2.1 Beispiele für personenbezogene Daten in der Personalabteilung
Klassischerweise im Rahmen des Beschäftigungsverhältnisses verarbeitete Daten sind nachfolgend aufgelistet:
- Name
- Personalnummer
- Geburtsdatum
- Gehalt
- Bankverbindung
- Religionszugehörigkeit
- Staatsangehörigkeit
- beruflicher Werdegang
- Abmahnungen
- Bildaufnahmen
2.2 Rechtsgrundlage für die Verarbeitung von Mitarbeiterdaten
Der Begriff "Beschäftigtendatenschutz" ist auf den ersten Blick irreführend, da er kein gesetzlicher Begriff ist und somit nicht im Gesetzestext zu finden ist. Der Beschäftigtendatenschutz sollte ursprünglich in einem eigenen nationalen Gesetz normiert werden. Mit Bekanntwerden des Vorhabens, den Datenschutz durch eine europäische Verordnung neu zu regeln, wurde das geplante Beschäftigtendatenschutzgesetz nicht weiterverfolgt. Die DSGVO enthält keine konkreten, bereichsspezifischen Regelungen im Bereich Mitarbeiterdatenschutz. Allerdings enthält Art. 88 Abs. 1 DSGVO eine Öffnungsklausel, die es den Mitgliedsstaaten der EU erlaubt, spezifischere Regelungen zur Verarbeitung von Daten von Beschäftigten zu erlassen. Von der Öffnungsklausel wurde in Deutschland in Form des § 26 BDSG Gebrauch gemacht. Hierbei hat sich der Gesetzgeber jedoch sehr stark an der früher geltenden Regelung des § 32 BDSG a. F. gehalten und diese Regelung mit leichten sprachlichen Korrekturen und Anpassungen übernommen. So sind weiterhin neben den nachfolgenden Normen vor allem die Einschätzungen der zuständigen Datenschutzbehörden sowie die datenschutzrechtlichen Urteile der deutschen Arbeitsgerichte ein maßgeblicher Faktor für die Ausgestaltung des Beschäftigtendatenschutzes in der Praxis.
§ 26 Abs. 1 BDSG ist auf drei Phasen des Beschäftigungsverhältnisses anwendbar: Die Begründung, die Durchführung und die Beendigung des Beschäftigungsverhältnisses. Während die Themen Begründung sowie Beendigung Gegenstand eigener Beiträge sind, behandelt der vorliegende Beitrag alle Verarbeitungsvorgänge zur Durchführung des Beschäftigungsverhältnisses.
2.2.1 Durchführung des Beschäftigungsverhältnisses
Grundsätzlich dürfen personenbezogene Daten von Arbeitnehmern nur verarbeitet werden, sofern dies für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Der Arbeitgeber hat demnach keine Einwilligung der Beschäftigten einzuholen, um die Daten der Beschäftigten zu verarbeiten, sofern und soweit die Daten eben für die Durchführung des Beschäftigungsverhältnisses erforderlich sind. Eine Verarbeitung personenbezogener Daten ist dann erforderlich, wenn die jeweils zugrundeliegende Aufgabe ohne das konkrete Datum nicht oder nicht vollständig erfüllt werden kann. Eine Erforderlichkeit ist auch dann zu bejahen, wenn die Aufgabe andernfalls nur unter unverhältnismäßig großen Schwierigkeiten, mit unvertretbar höherem Aufwand oder gar verspätet erfüllt werden kann. Erforderlich sind vor allem die Stammdaten der Beschäftigten sowie Angaben zu Ausbildung und beruflicher Qualifikation. Es scheiden somit Verarbeitungsvorgänge aus, die nicht dem Zweck der Durchführung des Beschäftigungsverhältnisses dienen, sondern z. B. Marketingzwecken des Unternehmens. Nicht erforderlich – und sollten damit nicht erfasst werden – sind auch Daten aus der Privatsphäre des Beschäftigten (wie. z. B. Hobbys, persönliche Interessen oder kulinarische Vorlieben).
Beschäftigtendaten in der betrieblichen Altersvorsorge
Wünschen Mitarbeiter an einer Regelung für die betriebliche Altersvorsorge teilzunehmen (z. B. im Rahmen einer Entgeltumwandlung), ist oftmals die Übermittlung von Daten an die Versicherung, den Makler und andere Beteiligte notwendig. Diese Übermittlung wird oft durch das Unternehmen vorgenommen. Im Gesetz, insbesondere in § 26 BDSG, findet sich hierfür keine Legitimation, da die Teilnahme an der betrieblichen Altersvorsorge für die Durchführung des Beschäftigungsverhältnisses nicht erforderlich ist. Eine gesetzliche Grundlage hierzu gibt es also nicht. Um die Datenübermittlung zu legitimieren, muss das Unternehmen deshalb in der Regel eine Einwilligung des Beschäftigten einholen. Die Einwilligungserklärung muss dem Beschäftigten transparent aufzeigen, wie und durch wen seine Daten verarbeitet werden. Nur mit diesem Wissen kann der Beschäftigte eine Entscheidung treffen, ob er der Datenweitergabe an die Versicherung oder an den Makler zustimmt. Sofern der Beschäftigte keine Einwilligung zur Datenweitergabe erteilen möchte, darf das Unternehmen die Daten nicht weitergeben.
2.2.2 Einwilligung
Sofern keine spezifische Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten im Beschäftigtenkontext greift, kann eine Verarbeitung auf eine Einwilligung des Beschäftigten gestützt werden. Allerdings kommt eine solche Einwilligung durch Arbeitnehmer nach Auffassung der Datenschutzbehörden nur in Ausnahmefällen in Betracht. Eine Einwilligung ist nur dann zulässig, wenn der Beschäftigte diese freiwillig abgibt. Aufgrund des Über-/Unterordnungsverhältnisses von Arbeitgeber zu Beschäftigtem ist diese Freiwilligkeit einer Einwilligungserklärung kritisch zu hinterfragen. Einer tatsächlichen Ausübung von Zwang bedarf es für den Entfall der Freiwillig...