16.10.2017

Arbeitnehmerdatenschutz

von Katrin Etteldorf

Dem Arbeitnehmerdatenschutz wird in der Praxis häufig kaum Beachtung geschenkt. Die Datenschutz-Grundverordnung der EU (DS-GVO), die ab 25. Mai 2018 gilt, rückt den Datenschutz insgesamt, so auch für Mitarbeiterinnen und Mitarbeiter, nun stärker in den Fokus. Unter dem Begriff Arbeitnehmer- bzw. Beschäftigtendatenschutz werden sämtliche Regelungen zusammengefasst, die die Erhebung und Nutzung von personenbezogenen Arbeitnehmerdaten im Zusammenhang mit dem Arbeitsverhältnis betreffen. Dieser Fortbildungsbeitrag gibt einen Überblick über den Umfang des Arbeitnehmerdatenschutzes sowie die bisherigen Regelungen und befasst sich mit der Frage von Änderungen durch die DS-GVO.

© McCarony / stock.adobe.com

Anschrift, Alter, Familienstand, Konfession sowie Sozialversicherungsnummer werden notwendigerweise als personenbezogene Daten vom Arbeitgeber erfasst und vertraulich behandelt. Die Nutzung dieser Daten ist unumgänglich, um den Arbeitsvertrag durchzuführen, beispielsweise, um die Gehaltsabrechnung zu erstellen. Wie jedoch steht es mit der Erhebung weiterer Daten?

Beschäftigtendatenschutz

Nicht selten wird sich der Arbeitgeber des Datenschutzes bewusst, wenn er den Bewerber bei einem Vorstellungsgespräch zu dessen Gesundheitszustand befragen oder eine ärztliche Einstellungsuntersuchung zur Bedingung für den Abschluss des Arbeitsvertrages machen möchte. Dahingegen denkt mancher Arbeitgeber bei so genannten technischen Einrichtungen wie dem Outlook-Kalender allenfalls in Konfliktfällen mit dem Mitarbeiter an Datenschutz.

Technische Einrichtungen in diesem Sinn sind alle Einrichtungen, die geeignet sind, das Verhalten oder die Leistung von Mitarbeiterinnen und Mitarbeitern zu überwachen. Darunter fallen etwa Zugangskontrollsysteme (beispielsweise der Login des personalisierten Kassenschlüssels).

Datenschutz ist nicht Selbstzweck.

Zwischenfazit

Festzuhalten ist, dass Arbeitnehmerdatenschutz sehr komplex ist, sei es hinsichtlich seiner Dauer, der Begriffsbestimmungen oder seiner Regelungsinhalte. Er fängt schon vor Beginn des Arbeitsverhältnisses an und hält über dessen Ende hinweg an.

Sachlich zieht der Datenschutz auf personenbezogene Daten ab. Dieser Begriff ist weitaus vielschichtiger, als er zunächst scheint. So umfasst der Ausdruck „Daten“ jegliche Informationen. Diese können in elektronischer Form, wie die IP-Adresse des vom Mitarbeiter genutzten PCs, aber auch in Papierform vorliegen. Ebenso fallen numerische, grafische, fotografische, akustische oder sonstige Datenformen darunter. Personenbezogene Daten schließen alle Arten von Aussagen über eine Person ein. Neben den objektiven Angaben zu den Verhältnissen des Mitarbeiters zählen gleichermaßen das eigene Bild und sein Verhalten, seine Leistung, seine physischen, psychischen oder sozialen Merkmale wie Herkunft oder Weltanschauung dazu.

Datenschutz findet Anwendung, wenn diese Daten erhoben, gespeichert, verändert, übermittelt, verarbeitet oder genutzt werden. Kurz gesagt: sobald personenbezogene Daten angefasst werden, gilt Datenschutz.

Datenschutz ist nicht Selbstzweck. Er dient dazu, das allgemeine Persönlichkeitsrecht der Mitarbeiter im Arbeitsverhältnis zu wahren, d. h. berechtigte Interessen und Grundrechte der Arbeitnehmer werden geschützt.

Alles neu macht der Mai 2018?

Bislang war der Arbeitnehmerdatenschutz rudimentär in bundesdeutschen Vorschriften sowie durch arbeitsgerichtliche Entscheidungen geregelt. Zwar wird es auch mit der DS-GVO ab dem 25. Mai 2018 kein zentrales Beschäftigtendatenschutzrecht geben. Dennoch wird sich die Verordnung auf den Arbeitnehmerdatenschutz auswirken.

Ab Mai 2018: Was bleibt?

Die sechs Grundprinzipien des Datenschutzes gelten auch weiterhin:

Verbot mit Erlaubnisvorbehalt: Daten dürfen nur erhoben, gespeichert, verändert, übermittelt, verarbeitet oder genutzt werden, wenn entweder Vorschriften dies gestatten oder der Mitarbeiter einwilligt.

Direkterhebung: Daten sind möglichst beim Arbeitnehmer direkt zu erheben.

Datenvermeidbarkeit und Datensparsamkeit: Es sind so wenig personenbezogene Daten zu erheben und zu nutzen wie möglich.

Zweckbindung:  Die Daten dürfen nur zu dem vor Datenverarbeitung bestimmten und dokumentierten Zweck verwendet werden.

Transparenz: Jeder Arbeitnehmer soll wissen, welche Daten wo zu welchem Zweck und wie lange gespeichert werden:

Erforderlichkeit: Die Datennutzung darf nur erfolgen, wenn und soweit sie erforderlich ist.

Öffnungsklausel

Die Verordnung gibt den Mitgliedstaaten der EU die Möglichkeit, national speziellere Vorschriften zur so genannten Datenverarbeitung im Beschäftigungskontext zu erlassen. Auch Kollektivvereinbarungen, also Tarifverträge und Betriebsvereinbarungen, können die Nutzung von Beschäftigtendaten weiterhin regeln. Die Vorschriften und Regelungen müssen jedoch mindestens mit der DS-GVO übereinstimmen und die Zielsetzung des Datenschutzes berücksichtigen.

Rechtslage in Deutschland

Der Bundesrahmentarifvertrag und der Rahmentarifvertrag Nordrhein für Apothekenmitarbeiter enthalten bislang keine Datenschutz-Bestimmungen. Die Bundesrepublik hat von der Öffnungsklausel der DS-GVO Gebrauch gemacht, sodass ab dem 25. Mai 2018 ein neues Bundesdatenschutzgesetz (BDSG n.F.) gilt. Dort regelt § 26 BDSG n.F. die Datenverarbeitung im Beschäftigungsverhältnis.

Im Wesentlichen stimmt diese Vorschrift mit dem bisherigen § 32 BDSG a.F. (Bundesdatenschutzgesetz alte Fassung) überein. Insbesondere gestattet das Gesetz weiterhin die Verarbeitung personenbezogener Daten, wenn dies notwendig ist, um ein Beschäftigungsverhältnis zu begründen, durchzuführen oder zu beenden. Ebenso ist die Datennutzung erlaubt, wenn die betroffene Person freiwillig darin einwilligt.

Ab Mai 2018: Was kommt?

Besonderheit der Einwilligung: Neu ist, dass die Einwilligung in die Datenverarbeitung bzw. deren Besonderheit nun ausdrücklich im Zusammenhang mit dem Arbeitsverhältnis geregelt ist. Eine Einwilligung in die Datenverarbeitung muss stets freiwillig erfolgen.

Ein Arbeitsverhältnis zeichnet sich aber dadurch aus, dass der Arbeitnehmer vom Arbeitgeber abhängig ist. Die Freiwilligkeit ist somit dem Grunde nach beschränkt.

Zudem ist der Arbeitgeber sozialversicherungsrechtlich verpflichtet, bestimmte Daten des Mitarbeiters zu erheben und zu verarbeiten. Dies gilt für die klassischen Daten wie Name, Anschrift, Sozialversicherungsnummer, Kinderfreibetrag und Lohnsteuerklasse. Ohne diese ist ein Arbeitsverhältnis praktisch nicht durchführbar. Daher gilt nach dem Gesetz eine Einwilligung auch dann als freiwillig, wenn der Mitarbeiter einen rechtlichen oder wirtschaftlichen Vorteil erreicht oder Arbeitgeber und Arbeitnehmer gleichgelagerte Interessen verfolgen.

Zu beachten ist, dass Einwilligungen der Schriftform bedürfen. Zudem muss der Arbeitgeber in Textform darüber belehren, dass der Mitarbeiter die Einwilligung jederzeit widerrufen kann. Die Datenverarbeitung, die bis zum Widerruf erfolgt ist, bleibt rechtmäßig.

Sensible Daten: Neu geregelt wird außerdem die Verarbeitung von sensiblen Daten, wie sie bei Mitarbeitern zumindest in Teilen typischerweise erhoben werden. Diese ist gesetzlich gestattet:

  • wenn erstens die Datenverarbeitung zur Ausübung von Rechten oder zur Erfüllung von Pflichten aus dem Arbeitsrecht und dem Sozialrecht erforderlich ist und
  • wenn zweitens die Datenverarbeitung das schutzwürdige Interesse des Mitarbeiters, die Datennutzung zu unterlassen, überwiegt.

Darüber hinaus dürfen die Daten verarbeitet werden, wenn der Mitarbeiter einwilligt.

Welche Daten gelten als sensibel?

Sensible Daten (die DS-GVO spricht von personenbezogenen Daten besonderer Kategorie) sind solche, aus denen sich Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit herleiten lassen. Ebenso zählen genetische oder biometrische Daten sowie Gesundheitsdaten und solche zur sexuellen Orientierung dazu.

Von Bedeutung im Arbeitsverhältnis sind die Angaben von Staatsangehörigkeit zur Klärung einer Arbeitserlaubnis und die Konfession zur Abführung von Kirchensteuer.

Der Arbeitgeber ist verpflichtet, die sensiblen Daten zu verarbeiten und zu melden. Deren Nutzung ist somit gesetzlich gestattet.

Biometrische Daten

Auch die Erfassung biometrischer Daten kann relevant werden, etwa in Form des Fingerabdrucks beim Einsatz von Fingerprint- Software in Kassensystemen. Der Fingerabdruck des Mitarbeiters darf jedoch nicht ohne weiteres vom Arbeitgeber genutzt werden. Dieser ist nicht nötig, um eine Pflicht aus dem Arbeitsrecht zu erfüllen. Der Fingerabdruck dient im genannten Beispiel vielmehr der Sicherheit, dass nur berechtigte Mitarbeiter  Zugang zur Kasse erhalten. In diesem Fall sollte der Arbeitgeber schriftlich die Einwilligung des Mitarbeiters in die Datenspeicherung, Verarbeitung und ggf. Weitergabe einholen, idealerweise in einer gesonderten Erklärung außerhalb des Arbeitsvertrages.

So wird der Apotheker gefordert

An den Apotheker als Unternehmer stellt die DS-GVO jedoch deutlich höhere Anforderungen als bislang das BDSG.

Verfahrensverzeichnis: Die DS-GVO verlangt u. a., dass der Unternehmer ein Verfahrensverzeichnis führt. Dieses Verzeichnis muss Namen und Kontaktdaten des Unternehmers, ggf. des Datenschutzbeauftragten, den Zweck der Verarbeitung, die Kategorien betroffener Personen und personenbezogener Daten, die Empfänger personenbezogener Daten, deren Übermittlung sowie möglichst auch Löschungsfristen aufführen.

Dokumentationspflichten: Ebenso treffen den Unternehmer umfangreichere Dokumentationspflichten, als Beleg dafür, dass die Vorschriften des Datenschutzes eingehalten werden. Dazu gehört auch eine so genannte Datenschutzfolgeabschätzung, mit der der Unternehmer neben anderen Aspekten bewertet, wie die Notwendigkeit und die Verhältnismäßigkeit der Datenverarbeitung zu den Interessen der betroffenen Personen stehen.

Technik und Organisation: Weiter hat er technische und organisatorische Maßnahmen zur Datensicherheit zu gewährleisten wie etwa die Rechteverwaltung in Software-Programmen, sodass von möglichst wenigen nur das jeweils Notwendige eingesehen werden kann.

Informationspflicht: Schließlich ist der Unternehmer verpflichtet, bei einer Schutzverletzung von personenbezogenen Daten unverzüglich und möglichst binnen 72 Stunden, nachdem er von der Verletzung erfahren hat, die zuständige Aufsichtsbehörde darüber zu informieren.

Ausblick

Die DS-GVO mag auf den ersten Blick nur geringe unmittelbare Folgen für den Beschäftigtendatenschutz haben. Allerdings verlangt sie von dem Unternehmer ein klares und umfassendes Datenmanagement, welches letztlich auch personenbezogene Daten der Mitarbeiter betrifft. Das Datenmanagement fängt bei der Überprüfung an, ob die Einwilligung für personenbezogene Datenverarbeitung (z. B. bei Kundenkarten) den neuen Anforderungen genügt und ob es neuer Datenschutzklauseln bedarf. Es setzt sich fort in der Kontrolle, welche Daten die eingesetzte Software speichert und nutzt. Zuletzt ist zu prüfen, welche Prozesse zum Datenmanagement zu ändern oder neu zu implementieren sind. Die Überprüfung sowie die Umsetzung notwendiger Maßnahmen sind so umfangreich, dass sie keinen Zeitaufschub dulden.


Artikel teilen

Kommentare (1)

Kommentar schreiben

Die Meinung und Diskussion unserer Nutzer ist ausdrücklich erwünscht. Bitte achten Sie im Sinne einer angenehmen Kommunikation auf unsere Netiquette und Nutzungsbedingungen. Vielen Dank!

* Pflichtfeld

Das PTA Magazin

DAS PTA MAGAZIN wendet sich an das Fachpersonal in der öffentlichen Apotheke, wobei die Zeitschrift insbesondere auf das berufliche Informationsbedürfnis der Pharmazeutisch-Technischen Assistentin eingeht.

www.das-pta-magazin.de

Springer Medizin

Springermedizin.de ist das Fortbildungs- und Informationsportal für Ärzte und Gesundheitsberufe, das für Qualität, Aktualität und gesichertes Wissen steht. Das umfangreiche CME-Angebot und die gezielte Berichterstattung für alle Fachgebiete unterstützen den Arbeitsalltag.

www.springermedizin.de

Newsletter

Mit unserem Newsletter erhalten Sie Fachinformationen künftig frei Haus – wöchentlich und kostenlos.