Seit dem 25.5.2018 gilt die EU-Datenschutz-Grundverordnung (DS-GVO). Jeder Betrieb, der Daten erfasst und speichert, muss seine komplette Datenverwaltung danach ausrichten.
Wesentliche Inhalte
Nach Art. 88 DS-GVO kann jeder Mitgliedstaat im Bereich der Verarbeitung personenbezogener Beschäftigtendaten eigene, spezielle Vorgaben aufstellen (Öffnungsklausel im Arbeitnehmerdatenschutz). Von dieser Möglichkeit hat der deutsche Gesetzgeber mit dem DSAnpUG-EU Gebrauch gemacht. Zentrale Norm ist § 26 BDSG. Schon nach dem alten Recht bzw. der bisherigen Rechtsprechung hat der Arbeitgeber zur Erfüllung von arbeitsvertraglichen Pflichten und für steuerliche Zwecke das Recht, Stammdaten seiner Beschäftigten zu verarbeiten und eine Personalakte zu führen. In Art. 88 DS-GVO sind Verarbeitungszwecke benannt.
Im Kern regelt § 26 BDSG, dass die Erlaubnis zur Datenverarbeitung vorliegt, wenn
- die Datenerhebung für das Arbeitsverhältnis "erforderlich" ist oder
- der Beschäftigte (§ 26 Abs. 8 BDSG) seine ausdrückliche Einwilligung (freiwillig) erteilt oder
- eine Betriebsvereinbarung oder ein Tarifvertrag die Datenerhebung gestattet oder
- es um die Aufdeckung einer Straftat druch den Beschäftigten geht.
Daten können sich auch während der Dauer des Arbeitsverhältnisses ändern (Steuerklasse) oder dazukommen (Schwerbehinderung). Bei jeglicher IT-Nutzung fallen persönliche Daten an (Arbeitszeiterfassung, Anmelden am PC, das Nutzen der Telefon-Dienste etc.).
Mitarbeiter sollten dem Arbeitgeber eine sog. Einwilligungserklärung über die zu verarbeitenden Daten in Schriftform abgeben. Der Arbeitgeber muss den Beschäftigten zudem über den Zweck der Datenverarbeitung und über sein Widerrufsrecht nach Art. 7 Abs. 3 DS-GVO aufklären.
§ 26 Abs. 3 BSDG regelt die Verarbeitung besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses. Diese Datenverarbeitung ist zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht (z. B. AGG), dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist.
Besonderheiten
Mitarbeiterdaten auf der Homepage: Bei Mitarbeitern, die offizielle Ansprechpartner sind (z. B. Abteilungsleiter für Auftragsbearbeitung, Geschäftsführer, Personalleiter etc.) ist die Veröffentlichung von Name, Tätigkeitsbereich, Dienstanschrift, E-Mail-Adresse, Telefon- bzw. Faxnummer wohl ohne Einwilligung erlaubt. Sicherheitshalber sollte aber eine schrifliche Einwilligungserklärung eingeholt werden, in welcher der Mitarbeiter auch auf sein jederzeitiges Widerrufsrrecht hingewiesen wird.
Verwendung von Mitarbeiterfotos: Fotos dürfen gem. § 22 KunstUrhG nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden. Ohne die nach § 22 KunstUrhG erforderliche Einwilligung dürfen verbreitet und zur Schau gestellt werden: Bilder von Versammlungen (Betriebsfest), Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben (§ 23 Abs. 1 Nr. 3 KunstUrhG). Eine schriftliche Einwilligungserklärung mit Hinweis auf das Widerrufsrecht ist immer ratsam. Die Einwilligungseinholung muss zwingend vor (und nicht nach) der Veröffentlichung erfolgen.
E-Mail-Account des Mitarbeiters: Die Bereitstellung eines dienstlichen E-Mail-Accounts ist unabdingbar. Da bisher nicht höchstrichterlich geklärt ist, ob der Arbeitgeber zum Anbieter von Telekommunikationsdiensten wird (§ 3 Nr. 1 TKG), wenn er seinen Mitarbeitern die private Nutzung von E-Mails ermöglicht, sollte er die Nutzung des betrieblichen E-Mail-Accounts zur privaten Kommunikation verbieten. Folgt man der Ansicht, dass der Arbeitgeber bei Erlaubnis zu privater Nutzung Anbieter von Telekommunikationsleistungen wird, müsste der Arbeitgeber das Telekommunikationsgeheimnis nach § 88 Abs. 3 TKG a. F. (bis 30.11.2021) beachten unnd kann dann nicht ohne Weiteres auf das E-Mail-Postfach des Mitarbeiters zugreifen. Hält sich der Arbeitgeber nicht an § 88 TKG a. F., macht er sich ggf. gem. § 206 StGB strafbar.
Der Arbeitgeber sollte den Beschäftigten die private Nutzung des betrieblichen E-Mail-Accounts generell verbieten! Dies ist auch unproblematisch, da Mitarbeiter regelmäßig über ihr Smartphone kommunizieren (können). Das Verbot kann der Arbeitgeber auch damit begründen, dass E-Mails auch über Back-ups gespeichert werden und damit der Datenschutz und die Wahrung des Persönlichkeitsrechts des Mitarbeiters nicht gewährleistet sind.
Auf geschäftliche E-Mails darf der Arbeitgeber grundsätzlich in gleichem Maß zugreifen wie auf den Briefverkehr mit dem Unternehmen in Schriftform, jedenfalls soweit es sich nicht um offensichtlich private Nachrichten handelt. Der Arbeitgeber sollte mittels Vereinbarung mit dem Mitarbeiter festlegen, wann der Arbeitgeber oder ein anderer Mitarbeiter ausnahmsweise auf den betrieblichen E-Mail-Account des Mitarbeiters zugreifen darf bzw. wie Abwesenheits-E-Mails inhaltlich gestaltet werden, damit eingehende E-Mails auch im Interesse ...