DSGVO am Arbeitsplatz: Diese Anforderungen sollten Sie unbedingt beachten, um eine Datenschutzverletzung zu vermeiden!

von

Lesezeit: Minuten ( Wörter)

Der Datenschutz am Arbeitsplatz spielt in Zeiten der Digitalisierung eine immer wichtigere Rolle. Mit der DSGVO, der Datenschutz-Grundverordnung, hat die Europäische Union ein Regelwerk geschaffen, durch das die Regeln für die Verarbeitung personenbezogener Daten und die Nutzung der Datensätze europaweit vereinheitlicht werden. Die DSGVO ersetzt die Richtlinie 95/46/EG aus dem Jahre 1995 und bildet seit Mai 2018 mit den JI-Richtlinien für den Datenschutz in den Sektoren Justiz und Polizei den gemeinsamen Datenschutzrahmen in der Europäischen Union. Die DSGVO soll einerseits den Schutz personenbezogener Daten sicherstellen, zum anderen aber auch den freien Datenverkehr innerhalb des europäischen Binnenmarktes gewährleisten. Seit der Einführung 2018 stellt die DSGVO an Arbeitgeber und Arbeitnehmer hohe Anforderungen – eine Datenschutzverletzung kann seitdem mit hohen Strafzahlungen sanktioniert werden.

Worauf Sie beim Datenschutz als Arbeitgeber besonders achten müssen und warum Sie eine Datenschutzverletzung unbedingt verhindern müssen, erfahren Sie in diesem Beitrag.

Datenschutz und Arbeitsrecht

Ein eigenes Gesetz, das den Umgang mit dem Datenschutz im Arbeitsleben regelt, gibt es nicht. Vielmehr stehen Arbeitgeber und Arbeitnehmer vor der Aufgabe, die einzelnen Regelungen in unterschiedlichsten Gesetzen zusammenzutragen. Dies führt nicht selten zu zwar ungewollten, aber dennoch sanktionierbaren Verstößen gegen die DSGVO – was für Arbeitsgeber unter Umständen teure Bußgelder bedeutet.

Zu den wichtigsten Anforderungen, die der Datenschutz an Arbeitgeber stellt, gehören:

• Arbeitgeber dürfen personenbezogene Daten ihrer Mitarbeiter nur dann erheben, wenn die betroffene Person dafür ihre Zustimmung erteilt hat. Das gleiche gilt für die Verarbeitung und Nutzung der erhobenen Daten!

• Das BDSG (Bundesdatenschutzgesetz) erlaubt einem Arbeitgeber die Erhebung, Nutzung und Weiterverarbeitung der personenbezogenen Daten nur dann, wenn die Daten für die Aufnahme, Durchführung und Beendigung eines Beschäftigungsverhältnisses notwendig sind (§ 32, Absatz 1, Satz 1 BDSG).

• Die Einwilligung eines Mitarbeiters in die Erhebung und Verwendung seiner personenbezogenen Daten ist nur dann wirksam, wenn die Einwilligung freiwillig und in schriftlicher Form festgehalten worden ist (beispielsweise im Rahmen eines Arbeitsvertrages)

• Eine Generalkontrolle aller Mitarbeiter ohne deren Zustimmung durch Videoüberwachung oder ähnlichem am Arbeitsplatz ist unzulässig!

• Alle Mitarbeiter haben grundsätzlich das Recht darauf, die beim Arbeitgeber gespeicherten, persönlichen Daten einzusehen (das sogenannte „Recht auf Auskunft). Damit erhalten Arbeitnehmer unter anderem auch das Recht, die eigene Personalakte jederzeit einsehen zu dürfen.

• Arbeitnehmer haben am Arbeitsplatz das Recht, unrechtmäßig gespeicherte, personenbezogene Daten löschen zu lassen.

• Der Datenschutz untersagt es Arbeitgebern, im Falle einer Krankmeldung die genauen gesundheitlichen Gründe für die Arbeitsunfähigkeit zu erfragen.

Wenn die DSGVO durch Arbeitgeber verletzt wird: Diese Strafen drohen

Mit der Einführung der neuen Datenschutz-Grundverordnung im Mai 2018 wurden verbindliche Strafen eingeführt, wenn der Datenschutz in Unternehmen verletzt wird. Wenn Arbeitgeber gegen die DSGVO verstoßen, sind Bußgelder in Millionenhöhe möglich! Die Höhe der Bußgelder richtet sich dabei nach dem Jahresumsatz – bis zu 4 % des Umsatzes können als Bußgeld verhängt werden. Wichtig zu wissen es ist daher, welche Daten erhoben und verarbeitet werden dürfen – und welche Daten unter keinen Umständen von den Beschäftigten gespeichert werden sollten.

Die DSGVO erlaubt Arbeitgebern die Erhebung und Verarbeitung von folgenden Daten:

• Alle Daten, die für die Meldung an die Sozialversicherung oder das Finanzamt verpflichtend benötigt werden

• Die Bankverbindung des Arbeitnehmers für die Überweisung der monatlichen Gehaltszahlung

• Daten, die den beruflichen Werdegang des Arbeitnehmers und dessen Fähigkeiten belegen

Die DSGVO untersagt Arbeitgebern die Erhebung und Verarbeitung von folgenden Daten:

• Alle Daten, die das Verhalten des Arbeitnehmers am Arbeitsplatz beinhalten

• Daten, die Informationen zum Gesundheitszustand des Arbeitnehmers beinhalten

Die Höhe der Bußgelder bei Verstoß gegen die DSGVO richtet sich nach dem Jahresumsatz – bis zu 4 % des Umsatzes können als Strafe verhängt werden.

Ein Datenschutzbeauftragter ist unter bestimmten Umständen Pflicht

Der Datenschutz verlangt vom Arbeitgeber, dass die gesammelten Daten der Arbeitnehmer jederzeit vor einem unberechtigten Zugriff sicher sind – und dass die Personen, die mit den Daten arbeiten, eine entsprechende Schulung im Sinne der DSGVO absolviert haben. Wenn in einem Unternehmen zehn oder mehr Personen regelmäßig mit Tätigkeiten der Datenverarbeitung beauftragt sind, muss ein Datenschutzbeauftragter ernannt werden. Dieser betriebliche Datenschutzbeauftrage hat die Aufgabe, die Einhaltung aller Datenschutzrichtlinien zu kontrollieren und die korrekte Anwendung der Datenschutz-Grundverordnung sicherzustellen. Ernannt werden darf der Datenschutzbeauftrage gemäß Art. 37 Abs. 5 DSGVO „auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens […], das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der […] genannten Aufgaben“. Die Ernennung eines befähigten Datenschutzbeauftragten sollte keinesfalls auf die leichte Schulter genommen werden – denn die DSGVO sieht auch hier Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes vor.

Ist die Überprüfung der PC-Nutzung meiner Mitarbeiter eine Datenschutzverletzung?

Bildschirmarbeitsplätze gehören zum modernen Arbeitsalltag dazu. Während in einigen Unternehmen die Nutzung des firmeneigenen PCs, des Internets und des E-Mail-Accounts für private Zwecke erlaubt ist, untersagen andere Unternehmen die private Nutzung strikt. Grundsätzlich gilt hier: Was nicht ausdrücklich gestattet ist, ist auch nicht erlaubt. Wenn Sie als Arbeitgeber eine private Nutzung der IT-Infrastruktur nicht wünschen, ist es Ihr gutes Recht, dies zu untersagen.

Das Verbot bedeutet allerdings nicht zwangsläufig, dass Arbeitgeber der Recht haben, die Nutzung der IT zu überprüfen. Hier gibt es ein interessantes Gerichtsurteil des Landesarbeitsgerichts Berlin-Brandenburg aus dem Jahre 2016. Das Gericht fällte ein Urteil (Az.5 Sa 657/15), dass die Auswertung von E-Mails und Internet-Browserdaten durch den Arbeitgeber auch dann gestattet ist, wenn der Arbeitnehmer diesem Vorgehen nicht zustimmt – und auch die private Nutzung der IT gestattet ist. Dieses Urteil steht im starken Kontrast zu der Auffassung der Aufsichtsbehörden für den Datenschutz! Denn die Datenschutzbehörden sind der Meinung, dass Unternehmen die privaten Nutzungsdaten innerhalb einer elektronischen Kommunikation gar nicht speichern dürfen!

Was bedeutet dies in Sachen DSGVO für Arbeitgeber? Nun, untersagt der Arbeitgeber ausdrücklich die private Nutzung der PCs und haben die Mitarbeiter schriftlich im Rahmen einer Betriebsvereinbarung dem Verbot zugestimmt, darf der Arbeitgeber den Datenverkehr der Mitarbeiter unter Beachtung des BDSG kontrollieren. Liegt eine Zustimmung allerdings nicht vor, darf die Überwachung nur dann durchgeführt werden, wenn dies dem Schutz berechtigter Interessen des Unternehmens dient oder für die Durchführung des Arbeitsverhältnisses relevant ist.

Datenschutz und Kündigung: Das müssen Sie als Arbeitgeber beachten

Arbeitnehmer erhalten während ihrer Tätigkeit unter Umständen Einblicke in höchst sensible Daten. Entsprechend streng sind hier die Gesetze, was den Datenschutz und etwaige Verstöße anbelangt. Ein Verstoß gegen den Datenschutz rechtfertigt eine außerordentliche Kündigung, wenn

• Personenbezogene Daten unbefugt übermittelt oder abgerufen werden
• Daten unbefugt zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörendem Zweck erhoben und verarbeitet werden

Doch auch an Arbeitgeber stellt die DSGVO im Rahmen einer Kündigung besondere Anforderungen. Generell sollten nach Beendigung eines Arbeitsverhältnisses personenbezogene Daten des ehemaligen Mitarbeiters gelöscht werden – allerdings nur dann, wenn keine gerichtliche Auseinandersetzung mit dem Mitarbeiter zu erwarten ist. In diesem Falle sollten die gespeicherten Daten zumindest bis zum Ablauf der gesetzlich regulierten Verjährungsfrist von drei Jahren aufbewahrt werden. Pauschal kann hier also keine Aussage getroffen werden, wie der Datenschutz bei einer Kündigung generell umzusetzen ist. Vielmehr kommt es hier auf den Einzelfall an.

Welche Pflichten dürfen Arbeitgeber Ihren Mitarbeitern im Sinne der DSGVO vorschreiben?

Nicht nur Arbeitgeber, sondern auch Arbeitnehmer unterliegen Pflichten, was die Umsetzung des Datenschutzes am Arbeitsplatz anbelangt. Generell unterliegen alle Mitarbeiter, die mit personenbezogenen Daten arbeiten, dem Datengeheimnis. Die Daten dürfen durch die Mitarbeiter weder an Dritte außerhalb des Unternehmens gesendet noch für andere Zwecke als dem Zweck, zu dem die Daten erhoben worden sind, nutzen. Weiterhin sind Mitarbeiter dazu verpflichtet, folgende Regeln am Arbeitsplatz umzusetzen:

• Unterlagen mit personenbezogenen Daten, die nicht mehr benötigt werden, müssen zuverlässig vernichtet werden. Ein Entsorgen über den normalen Papierkorb ist unzulässig!
• Alle Unterlagen müssen vor Einsicht Dritter geschützt werden, wenn der Mitarbeiter nicht anwesend ist.
• PC, Festplatten, Schlüssel und USB-Sticks sind vor dem Zugriff Unbefugter zu sichern.
• Wird der Arbeitsplatz verlassen, beispielsweise zur Pause, ist der Bildschirm zu sperren.

Fazit

Der Datenschutz stellt an Arbeitgeber und Arbeitnehmer strenge Anforderungen. Personenbezogene Daten, wie sie täglich in allen Unternehmen be- und verarbeitet werden, stehen seit der Einführung der DSGVO im Jahre 2018 unter besonderem Schutz. Eine Datenschutzverletzung ist seit der Einführung kein „Kavaliersdelikt“ mehr, sondern kann mit drastischen Bußgeldern in Millionenhöhe geahndet werden. Die DSGVO muss seitens der Arbeitgeber gesetzeskonform im Betrieb umgesetzt werden – unter Umständen ist die Ernennung eines Datenschutzbeauftragten zur Kontrolle notwendig.

Aber auch Arbeitnehmer sind in der Pflicht, mit den ihnen anvertrauten Daten sorgfältig und im Sinne der DSGVO umzugehen. Bei einer Verletzung des Datenschutzes droht Kündigung – oder in schweren Fällen sogar eine strafbewehrte Klage vor Gericht. Es empfiehlt sich daher für beide Seiten, Arbeitnehmer und Arbeitgeber, die Grundsätze der DSGVO und deren Umsetzung individuell auf das Unternehmen zugeschnitten in schriftlicher Form zu fixieren. So ist der Datenschutz seitens der Arbeitgeber gewährleistet – und die Mitarbeiter erhalten einen Rahmen, anhand dessen sie ihre Tätigkeiten datenschutzkonform durchführen können.

Arbeiten Sie DSGVO-konform? Kontaktieren Sie uns - wir beraten Sie gerne!

Durch Klicken auf die Schaltfläche "Absenden" bestätigen Sie, unsere Richtlinien zum Datenschutz gelesen zu haben. Sie geben Ihr Einverständnis zur Verwendung Ihrer personenbezogenen Daten zu dem von Ihnen angegebenen Zweck der Kontaktaufnahme durch die Allgeier secion, Zweigniederlassung der Allgeier CyRis GmbH.

* Pflichtfeld

Zurück