Zurück zur Übersicht

Datenschutzinformationen im Beschäftigtenkontext

Worum geht es?

Grundsätzlich gilt im Rahmen der DSGVO: Jede Verarbeitung personenbezogener Daten ist zunächst verboten, es sei denn, es gibt einen rechtlich abgesicherten Erlaubnistatbestand. In Deutschland regelt § 26 des Bundesdatenschutzgesetzes (BDSG) die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, sofern dies für die Entscheidung über die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses oder zur Ausübung der Rechte und Pflichten aus Gesetz, Tarifvertrag oder Betriebsvereinbarung erforderlich ist.

Allerdings sind Arbeitgeber*innen gesetzlich dazu verpflichtet, ihre Beschäftigten über die Erhebung, Verarbeitung und Nutzung ihrer Daten umfassend zu informieren sowie – falls anwendbar – auf ihr Widerrufsrecht gemäß Art. 7 Abs. 3 hinzuweisen. Gleiches gilt im Übrigen auch für Bewerber*innen. Diese Datenschutzinformationspflichten spielen eine wichtige Rolle, um Transparenz, Vertrauen und Rechtskonformität im Arbeitsumfeld sicherzustellen.

Dabei sollten sie auf die Zwecke der Datenverarbeitung, die Rechtsgrundlage und gegebenenfalls auf eine Weitergabe der Daten an Personalvermittler oder andere Unternehmen innerhalb eines Verbundes hinweisen (siehe Artikel 13 Absatz 1 lit. e DSGVO). Daraus ergeben sich die sogenannten Informationspflichten.

Informationspflichten

Gemäß der Datenschutz-Grundverordnung (DSGVO) müssen Arbeitgeber*innen ihre Bewerber*innen und Mitarbeitenden bereits bei der Datenerhebung gemäß Artikel 13 über die Verarbeitung ihrer Daten informieren. Die Informationen, die den Beschäftigten bereitgestellt werden müssen, sollten klar, verständlich und leicht zugänglich sein. Im Allgemeinen sollten Sie ihre Beschäftigten über Folgendes informieren:

1. Zwecke der Verarbeitung

Sie sollten ihre Mitarbeiter darüber informieren, zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden. Dies kann beispielsweise die Personalverwaltung, die Gehaltsabrechnung, die Leistungsbewertung oder die Organisation von Schulungen umfassen.

2. Rechtsgrundlage

Sie müssen angeben, auf welcher Rechtsgrundlage Sie die personenbezogenen Daten der Mitarbeitenden verarbeiten. Dies kann beispielsweise die Erfüllung des Arbeitsvertrags, die Einhaltung gesetzlicher Verpflichtungen oder berechtigtes Interesse sein.

3. Empfänger*innen der Daten

Es ist wichtig, dass Sie ihre Mitarbeitenden darüber informieren, an wen ihre personenbezogenen Daten weitergegeben werden können. Dies können interne Abteilungen, externe Dienstleistungsunternehmen, Behörden oder andere Dritte sein.

4. Datenübermittlung in Drittstaaten:

Falls personenbezogene Daten in Länder außerhalb der Europäischen Union übermittelt werden, müssen Sie ihre Mitarbeitenden darüber informieren und gegebenenfalls angemessene Schutzmaßnahmen ergreifen. Falls eine Weitergabe von Daten an Drittstaaten außerhalb der EU oder des Europäischen Wirtschaftsraums geplant ist, müssen Sie ihre Mitarbeitenden auch über diesen Umstand und die entsprechenden Sicherheitsvorkehrungen informieren (siehe Artikel 13 Absatz 1 lit. f DSGVO).

5. Speicherfristen:

Sie sollten ihre Mitarbeitenden darüber informieren, wie lange ihre personenbezogenen Daten gespeichert werden und nach welchen Kriterien die Speicherfristen festgelegt werden.

Es kann vorkommen, dass personenbezogene Daten nicht direkt von den Beschäftigten, sondern von Dritten erhoben werden. In solchen Fällen gelten die gesetzlichen Anforderungen an eine nachträgliche Benachrichtigung gemäß Artikel 14 DSGVO. Dabei sind ähnliche Informationen wie bei der Datenerhebung bei den Beschäftigten bereitzustellen, zusätzlich jedoch auch Angaben über die Herkunft der Daten (siehe Artikel 14 Absatz 2 lit. f DSGVO).

Das Verzeichnis von Verarbeitungstätigkeiten im Beschäftigtendatenschutz

Das Verzeichnis von Verarbeitungstätigkeiten (VVT) ist ein wichtiges Instrument zur Einhaltung der Informationspflichten gegenüber Beschäftigten im Rahmen des Datenschutzes. Es dient dazu, einen umfassenden Überblick über die Datenverarbeitungsprozesse im Unternehmen zu erhalten und transparent darzustellen.

Das VVT enthält detaillierte Informationen über die Art, den Zweck, die Rechtsgrundlage, die Kategorien von betroffenen Personen und Empfänger*innen sowie die geplante Speicherdauer der verarbeiteten Daten. Es erfasst also alle Datenverarbeitungsprozesse, die im Rahmen des Beschäftigungsverhältnisses stattfinden, einschließlich der Datenerhebung, -verarbeitung und -nutzung.

Durch die Erstellung und Aktualisierung eines VVT können Sie sicherstellen, dass Sie Ihre Informationspflichten gegenüber den Beschäftigten erfüllen. Es ermöglicht eine systematische Dokumentation der Datenverarbeitungsprozesse und stellt sicher, dass alle relevanten Informationen zur Verfügung stehen, um die Beschäftigten gemäß den Anforderungen der Datenschutzgesetze zu informieren. Das VVT liefert somit die Basis für Ihre Datenschutzinformation gegenüber Beschäftigten und Bewerber*innen.

Fazit

Sie sollten ihre Beschäftigten klar und verständlich über die Verarbeitung ihrer Daten informieren und sicherstellen, dass sie die erforderlichen Informationen leicht zugänglich haben. Das VVT ist ein wertvolles Instrument, um die Verarbeitungsprozesse zu dokumentieren und bildet die Basis für Ihre Datenschutzinformation.

Wie ist bei Ihnen der aktuelle Stand? Informieren Sie Beschäftigte und Bewerber*innen über die Verarbeitung ihrer Daten? Sind alle Verarbeitungen in Ihrem VVT?

Auszug aus Datenschutz Info-Brief Juli 2023; Autor: Claus Wissing

* Der monatliche Datenschutz Info-Brief ist Teil des Online Datenschutzportals der Führungs-Akademie, das die Datenschutzbeauftragten der Vereine und Verbände u.a. mit Checklisten, Mustervorlagen und aktuellen Informationen zum Datenschutz sowie einem monatlichen Live-Chat bei der Umsetzung des Datenschutzes unterstützt.