Der richtige Umgang mit personenbezogenen und sensiblen Daten ist für den Arbeitgeber von entscheidender Bedeutung. Der (absichtliche) Verstoß gegen den Datenschutz kann nicht nur einen guten Ruf des Unternehmens ruinieren, sondern auch strafrechtliche Konsequenzen nach sich ziehen. Aus diesem Grund ist es wichtig, sich intensiv mit dem Thema auseinanderzusetzen. Im Folgenden soll ein kurzer Überblick über die wichtigsten Aspekte von Datenschutz am Arbeitsplatz gegeben werden.

Datenschutz am Arbeitsplatz
Photo by Dan Nelson on Unsplash

Was sind personenbezogene Daten?

Die Definition von Daten, die sich auf eine natürliche Person beziehen, findet sich in der europäischen Datenschutzgrundverordnung (DSGVO) wieder. Im Sinne des Artikels 4 Absatz 1 sind personenbezogene Daten jene Informationen, die direkt oder indirekt die Identifizierung einer natürlichen Person ermöglichen. Diese Informationen können sowohl persönliche als auch sachliche Verhältnisse betreffen und beinhalten beispielsweise:

  • Vor- und Nachname
  • Geburtsdatum
  • Wohn- und Korrespondenzadresse
  • Telefon-, Matrikel- und Sozialversicherungsnummer
  • E-Mail-Adresse
  • Online-Kennung wie IP-Adresse

Dabei unterscheidet die DSGVO sensible Daten, die eine genetische, physiologische, physische, psychische, soziale, kulturelle und wirtschaftliche Identität einer natürlichen Person ausmachen.

Einzelangaben zu juristischen Personen, darunter eingetragenen Vereinen und Kapitalgesellschaften, sind von der Definition ausgenommen. Es sei denn, sie beziehen sich auf einen hinter der juristischen Person lebenden Menschen.

Pflichten und Rechte beim Datenschutz am Arbeitsplatz

Grundsätzlich gilt: Der Arbeitgeber darf personenbezogene und sensible Daten von Mitarbeitenden ausschließlich zum Zwecke eines Arbeitsverhältnisses sammeln und verarbeiten. Dies findet vor allem bei der Begründung, Durchführung und Beendigung eines Arbeitsverhältnisses statt. Eine freiwillige Einwilligung seitens Mitarbeitender und deren jederzeitige Widerrufbarkeit sind eine grundlegende Voraussetzung für eine gesetzeskonforme Datenverarbeitung auf Arbeitgeberebene.

Dabei besteht die Informationspflicht gegenüber Mitarbeitenden. Sie müssen nicht nur über den Zeitpunkt der Datenerhebung, sondern auch über den Zweck und die Dauer der Datenspeicherung erfahren. Zudem ist es wichtig, Kontaktinformationen von verantwortlichen Personen für die Datenverarbeitung mitzuteilen. Nicht zuletzt müssen Mitarbeitende über folgende Rechte informiert werden:

Recht auf:

  • Auskunftsrecht
  • Berichtigung
  • fristgemäße Löschung von verarbeiteten Daten
  • Einschränkung der Datenverarbeitung
  • Datenübertragbarkeit
  • Beschwerde bei der Aufsichtsbehörde

Neben der Informationspflicht muss der Arbeitgeber auch der Datenminimierungspflicht nachgehen. Laut dieser dürfen nur jene Daten gesammelt und verarbeitet werden, die tatsächlich notwendig sind. Sie dürfen so lange gespeichert bleiben, bis deren Verarbeitungszweck erfüllt ist.

Verlassen Mitarbeitende das Unternehmen, so sind ihre Daten nachweisbar zu löschen. Manche davon sind aufgrund gesetzlicher Vorgaben des Arbeits-, Sozialversicherungs-, Handels- und Steuerrechts für eine bestimmte Zeitperiode aufzubewahren.

Datenschutz für Mitarbeiter während geleisteter Arbeit

Strenge DSGVO-Vorgaben stellen sowohl den Arbeitgeber als auch seine Mitarbeitenden vor große Herausforderungen, die in verschiedenen Situationen zum Vorschein kommen. Einige davon betreffen:

Datenschutz am Arbeitsplatz im Homeoffice

Bei der Einrichtung und Nutzung von Heimbüro kann es zu unterschiedlichen Gefahren kommen,

  • darunter Spionage,
  • Offenlegung schützenswerter Informationen,
  • Datenverlust und Zerstörung von Geräten oder Datenträgern.

Deshalb ist es wichtig, bestimmte Sicherheitsmaßnahmen vorzunehmen. Hierzu gehören begrenzte Autorisierung von Personen, Zugriff auf autorisierte Funktionen, Ablegung personenbezogener und sensibler Daten im Unternehmensserver sowie die technische Konfiguration des Rechners, um diverse Manipulationen unmöglich zu machen.

Datenschutz unter Kollegen

Nicht nur der Arbeitgeber, sondern auch Mitarbeitende müssen im täglichen Einsatz dafür sorgen, dass personenbezogene und sensible Daten ausreichend geschützt sind. Dabei helfen einfache Maßnahmen wie sichere Passwörter, Sperren des PCs beim Verlassen des Arbeitsplatzes, Wegschließen der Akte nach deren Verwendung, Schreddern von Fehldrucken sowie strikte Trennung von Arbeit und Privatleben durch den Verzicht auf eine private Nutzung von E-Mail und Internet.

Datenschutz unter Kollegen
Photo by Azamat E on Unsplash

Videoüberwachung am Arbeitsplatz

Sie ist nur unter gewissen Umständen erlaubt. Als Beispiel dient die Verfolgung und Aufklärung einer Straftat, vorausgesetzt, dass eine Verhältnismäßigkeit bewahrt wird. Die Videoüberwachung in nicht-öffentlichen Bereichen erfordert die Vorlage einer Einverständniserklärung seitens betroffener Mitarbeitender.

Für öffentlich zugängliche Arbeitsplätze gelten besondere Regeln. Der Einsatz von Videoüberwachung in höchstpersönlichen Lebensbereichen (Umkleidezimmern, Toiletten, Pausen- und Schlafräumen) ist generell verboten.

Whatsapp Gruppe Arbeit Datenschutz

Whatsapp bietet seinen Messenger-Dienst sowohl für Privatpersonen als auch (Klein-)Unternehmen an. Es kann einen Kommunikationskanal im Geschäftsalltag darstellen, sofern dessen Einsatz im Einklang mit den DSGVO-Vorgaben steht. Bei manchen Whatsapp-Praktiken wie Upload der Kontaktdaten, Nutzung der Metadaten und unverschlüsselte Backups tauchen datenschutzrechtliche Probleme auf.

Aus Datenschutzsicht sollte Whatsapp nicht für die interne Kommunikation sowie Geschäftsgespräche mit externen Kunden verwendet werden.

Verstoß gegen Datenschutz Beispiele

Viele Mitarbeitende versenden private E-Mails und nutzen das Internet für private Zwecke während der Arbeitszeit. Dies ist nur dann rechtlich in Ordnung, wenn mit dem Arbeitgeber eine Vereinbarung bezüglich der Internetnutzung am Arbeitsplatz getroffen wurde. Sollte dies nicht der Fall sein, dann handeln Mitarbeitende rechtswidrig und riskieren eine Abmahnung oder sogar die fristlose Kündigung.

Erlaubt der Arbeitgeber die private Internetnutzung am Arbeitsplatz, muss er sich an das Telekommunikationsgesetz (TKG) halten und Maßnahmen gegen die Verletzung des Fernmeldegeheimnisses vornehmen. Dies bedeutet auch, dass er die private Nutzung von Internet nicht überwachen, verfolgen oder protokollieren darf. Die Löschung, Veränderung oder Unbrauchbarmachung von privaten Daten kann eine Geldstrafe oder eine Freiheitsstrafe nach sich ziehen.

Kommt es zu einem Verstoß gegen Datenschutz, wird zunächst der Arbeitgeber als Verantwortlicher in Haftung genommen. Für den Fall, dass Mitarbeitende grob fahrlässig oder gar vorsätzlich gegen datenschutzrechtliche Bestimmungen handeln, können sie rechtlich zur Verantwortung gezogen werden. Es ist nachzuweisen, dass Mitarbeitende entgegen klarer Handlungsanweisungen des Arbeitgebers gehandelt haben.

Der Arbeitgeber muss einen Datenschutzverstoß unverzüglich oder spätestens innerhalb von 72 Stunden an die Aufsichtsbehörde melden.

Disclaimer:

Wir möchten an dieser Stelle darauf hinweisen, dass unser Internet-Angebot einem unverbindlichen Informationszweck dient. Sie stellt im eigentlichen Sinne keine Rechtsberatung dar. Der Inhalt dieses Beitrages kann und soll eine individuelle und verbindliche Rechtsberatung nicht ersetzen. Aus diesem Grund sind alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit. Die Inhalte unserer Internetseite werden mit größter Sorgfalt recherchiert. Dessen ungeachtet kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen übernehmen. Zur Lösung von konkreten Rechtsfällen möchten wir Sie bitten, unbedingt einen Rechtsanwalt zu konsultieren.