Mitarbeiterdaten: Rechte und Verpflichtungen

Die Verarbeitung personenbezogener Daten ist ein konkretes und heikles Thema im digitalen Zeitalter, insbesondere in Bezug auf die Daten der Mitarbeiter. Der Schutz dieser Daten hat eine große Bedeutung sowohl für Arbeitgeber als auch für Arbeitnehmer, und das IT-Recht spielt eine entscheidende Rolle dabei, rechtskonforme Lösungen zu finden. In diesem umfassenden Blog-Beitrag werden wir die verschiedenen Aspekte der Handhabung von Mitarbeiterdaten erläutern, auf Gesetze und Vorschriften eingehen, typische Situationen und Beispiele diskutieren und häufig gestellte Fragen zum Thema beantworten.

Inhaltsübersicht

• Einführung in das IT-Recht und Datenschutzgrundlagen
• Gesetzliche Grundlagen für den Schutz von Mitarbeiterdaten
• Rechte und Pflichten von Arbeitgebern
• Rechte der Arbeitnehmer
• Verpflichtungen und Voraussetzungen für die Verarbeitung von Mitarbeiterdaten
• Technische und organisatorische Maßnahmen zum Datenschutz
• Wichtige Praxisbeispiele
• FAQs zum Schutz von Mitarbeiterdaten im IT-Recht

Einführung in das IT-Recht und Datenschutzgrundlagen

Das IT-Recht ist ein interdisziplinäres Rechtsgebiet, das sich mit den rechtlichen Aspekten der Informations- und Kommunikationstechnologie beschäftigt. Es umfasst unter anderem Fragen des Datenschutzes, urheberrechtlicher Schutz von Softwares, Verträge im IT-Bereich, Lizenzfragen oder auch die Haftung bei Rechtsverstößen im digitalen Raum. Unternehmen, die das Internet nutzen und sich mit der Verarbeitung personenbezogener Daten befassen, müssen sich an die Regeln und Vorschriften des IT-Rechts halten.

Datenschutz ist ein zentraler Aspekt des IT-Rechts und beschreibt den Schutz personenbezogener Daten vor unberechtigtem Zugriff, Verarbeitung und Weitergabe. In vielen Ländern sind Datenschutzgesetze und -vorschriften in Kraft, um das Recht auf informationelle Selbstbestimmung der betroffenen Personen zu wahren.

Gesetzliche Grundlagen für den Schutz von Mitarbeiterdaten

Für die Verarbeitung von Mitarbeiterdaten sind verschiedene rechtliche Regelungen zu beachten. Zu den wichtigsten zählen:

• Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union: Sie gilt für alle Unternehmen, die in ihren Mitgliedstaaten tätig sind und personenbezogene Daten verarbeiten, unabhängig davon, ob die Verarbeitung innerhalb oder außerhalb der EU erfolgt.
• Nationale Datenschutzgesetze wie das Bundesdatenschutzgesetz (BDSG) in Deutschland: Sie ergänzen und konkretisieren die DSGVO und enthalten zumeist zusätzliche Vorgaben für den Umgang mit Mitarbeiterdaten im jeweiligen Land.
• Arbeitsrechtliche Regelungen wie das Arbeitsgesetz, Betriebsverfassungsgesetz oder Tarifverträge: Sie können Beschränkungen oder Pflichten für die Verarbeitung von Mitarbeiterdaten festlegen.

Die DSGVO ist das maßgebliche Regelwerk zum Datenschutz in der EU und definiert die Grundprinzipien, die bei der Verarbeitung personenbezogener Daten zu beachten sind, wie etwa:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz;
• Zweckbindung;
• Datensparsamkeit;
• Richtigkeit;
• Speicherbegrenzung;
• Integrität und Vertraulichkeit.

Die DSGVO legt auch die Rechte der betroffenen Personen, also den Arbeitnehmern, deren Daten verarbeitet werden, sowie die Pflichten der für die Verarbeitung Verantwortlichen und Auftragsverarbeiter (in der Regel die Arbeitgeber oder externe Dienstleister) fest.

Rechte und Pflichten von Arbeitgebern

Arbeitgeber sind bei der Verarbeitung von Mitarbeiterdaten an verschiedene Regelungen aus dem IT-Recht, insbesondere dem Datenschutzrecht, gebunden. Zu ihren Pflichten zählen unter anderem:

• Die Einhaltung der gesetzlichen Vorgaben zur Verarbeitung von Mitarbeiterdaten, wie z.B. die oben genannten Grundprinzipien der DSGVO;
• Die Umsetzung technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten, wie beispielsweise Verschlüsselung, Zugriffskontrollen oder die regelmäßige Prüfung von Sicherheitssystemen;
• Die Dokumentation der Verarbeitungstätigkeiten und die Pflicht zur Meldung von Datenschutzverletzungen an die zuständige Aufsichtsbehörde;
• Die Information der Mitarbeiter über ihre Rechte und die Handhabung ihrer Daten (z.B. durch Datenschutzerklärungen oder betriebliche Vereinbarungen);

Bei der Verarbeitung von Mitarbeiterdaten gelten auch bestimmte Beschränkungen und Verbote, beispielsweise dürfen besonders schützenswerte Kategorien von Daten (wie z.B. Informationen zu Gesundheit, Religion oder politischen Anschauungen) nur unter strengen Voraussetzungen verarbeitet werden.

Rechte der Arbeitnehmer

Arbeitnehmer haben gemäß den Regelungen des Datenschutzrechts verschiedene Rechte in Bezug auf ihre personenbezogenen Daten. Dazu gehören insbesondere:

• Das Recht auf Auskunft über die zu ihrer Person gespeicherten Daten, deren Herkunft und Verwendungszweck;
• Das Recht auf Berichtigung unrichtiger oder unvollständiger Daten;
• Das Recht auf Löschung der Daten, insbesondere wenn diese nicht mehr für die ursprünglich angestrebten Zwecke benötigt werden, die betroffene Person ihre Einwilligung widerruft oder die Verarbeitung unrechtmäßig ist;
• Das Recht auf Einschränkung der Datenverarbeitung, z.B. wenn die Richtigkeit der Daten bestritten wird oder die Verarbeitung unrechtmäßig ist, aber die betroffene Person die Löschung ablehnt;
• Das Recht auf Datenübertragbarkeit, also das Recht, die eigenen personenbezogenen Daten, die aufgrund einer Einwilligung oder eines Vertrags verarbeitet werden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten;

Diese Rechte können direkt gegenüber dem Arbeitgeber oder einem von ihm eingesetzten Datenschutzbeauftragten geltend gemacht werden.

Verpflichtungen und Voraussetzungen für die Verarbeitung von Mitarbeiterdaten

Die Verarbeitung von Mitarbeiterdaten ist grundsätzlich nur auf der Grundlage einer gesetzlichen Erlaubnis oder mit der Einwilligung der betroffenen Person zulässig. Erlaubnisse können sich beispielsweise aus arbeitsrechtlichen Regelungen oder aus dem BDSG ergeben. In der Regel liegt allerdings ein berechtigtes Interesse des Arbeitgebers vor, das die Verarbeitung der Daten ohne explizite Einwilligung der betroffenen Person rechtfertigt. Dieses berechtigte Interesse muss jedoch immer im Einzelfall gegen die schutzwürdigen Interessen und Grundrechte der Arbeitnehmer abgewogen werden.

Die Einwilligung der Arbeitnehmer zur Verarbeitung ihrer personenbezogenen Daten kann unter bestimmten Umständen erforderlich sein, beispielsweise bei der Verarbeitung sensibler Daten oder für zusätzliche Verwendungszwecke, die über das Arbeitsverhältnis hinausgehen. Die Einwilligung muss jedoch freiwillig, informiert und eindeutig erfolgen, was im Arbeitsverhältnis oftmals aufgrund der bestehenden Abhängigkeitsverhältnisse problematisch sein kann. Arbeitgeber sollten daher sorgfältig prüfen, ob eine Einwilligung von Arbeitnehmern tatsächlich rechtswirksam ist, und im Zweifelsfall alternative gesetzliche Erlaubnistatbestände für die Verarbeitung in Betracht ziehen.

Technische und organisatorische Maßnahmen zum Datenschutz

Gemäß Art. 32 DSGVO sind Arbeitgeber bzw. datenverarbeitende Unternehmen verpflichtet, geeignete technische und organisatorische Maßnahmen (TOM) zur Gewährleistung eines angemessenen Schutzniveaus der Mitarbeiterdaten zu treffen. Diese Maßnahmen müssen auf das jeweilige Risiko für die betroffenen Personen abgestimmt werden und können beispielsweise folgende Aspekte umfassen:

• Zugriffs- und Zugangskontrolle: Um sicherzustellen, dass nur autorisierte Personen auf personenbezogene Daten zugreifen und diese verarbeiten können, sollten technische und organisatorische Zugangsbeschränkungen eingerichtet werden (z.B. Passwortschutz, Zwei-Faktor-Authentifizierung oder geschützte Bereiche im Firmennetzwerk).
• Übermittlungskontrolle: Um die Sicherheit von Daten während ihrer Übermittlung zu gewährleisten, sind geeignete Verschlüsselungstechnologien einzusetzen, wie z.B. TLS/SSL bei der Datenübertragung im Internet oder verschlüsselte E-Mails bei der internen Kommunikation.
• Eingabekontrolle: Um Manipulationen oder unberechtigte Veränderungen von Mitarbeiterdaten zu verhindern, sollten Systeme zur Protokollierung von Verarbeitungsaktivitäten und Kontrollmechanismen zur Nachvollziehbarkeit von Datenänderungen implementiert werden.
• Auftragskontrolle: Bei der Beauftragung externer Dienstleister zur Verarbeitung von Mitarbeiterdaten sind arbeitsrechtliche und datenschutzrechtliche Regelungen zu beachten, und der Vertrag sollte entsprechende Vereinbarungen zur Auftragsverarbeitung enthalten, die die Einhaltung der Datenschutzvorschriften gewährleisten.

Wichtige Praxisbeispiele

Im Folgenden werden einige Praxisbeispiele dargelegt, die verdeutlichen, wie IT-Recht und Datenschutz im Zusammenhang mit Mitarbeiterdaten in der Praxis relevant werden können:

1. Videokonferenzen: Mit der zunehmenden Nutzung von Videokonferenz-Tools sowie Home-Office im Zuge der Corona-Pandemie spielen Fragen des Datenschutzes auch bei der Kommunikation zwischen Mitarbeitern eine wichtige Rolle. Dabei ist es wichtig, bei der Auswahl eines Videokonferenzdienstes auf Datenschutzkonformität zu achten und die Einhaltung der DSGVO sowie nationalen Datenschutzgesetzen sicherzustellen.
2. Arbeitszeiterfassung: Die Einführung von Arbeitszeiterfassungssystemen, die beispielsweise über GPS, biometrische Daten oder Smartphone-Apps funktionieren, kann mit hohen Datenschutzanforderungen und arbeitsrechtlichen Vorgaben verbunden sein. Arbeitgeber sollten daher sorgfältig prüfen, ob die Verarbeitung derartiger Daten in einem angemessenen Verhältnis zum Zweck der Arbeitszeiterfassung steht, ob weniger invasive Technologien in Betracht gezogen werden können und ob die von der DSGVO vorgegebenen Grundsätze eingehalten werden.
3. Arbeitsplatzüberwachung: Die Überwachung von Mitarbeitern, sei es durch Videoüberwachung, Keylogger-Software oder andere Technologien, stößt auf erhebliche datenschutzrechtliche Bedenken und muss strengsten Anforderungen genügen. Die Grundsätze der Verhältnismäßigkeit und des berechtigten Interesses sind hier von zentraler Bedeutung, ebenso die Information der Mitarbeiter über die geplante Überwachung und die damit verbundenen Datenschutzrisiken.

FAQs zum Schutz von Mitarbeiterdaten im IT-Recht

Nachfolgend finden Sie einige häufig gestellte Fragen zum Schutz von Mitarbeiterdaten im IT-Recht und den damit verbundenen Rechten und Pflichten von Arbeitgebern und Arbeitnehmern:

1. Wie lange dürfen Mitarbeiterdaten gespeichert werden?
   Die Speicherdauer von Mitarbeiterdaten ist grundsätzlich auf das erforderliche Minimum zu beschränken. Nach Beendigung des Arbeitsverhältnisses sollen die Daten gelöscht werden, sofern keine gesetzlichen Aufbewahrungsfristen (z.B. für Lohn- und Gehaltsabrechnungen oder Steuerunterlagen) oder berechtigten Interessen des Arbeitgebers (z.B. zur Abwehr von Rechtsansprüchen) entgegenstehen.
2. Ist eine Betriebsvereinbarung zum Datenschutz erforderlich?
   Eine Betriebsvereinbarung zum Datenschutz kann sinnvoll sein, um die Einhaltung der rechtlichen Vorgaben im Zusammenhang mit der Verarbeitung von Mitarbeiterdaten und die Zusammenarbeit zwischen Arbeitgeber und Betriebsrat in datenschutzrechtlichen Angelegenheiten zu regeln.
3. Wie sollte mit der Nutzung privater Geräte für berufliche Zwecke (BYOD) umgegangen werden?
   Die Nutzung von Privatgeräten für berufliche Zwecke („Bring Your Own Device“ – BYOD) kann erhebliche datenschutzrechtliche Risiken bergen, insbesondere im Hinblick auf die Vermischung von betrieblichen und privaten Daten sowie die Sicherheit der Datenverarbeitung. Um diese Risiken zu minimieren, sollten Arbeitgeber eine BYOD-Richtlinie erstellen, die klare Regelungen zum Umgang mit privaten Geräten enthält und eventuell technische Lösungen zur Trennung von betrieblichen und privaten Daten vorsieht.

Abschließend ist festzuhalten, dass der Schutz von Mitarbeiterdaten ein komplexes und wichtiges Thema im IT-Recht darstellt. Arbeitgeber sollten sich daher über ihre Rechte und Pflichten im Umgang mit diesen Daten im Klaren sein und gegebenenfalls anwaltliche Beratung in Anspruch nehmen, um rechtskonforme Lösungen zu finden und kostspielige Verstöße gegen Datenschutzgesetze zu vermeiden.