Personenbezogene Daten von Mitarbeitenden dürfen nur erhoben, verarbeitet oder genutzt werden, wenn dies dem Unternehmen gestattet ist. Dabei sind die gesetzlichen und arbeitsvertraglichen Regelungen zu beachten. Auch hier gilt, dass der Betroffene auch seine Einwilligung in Bezug auf den Umgang mit seinen Daten erteilen kann. Diese Einwilligung darf aber nicht durch Druckausübung oder Täuschung erlangt werden. Für die Beurteilung der Freiwilligkeit der Einwilligung ist insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der betroffenen Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die betroffene Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgebende und die betroffenen Personen gleich gelagerte Interessen verfolgen. Die Einwilligung bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Arbeitgeber haben die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht in Textform aufzuklären.
4.1 Personaldaten/Personalakten
Eine wichtige Bedeutung kommt der Personalakte zu. Diese beinhaltet alle Daten über beschäftigte Personen, angefangen von der Bewerbung bis zum Ausscheiden aus dem Unternehmen. Der Datenschutz gilt unabhängig davon, ob die Akten elektronisch oder konventionell in Papierform geführt werden.
Personalakten müssen vertraulich geführt und aufbewahrt werden. Damit ist ein wirksamer Zugriffsschutz unumgänglich. Zudem müssen die Personalakten auch vollständig und nachvollziehbar sein.
Der Schutz personenbezogener Daten umfasst nicht nur die Daten von aktiven Mitarbeitenden, sondern auch die von Bewerbenden sowie ehemalig Mitarbeitenden.
Umgang mit Daten von Bewerbenden
Die Grundsätze des Datenschutzes gelten sowohl für Bewerbungen auf Stellenangebote, als auch für Initiativbewerbungen. Im Rahmen der Bewerbung dürfen nur solche Daten erhoben werden, die für die jeweilige Stelle tatsächlich von Bedeutung sind und in einem entsprechenden sachlichen Zusammenhang stehen (Zweckbindung: Art. 5 Abs. 1 lit b DSGVO). Auch hier können Bewerbende natürlich freiwillig mehr Daten übermitteln, was oftmals im Rahmen von Initiativbewerbungen geschieht. Inwieweit öffentlich zugängliche Daten von Bewerbenden, z. B. von Webseiten, Foren oder Plattformen wie XING, LinkedIn oder Facebook, in das Bewerbungsverfahren aktiv einbezogen werden dürfen, ist strittig. Dennoch spielen diese Informationen eine immer wichtigere Rolle, denn auch ohne aktive, sprich dokumentierte Einbeziehung kann man sich dadurch ein besseres Bild von Bewerbenden machen.
Nach Abschluss des Bewerbungsverfahrens sind die personenbezogenen Daten von abgelehnten Bewerbenden unverzüglich zu löschen (bzw. zu vernichten), sofern diese nicht mehr für die Zweckerfüllung benötigt werden. Personenbezogene Daten, die weiterhin gespeichert bleiben können, sind Name, Anschrift und Geburtsdatum, da diese gegebenenfalls in einem neuen Bewerbungsverfahren nochmals genutzt werden müssen.
Aufbewahrung der Daten von Bewerbenden
Potenzielle Arbeitgebende müssen den Grund für die Absage der Bewerbenden dokumentieren, müssen aber auch aufgrund § 15 des Allgemeinen Gleichbehandlungsgesetzes bis zu 2 Monate nach Zugang der Ablehnung mit einer Schadensersatzklage rechnen. Empfohlen wird, die Bewerbungsunterlagen (Daten und/oder Kopien) bis zu 6 Monate aufzubewahren. Der Zeitraum von 6 Monaten ergibt sich aus der Klagefrist von 2 Monaten gem. § 15 Abs. 4 AGG plus Puffer für Zustellverzögerungen. Die entsprechenden Unterlagen sind für diesen Zeitraum zu sperren.
Das sollte in Bezug auf Daten von Mitarbeitenden veranlasst werden:
- Sämtliche technische und organisatorische Maßnahmen (TOMs) gelten immer bei personenbezogenen Daten, unabhängig ob es sich um Daten von Mitarbeitenden oder anderen Personen handelt (Pflicht zur Implementierung geeigneter TOMs: Art. 24 DSGVO).
- Alle Vorgänge, Unterlagen, E-Mails etc. nachvollziehbar dokumentieren (ebd.).
- Datenträger müssen vor Zugriffen Unberechtigter geschützt sein, z. B. durch eigene Laufwerke oder besonders geschützte Verzeichnisse mit gesonderten Zugängen für Personalverantwortliche.
- Bei papierhafter Aktenführung: Abgeschlossene Karteischränke, die nur von Personalverantwortlichen eingesehenen werden können.
4.2 Daten über die Internet- und E-Mail-Nutzung eigener Mitarbeitenden
Die Internet-Nutzung und E-Mail-Nutzung Mitarbeitender kann technisch umfangreich protokolliert und ausgewertet werden. Dabei können z. B.
- Benutzeridentifikation,
- IP-Adressen,
- Datum und Uhrzeit des Zugriffs,
- Datenmenge
- sowie Zieladresse des Zugriffs
erfasst werden. Anhand dieser Daten wäre es für Arbeitgebende möglich nachzuvollziehen, wann Mitarbeitende was gelesen haben. Dies kann einen Eingriff in die Persönlichkeitsrechte Arbeitnehmender darstellen. Was protokolliert und ausgewertet werden darf, hängt u. a. davon ab, ob eine private Internet- und E-Mail-Nutzung erlaubt wurde oder nicht.
- Wenn Arbeitnehmenden nur die dienstliche, nicht abe...