf welche Weise diese rechtskonform zu erheben und verarbeiten sind, um die Arbeitsunfähigkeitszeiten zu verringern. Nur wenn der oder die Beschäftigte im Fortgang des Suchprozesses nicht bereit ist, konstruktiv mitzuwirken, kann eine Berechtigung zur Beendigung desBEM für den Arbeitgeber bestehen.
Wie ist mit der Eigenschaft als schwerbehinderter Mensch umzugehen?
Bei der Schwerbehinderteneigenschaft muss differenziert werden. Grundsätzlich muss der Beschäftigte seine Anerkennung als schwerbehinderter Mensch oder eine Gleichstellung nicht offenbaren.
Im Bewerbungsverfahren können die Betroffenen frei entscheiden, ob sie ihre Eigenschaft als schwerbehinderter Mensch angeben. Im Personalfragebogen ist die Beantwortung entsprechender Fragen ausdrücklich als freiwillig zu kennzeichnen. Zu beachten ist hier aber, dass eine Behinderungggf. ungefragt anzugeben ist, wenn sie ihrer Art nach die Ausübung der angestrebten Tätigkeit beeinträchtigt.
Im Beschäftigungsverhältnis können die Betroffenen ebenfalls entscheiden, ob sie dem Arbeitgeber eine Anerkennung als schwerbehinderter Mensch offenbaren. Nachteilsausgleiche aufgrund der Schwerbehinderung wiez.B. der Zusatzurlaub können jedoch nur bei entsprechendem Nachweis gewährt werden.
In einem bestehenden Beschäftigungsverhältnis wird eine Frage des Arbeitgebers nach der Schwerbehinderteneigenschaft für zulässig erachtet, wenn die Zeit bis zum Erreichen des besonderen Kündigungsschutzes abgelaufen ist. Denn mit dem Schwerbehindertenstatus treten besondere Rechtsfolgen für das Arbeitsverhältnis ein.
Was ist bei der Weitergabe und Veröffentlichung von Beschäftigtendaten zu beachten?
Bei Veröffentlichungen in Hausmitteilungen oder im Intranet von Behörden müssen das Personalaktengeheimnis und der Beschäftigtendatenschutz beachtet werden.
Gegen eine Veröffentlichung von personenbezogenen Beschäftigtendaten bestehen keine Bedenken, soweit die Bekanntgabe zur Durchführung des Dienstbetriebes notwendig ist. Hierzu zählen sogenannte Organisations- und Funktionsangaben wie beispielsweise Name, Dienstzimmer, Funktionsbezeichnungenbzw. -übertragungen und Organisationseinheit.
Gehaltslisten
Listen über das Gehalt namentlich genannter Beschäftigter dürfen nicht veröffentlicht werden. Personalvertretungen haben jedoch im Rahmen ihrer Überwachungsaufgabe sowie nach dem Entgelttransparenzgesetz einen Informationsanspruch.
Prämienzahlungen
Eine personenbezogene Veröffentlichung von Entscheidungen im Rahmen der Leistungsbezahlung darf in Hausmitteilungen oder im Intranet nur mit Einwilligung der betroffenen Beschäftigten erfolgen.
Dürfen Beurteilungsnoten als Notenspiegel im Intranet veröffentlicht werden?
Beurteilungsnoten sind Personalaktendaten. Personalaktendaten unterliegen dem Personalaktengeheimnis und dürfen grundsätzlich nur für Zwecke der Personalverwaltung oder Personalwirtschaft verwendet werden. Eine Bekanntgabe von Beurteilungsnoten, die Rückschlüsse auf einen Beamten zulassen, verstößt gegen das Personalaktengeheimnis. Deshalb lässt§ 50Abs. 4 Bundeslaufbahnverordnung (BLV) die Bekanntgabe der Beurteilungsnoten in Form eines Notenspiegels aufgeschlüsselt nach dem Anteil der Frauen, Männer, Teilzeit- und Telearbeitskräfte nur dann zu, wenn die Anonymität der Beurteilten gewahrt bleibt.
Geburtstagslisten/Altersangaben
Der Geburtstag oder das Alter mag zwar im Kollegenkreis oft genug bekannt sein. Das rechtfertigt jedoch nicht, das Personalaktendatum „Geburtstag“ durch den Arbeitgeber öffentlich zu machen. Im Zusammenhang mit Veröffentlichungen zu Jubiläen, Ehrungen und Auszeichnungen müssen die Betroffenen um ihre Einwilligung gebeten werden. Geburtstagslisten sollten auch nicht durch andere Beschäftigte,z.B. durch Aushang in allgemein genutzten Räumen, veröffentlicht werden.
Fotos
Fotos mögenu.a. für die Ausstellung von Dienstausweisen, insoweit also für die Durchführung des Beschäftigungsverhältnisses, erforderlich sein. Dies trifft aber auf eine Veröffentlichungz.B. im Intranet einer Behörde nicht zu und ist deshalb nur mit Einwilligung der Betroffenen zulässig. Bei der Veröffentlichung von Fotos ist neben dem Datenschutz auch das im Kunsturheberrechtsgesetz verankerte „Recht am eigenen Bild“ zu beachten.
Private Adressen/Telefonnummern
Die Personalverwaltung darf die private Adresse oder – soweit bekannt – Telefonnummer einer/eines Beschäftigten nicht an Vorgesetzte, die Personalvertretung oder Kolleginnen und Kollegen herausgeben. Für die Schwerbehindertenvertretung ist dies im konkreten Einzelfall unter Berücksichtigung der einschlägigen Rechtsprechung zu prüfen. Sollen Glückwunschkarten oder Genesungsschreiben an einen abwesenden Beschäftigten verschickt werden, empfehle ich, das Schreiben der Personalverwaltung zu geben und sie zu bitten, es mit der Anschrift zu versehen und abzuschicken.
Welchen Zugriff haben Vorgesetzte auf Beschäftigtendaten?
Die Führung von Unterlagen zu einzelnen Beschäftigten – unabhängig davon, ob dies in automatisierter oder in manueller Form erfolgt – ist grundsätzlich Aufgabe der Personalabteilung. Demnach haben Fachvorgesetzte keinen Zugang zu Personalaktendaten ihrer Mitarbeitenden. Ebenso dürfen in den Fachabteilungen keine Personalteil- oder Personalnebenakten geführt werden.
Jedoch dürfen Vorgesetzte im Rahmen ihrer Führungsaufgabe personenbezogene Daten ihrer Mitarbeitenden verarbeiten, wenn dies für die folgenden Zwecke erforderlich ist:
Arbeitsorganisation und personelle Führung
Aus datenschutzrechtlicher Sicht bestehen keine Bedenken dagegen, wenn Vorgesetzte personenbezogene Angaben zu ihren Mitarbeitenden nutzen, soweit dies für die organisatorische und personelle Führung der jeweiligen Organisationseinheit erforderlich ist. So kann die Leitung einer Organisationseinheit im Hinblick auf die Steuerung der Aufgabenerledigung beispielsweise einer Person erteilten Arbeitsaufträge und terminliche Vorgaben schriftlich festhalten.
Abwesenheitslisten
Zu den organisatorischen Aufgaben einerbzw. eines Vorgesetzten gehört auch die Führung eines Abwesenheits- und Urlaubsplanes. Es bestehen keine datenschutzrechtlichen Bedenken dagegen, wenn sich Fachvorgesetzte Angaben über geplante Abwesenheitszeiten für einen gewissen Zeitraum – zum Beispiel das Urlaubsjahr – notieren, um so die Funktionsfähigkeit ihrer Organisationseinheit im Hinblick auf Abwesenheitszeiten von Beschäftigten steuern und sicherstellen zu können.
Wichtig: Die zur Arbeitsorganisation und zur personellen Führung genutzten Beschäftigtendaten bei den Vorgesetzten sind zu löschen, wenn sie für deren konkrete Aufgabenerfüllung nicht mehr erforderlich sind.
Insbesondere wenn der An- oder Abwesenheitsplan innerhalb einer Organisationseinheit auch von allen Beschäftigten eingesehen werden kann, ist darauf zu achten, dass die Abwesenheitsgründe, insbesondere krankheitsbedingte, nicht als solche erkennbar sind. Persönlich bedingte Abwesenheit (neben Krankheit zum Beispiel auch Urlaub, Gleittage, Freistellung) sollte ohne Angabe des Grundesz.B. mit „persönlich abwesend“ ausgewiesen werden. Diese Daten sollten regelmäßig ein Jahr nach Ablauf des vorherigen Kalenderjahres gelöscht werden.
Beurteilungsdaten
Außer Frage steht, dass Vorgesetzte im Entwurfsstadium von Beurteilungen Daten der Beschäftigten nutzen und entsprechende Entwürfe – allerdings ohne einen Rückgriff auf frühere Beurteilungen – erstellen dürfen.
Ebenso ist es zulässig, im Hinblick auf die künftige Beurteilung von Beschäftigten hierfür erforderliche Angaben als Gedächtnisstütze aufzuschreiben. Dies erstreckt sich jedoch ausschließlich auf persönliche Notizen. Im Falle einer innerdienstlichen Weitergabe sind diese Notizen als dienstliche Aufzeichnungen anzusehen und zumindest bis nach Abschluss des Beurteilungsverfahrens ordnungsgemäß zu verakten. Nach Abschluss des Beurteilungsverfahrens sind die eröffneten Beurteilungen in die Personalakte aufzunehmen. Diese unterliegen dem Personalaktengeheimnis und dürfen – auch in Ablichtungen – bei Fachvorgesetzten nicht weiter aufbewahrt werden. Dasselbe gilt für etwaige Entwurfsfassungen – sei es in elektronischer oder in Papierform. Dementsprechend sind Entwürfe und vorbereitende Notizen zu löschen.
Gremienarbeit und Datenschutz
Welcher Datenschutz gilt im Personalratsbüro?
Für die Datenverarbeitung durch den Personalrat hat dieBfDI einenLeitfaden herausgegeben, der detaillierte Ausführungen zu diesem Thema enthält.
Generell gilt, dass die Personalvertretung personenbezogene Daten verarbeiten darf, soweit dies zur Ausübung oder Erfüllung ihrer Rechte und Pflichten erforderlich ist, welche sich aus einem Gesetz, einem Tarifvertrag oder einer Betriebs- oder Dienstvereinbarung ergeben.
Verantwortlichkeit
Die Dienststelle bleibt Verantwortlicher im Sinne vonArt. 4Nr. 7DSGVO. Das stellt auch§ 69S. 2 Bundespersonalvertretungsgesetz (BPersVG) klar. Der nachfolgende Satz 3 gibt Dienststelle und Personalrat jedoch auf, sich bei der Wahrung des Datenschutzes gegenseitig zu unterstützen. Gleichwohl trifft den Personalrat als unabhängige Institution des Personalvertretungsrechts innerhalb der Dienststelle eine Verantwortung für eine rechtmäßige Verarbeitung der bei ihm aufkommenden personenbezogenen Daten.
Kontrolle durch den behördlichen Datenschutzbeauftragten
Anders als vor Anwendung derDSGVO besteht auch ein Kontrollrecht der oder des behördlichen Datenschutzbeauftragten gegenüber dem Personalrat. Denn es kann gemäß derDSGVO keine kontrollfreien Räume geben.
Datenverarbeitung im Personalrat
Die eigenständige Sicherstellung einer rechtmäßigen Datenverarbeitung trifft den Personalrat sowohl als Gremium wie auch seine Mitglieder.
Im Personalrat dürfen die personenbezogenen Daten der Beschäftigten solange verarbeitet werden, wie dies für die konkrete Ausübung des Beteiligungsrechts erforderlich ist. Ist der Beteiligungsfall (Einstellung, Eingruppierung, Beförderungusw.) erledigt, ist auch die Datenverarbeitung zu beenden. Die Daten sind also zu löschen.
Längere Aufbewahrungsfristen können gerechtfertigt sein, wenn sich dies aus einem Gesetz ergibt oder ein Vorgang rechtliche Folgewirkungen hat. Das gilt in der Regel für die Niederschriften/Protokolle der Personalratssitzungen. Sie haben den Charakter von Privaturkunden im Sinne des § 426ZPO und sind über die Amtszeit eines Personalrates hinaus aufzubewahren. Im Sinne der Datensparsamkeit sollten die Protokolle nur die unabdingbar notwendigen personenbezogenen Daten enthalten.
Auch Personallisten mit Stammdaten, die der Personalrat dauerhaft benötigt und die ihm regelmäßig von der Dienststelle zur Verfügung gestellt werden, müssen nicht sofort nach Einsichtnahme gelöscht werden. Vielmehr muss der Personalrat in eigener Zuständigkeit prüfen, wie lange die Liste erforderlich ist und wann,z. B. nach Zweckerfüllung und/oder Aktualisierung durch die Dienststelle, sie zu löschen ist.
Welcher Datenschutz gilt in der Schwerbehindertenvertretung?
Die Schwerbehindertenvertretung ist eng mit dem Beschäftigungsverhältnis verbunden, denn die Wahl einer Vertrauensperson hängt von der Anzahl schwerbehinderter Menschen in einem Betrieb oder einer Dienststelle ab. Die Aufgaben der Schwerbehindertenvertretung werden in§ 178SGBIX beschrieben und können als Vertretung der Interessen der schwerbehinderten Menschen zusammengefasst werden. Für den Datenschutz im Sozialrecht gelten spezielle Regelungen, die sich in§§ 67ffSGBX finden.
Generell gilt auch für die Schwerbehindertenvertretung, dass eine Rechtsgrundlage für die Datenverarbeitung erforderlich ist. Rechtsgrundlagen können gesetzliche Vorschriften sein aber auch Dienst- oder Betriebsvereinbarungen. Liegt keine Rechtsgrundlage vor, muss eine Einwilligung der betroffenen Person für die Datenverarbeitung eingeholt werden.
Die Verantwortlichkeit für eine rechtmäßige Datenverarbeitung in der Schwerbehindertenvertretung ist nicht spezialgesetzlich geregelt. Nach Auffassung derBfDI ist sie nicht Verantwortlicher im Sinne vonArt. 4Nr. 7DSGVO. Das bleibt die Dienststelle. Aufgrund der besonderen Stellung der Schwerbehindertenvertretung muss sie aber dafür Sorge tragen, mit den ihr anvertrauten Daten rechtmäßig umzugehen.
Es dürfen nur Daten verarbeitet,d.h. erhoben, gespeichert und übermittelt, werden, die für die Erfüllung der gesetzlichen Aufgaben der Schwerbehindertenvertretung erforderlich sind. Die Daten müssen vor unbefugtem Zugriff gesichert sein.
Welche Rolle spielen Dienst- und Betriebsvereinbarungen beim Beschäftigtendatenschutz?
Dienst-bzw. Betriebsvereinbarungen sind schriftliche Übereinkünfte zwischen Betriebs-/Personalrat und Arbeitgeber. Sie sind Kollektivvereinbarungen im Sinne vonArt. 88DSGVO und dürfen – solange sie das Schutzniveau derDSGVO nicht unterschreiten – auch konkretisierende Regelungen zum Datenschutz treffen. Wichtig ist die Beachtung des Schutzniveaus derDSGVO. Dies ist nicht verhandelbar, so dass selbst eine nach demBPersVG verfahrensfehlerfrei zustande gekommene Dienstvereinbarung für sich genommen keine eigenständige Grundlage für Datenverarbeitungen sein kann. Die Vereinbarungen können auch konkretisierende Regelungen zu besonderen Kategorien personenbezogener Daten beinhalten.
Bei der Verhandlung oder vor dem Abschluss sollte die oder der behördliche Datenschutzbeauftragte eingebunden werden.
Datenschutzrechtlich sind Dienst- oder Betriebsvereinbarungen von Bedeutung, weil sie eine Konkretisierung einer Erlaubnis- oder Verbotsnorm für die geregelte Datenverarbeitung darstellen können, aus der sich unmittelbare Rechte der Beschäftigten ergeben können.
In der Praxis spielen Kollektivvereinbarungen zum Beispiel bei Zeiterfassungssystemen, Videokameras, Personalinformationssystemen, Telefonanlagen oder Aktenverwaltungssystemen eine Rolle. Auch Dienstvereinbarungen zur privaten Nutzung von Internet undE-Mail am Arbeitsplatz können die Verarbeitung von Beschäftigtendaten regeln.
Weitere Themen
Was ist bei der Nutzung des Internets am Arbeitsplatz zu beachten?
Soweit die Nutzung des Internets am dienstlichenPC erlaubt wird oder sogar erforderlich ist, werden dabei personenbezogene Daten verarbeitet.
Bei dieser Datenverarbeitung und ihrer Kontrolle durch den Arbeitgeber sind das Recht der Beschäftigten auf informationelle Selbstbestimmung und das Interesse des Arbeitgebers an der Einhaltung der Verhaltensmaßgaben gegeneinander abzuwägen. Arbeitgeber haben ein berechtigtes Interesse daran, Missbrauch oder gar strafbare Handlungen bei der Nutzung des dienstlichen Internetzugangs zu unterbinden.
Der Arbeitgeber darf deshalb das Surfverhalten seiner Beschäftigten kontrollieren. Eine Totalüberwachung des Surfverhaltens ist unverhältnismäßig und daher unzulässig. Aber eine zeitnahe Auswertung der Protokolldaten sei es als Stichprobe oderggf. im Zusammenhang mit einem konkreten Missbrauchsverdacht ist zulässig.
Die Kontrolle der Surf-Aktivitäten der Beschäftigten ist übersog. Systemprotokolle möglich. Die Protokolle dienen der Datenschutzkontrolle, der Datensicherheit, der Sicherheit des ordnungsgemäßen Betriebs undggf. der Abrechnung. Anhand der Protokolle ist nachvollziehbar, wer was gelesen hat.
Es wird empfohlen für die Nutzung des Internets am Arbeitsplatz eine Dienstvereinbarung unter Beteiligung der oder des behördlichen Datenschutzbeauftragten abzuschließen. Darin können die konkreten Bedingungen für die Internetnutzung am Arbeitsplatz festgelegt werden – sowohl hinsichtlich der Kontrollbefugnis des Arbeitgebers als auch der Nutzungsbedingungen für die Beschäftigten.
Zur Kontrollbefugnis des Arbeitgebers ist in der Dienstvereinbarung Folgendes zu regeln:
- Zu welchen genau definierten Zwecken werden die Protokolldaten verwendet (z. B. Aufrechterhaltung der Systemsicherheit, Analyse und Korrektur technischer Fehler)?
- Was wird konkret protokolliert (z. B. Datum, Uhrzeit, Anzahl der übertragenen Bytes, Rechner oder Benutzeridentifikation,ggf. Zieladresse des angeforderten Dokuments, Fehlercode der Übertragung)?
- Wer hat Zugriff auf die Protokolldaten? Der Zugriff muss auf das technische Personal, das für den Netzbetrieb zuständig ist, begrenzt bleiben. Diese Personen sind zu verpflichten, die Zweckbindung und die Vertraulichkeit zu beachten.
- Wie lange werden die Protokolldaten gespeichert? Dabei ist die Speicherdauer so kurz zu halten, wie dies zur Erfüllung der Zwecke erforderlich ist,d. h. wenige Tage.
- Welches Verfahren findet im Falle eines konkreten Verdachts auf Missbrauch oder eine strafbare Handlung Anwendung (z. B. eine weitergehende Einsicht in die Protokolldaten)? Es empfiehlt sich, ein Verfahren festzulegen, bei dem die betroffene Person von dem Verdacht in Kenntnis gesetzt wird und der behördliche Datenschutzbeauftragte sowie die Personalvertretung einbezogen werden.
Für die Nutzungsbedingungen der Beschäftigten sind festzulegen:
- Verhaltensgrundsätze,
- Erlaubnis zur privaten Nutzung zusätzlich zur dienstlichen Nutzung, soweit der Arbeitgeber die private Nutzung erlauben möchte,
- Zustimmung der Beschäftigten zu den definierten Kontrollen im Falle einer erlaubten privaten Nutzung. Es empfiehlt sich, einen Vordruck für die Zustimmung als Anlage zur Dienstvereinbarung zu nehmen. Ohne Zustimmung des Beschäftigten zu definierten Kontrollen muss die private Nutzung des Internets unterbleiben.
Weitere Informationen zu diesem Thema finden Sie auch in der BroschüreInfo 5 derBfDI.
Ist Videoüberwachung am Arbeitsplatz zulässig?
DieVideoüberwachungvon Beschäftigten durch den Arbeitgeber stellt einen schwerwiegenden Eingriff in das allgemeine Persönlichkeitsrecht dar. Eine anlasslose Videoüberwachung „ins Blaue hinein“ ist in aller Regel unzulässig. Grundsätzlich unzulässig ist auch eine Videoüberwachung im Sinne einer Leistungskontrolle der Beschäftigten.
Eine Videoüberwachung von Beschäftigten ist nur in streng begrenztem Rahmen zulässig. Entsprechend der Schwere des Eingriffs müssen einer Videoüberwachung erhebliche schutzwürdige Interessen des Arbeitgebers gegenüberstehen,z.B. wenn ein konkreter Verdacht einer strafbaren Handlung vorliegt.
Bei einer Videoüberwachung – beispielsweise zum Schutze der Beschäftigten oder zum Schutz von Gebäuden und Grundstücken – muss auf diese Überwachung sichtbar hingewiesen werden. Falls die Aufnahmen gespeichert werden, ist der Hinweis entsprechend zu ergänzen. Insofern gelten die allgemeinen Transparenz- und Informationspflichten derDSGVO.
Rechtmäßig aufgezeichnete Daten dürfen solange gespeichert werden, wie eine Rechtsverfolgung durch den Arbeitgeber noch möglich ist. Diese Speicherdauer wird eingeräumt, weil anderenfalls der Arbeitgeber gehalten wäre, das gesamte Material umgehend, vollständig und vor allem anlasslos auszuwerten. Eine solche anlasslose Auswertung stellt dagegen im Ergebnis einen schwerwiegenderen Eingriff in die Rechte der Beschäftigten dar als eine Speicherung für längere Zeit. Grundvoraussetzung ist allerdings, dass die ursprüngliche Aufzeichnung zulässig war. Andernfalls kann auch die nachfolgende Speicherungbzw. Verwertung nicht zulässig sein.
Was ist bei Befragungen der Beschäftigten zu beachten?
Eine Befragung der Beschäftigten ist ein beliebtes Instrument, um an Informationen über Betriebsklima und Arbeitszufriedenheit zu gelangen. Dabei muss die Anonymität gewährleistet werden. Eine nachträgliche Zuordnung der Antworten zu einzelnen Beschäftigten verbietet sich.
Eine Befragung von Beschäftigten ist nur auf freiwilliger Basis (Einwilligung) möglich. Die für eine wirksame Einwilligung erforderliche Hinweis auf die Freiwilligkeit sollte in den Erhebungsbogen selbst mit aufgenommen werden und sollte dort besonders hervorgehoben werden.
Es besteht keine Verpflichtung zur Teilnahme. Im Vorfeld sollte der Arbeitgeber deshalb über die folgenden Punkte informieren:
- Gegenstand, Zweck und Ablauf der Befragung,
- durch wen und für wen die Daten erhoben werden,
- welche Auswertungen konkret vorgesehen sind.
Die Planung und Durchführung einer Befragung von Beschäftigten sollte unter Einbindung der oder des behördlichen Datenschutzbeauftragten erfolgen.
Kontaktfinder
Hier finden Sie in wenigen Klicks heraus, wer für Ihre Anfrage oder Beschwerde zum Datenschutz zuständig ist.
Zusatzinformationen
Publikationen und Downloads
- Zur Detailansicht der Publikation Handlungsempfehlung an öffentliche Stellen des Bundes zu Auskunftsersuchen im Beschäftigtendatenschutz(Publikation kann heruntergeladen oder in den Warenkorb gelegt werden)
- Leitfaden zur Datenverarbeitung im Personalrat (PDF, 279KB, Datei ist barrierefrei ⁄ barrierearm)
- Das Recht auf Datenschutz (PDF, 2MB, Datei ist barrierefrei ⁄ barrierearm)