Datenschutz im Personalbüro

Welche Daten darf ein Arbeitgeber erheben und speichern?

Inzwischen sind nahezu alle betrieblichen Websites, Datenschutzerklärungen oder Widerrufserklärungen für einen Newsletterbezug angepasst und aktualisiert, jedoch besteht in vielen Unternehmen noch immer Unsicherheit, wie mit den Daten der eigenen Mitarbeiter und von Stellenbewerbern umzugehen ist. Auch wenn betriebsinterne Verstöße gegen die neuen Vorgaben nicht so schnell auffallen, sind Arbeitgeber und Personalverantwortliche gut beraten, Maßnahmen zum Schutz der Daten zu treffen und deren Erfolg regelmäßig zu überprüfen.

Die allgemeine Faustregel, dass personenbezogene Daten nur erhoben, verarbeitet oder genutzt werden dürfen, wenn eine rechtliche Vorschrift dies erlaubt oder anordnet bzw. wenn der Betroffene eindeutig zugestimmt hat, gilt ohne Einschränkungen auch im bestehenden Arbeitsverhältnis.

Arbeitgeber dürfen deshalb alle wichtigen Mitarbeiterdaten erheben, verarbeiten und nutzen, die sie für die Aufnahme, Durchführung oder für die Beendigung eines Arbeitsverhältnisses benötigen.

Ohne Zustimmung der Betroffenen dürfen sie Daten verwenden,

  • ohne die das Arbeitsverhältnis nicht begründet und beendet werden kann,
  • die für die Betriebsabläufe erforderlich sind und
  • zu deren Erhebung sie als Arbeitgeber verpflichtet sind.

Dabei handelt es sich um Daten wie z. B. Name und Geburtsdatum, Steuer-Identifikationsnummer, Bankverbindung, Daten zur Sozialversicherung, Familienstand, Kinder, Angaben zu einer Schwerbehinderung etc.

Die Einverständniserklärung der betroffenen Person ist dagegen erforderlich, wenn z. B. das Geburtsdatum weitergegeben wird, um den firmeninternen Geburtstagskalender zu pflegen, oder wenn Daten erhoben werden, die zur Durchführung des Arbeitsverhältnisses nicht zwingend erforderlich sind, wie z. B. Angaben zum Urlaubsort oder zu Hobbies.

Alle Beschäftigten sind darüber zu informieren, welche Daten und zu welchem Zweck wo und wie lange gespeichert werden, welche Form der Datenerhebung erlaubnisfrei ist, wie mit sensiblen Daten betriebsintern umgegangen wird und welche Widerspruchsrechte bestehen. Dies kann mündlich geschehen, sollte aber sinnvollerweise mittels eines Informationsblattes erfolgen, auf dem die Mitarbeiter gleichzeitig bestätigen, ordnungsgemäß informiert und belehrt worden zu sein.

Erforderliche Einverständniserklärungen sind in jedem Fall schriftlich einzuholen. Sofern Dienst- oder Einsatzpläne über einen Messengerdienst auf private Mobiltelefone der Mitarbeiter versendet werden, wird ebenfalls die Zustimmung des Empfängers benötigt. Dabei sollte man sich des Risikos bewusst sein, wie schnell es in diesen Fällen zu einem unter Umständen sogar abmahnfähigen Datenverstoß kommen kann, denn private Mobiltelefone können natürlich auch von Dritten (z. B. Familienmitglieder) eingesehen werden.