Welche Daten dürfen Firmen von neuen Mitarbeitern abfragen?

Lieblingsfarbe, Schuhgröße, Nickname auf Dating-Portalen – Arbeitgeber können sich für Informationen beliebiger Art interessieren. Wie kaum anders zu erwarten, dürfen die personenbezogenen Daten neuer Beschäftigter aber nicht einfach angehäuft werden. Dafür sorgen einerseits die allgemeinen datenschutzrechtlichen Vorschriften, andererseits spezielle Regeln für den Beschäftigtendatenschutz. Was droht, wenn Arbeitgeber über die Stränge schlagen, zeigen eindrücklich die vielen Verfahren vor Gerichten und Behörden, die sich mit dem Schutz von Mitarbeiterdaten befassen. Welche Grundsätze wichtig sind, beleuchten wir in diesem Artikel. 

Schutz von Mitarbeiterdaten auf Basis der DSGVO und des BDSG

Mit der Verarbeitung von personenbezogenen Daten ist es wie mit dem Autofahren auf öffentlichen Straßen: Es ist quasi verboten – außer es gibt eine Rechtsgrundlage, die es erlaubt. Das klingt profan, aber solche Grundgedanken sind häufig eine nützliche Hilfe im Alltag, wenn man vor lauter Bäumen den Wald nicht mehr sieht. 

Ausschlaggebend für die Datenverarbeitung im Beschäftigungskontext sind Art. 88 DSGVO sowie insbesondere § 26 BDSG. Im Bereich des Mitarbeiterdatenschutzes gibt es eine Besonderheit: Die Vorgaben müssen auch angewendet werden, wenn sie nicht in einem Dateisystem gespeichert werden (sollen) – also etwa, wenn ein Mitarbeiter befragt wird, ohne dass die Inhalte in die Personalakte fließen. In § 26 BDSG findet sich zudem der angesprochene Grundgedanke wieder: Unternehmen dürfen Mitarbeiterdaten nur insofern erheben und verarbeiten und insgesamt nutzen, als es erforderlich ist, um ein Beschäftigungsverhältnis aufzunehmen, durchzuführen oder zu beenden. Knackpunkt ist in der Regel die Erforderlichkeit – Arbeitgeber müssen die eigenen Interessen mit denen des Arbeitnehmers abwägen und in einen angemessenen Ausgleich bringen. Auch auf Basis von Tarifverträgen oder Betriebsvereinbarungen kann die Verarbeitung von Mitarbeiterdaten gerechtfertigt sein. 

Daten, die das Beschäftigungsverhältnis betreffen, können z. B. sein: 

• Name, Geburtsdatum und Anschrift
• Steuerinformationen und Kontodaten
• Kranken- und Sozialversicherungsnummern
• Gesundheitsdaten im Rahmen der Krankmeldung

Hat die Veröffentlichung von Geburtstagslisten einen Bezug zum Beschäftigungsverhältnis?

Darüber hinaus kann die Datenverarbeitung zulässig sein, wenn dies etwa der Aufdeckung von Straftaten gilt oder ein sonstiger Erlaubnistatbestand erfüllt ist. Bei Daten, die nicht das Beschäftigungsverhältnis selbst betreffen, kommt hier speziell die Einwilligung ins Spiel. Ein klassisches Beispiel für eine Datenverarbeitung, bei welcher der Bezug zum Beschäftigungsverhältnis eher fraglich erscheint und deshalb womöglich eine Einwilligungslösung in Betracht gezogen werden muss, ist die (interne) Veröffentlichung von Geburtstagslisten – diese „einfach so“ zu veröffentlichen, das ist keine gute Idee.

Dahinter steckt die Abwägung zwischen den Interessen von Arbeitgeber und -nehmer: Das Recht der informationellen Selbstbestimmung des Mitarbeiters dürfte grundsätzlich schwerer wiegen als das Interesse des Arbeitgebers (und der Kollegen) auf Information. Dass es durchaus auf die konkreten Umstände im Einzelfall ankommt, zeigt sich beispielsweise in dem Fall, dass auf einer Firmenfeier Fotos von Mitarbeitern gemacht werden – das Knipsen für interne Zwecke wäre hier eine Sache, die Veröffentlichung auf der Website wiederum eine andere. 

Einwilligung – ist kein Ja und Amen 

Es führt also eventuell kein Weg an der Einholung einer Einwilligung vorbei, wenn die Datenverarbeitung stattfinden soll, diese aber nicht das Beschäftigungsverhältnis betrifft. Wie man es beispielsweise von der Einwilligung in die Nutzung nicht erforderlicher Cookies kennt, müssen aber Anforderungen erfüllt werden, damit die Einwilligung auch wirksam ist. Zwar kann der Mitarbeiter „Ja“ gesagt haben, das bedeutet aber nicht, dass der Arbeitgeber dadurch auf Teufel komm raus gerechtfertigt ist. Grundsätzlich gilt: Eine Einwilligung kann eine Datenverarbeitung überhaupt nur dann rechtfertigen, wenn sie freiwillig, informiert, auf einen konkreten Fall bezogen und unmissverständlich erklärt wurde.  

Für den Bereich der Datenverarbeitung von Beschäftigten ergeben sich zusätzliche Anforderungen zu diesen Grundprinzipien der Einwilligung aus § 26 Abs. 2 BDSG: 

• Freiwilligkeit: Um zu beurteilen, ob diese vorliegt und der Wirksamkeit der Einwilligung damit nicht im Weg steht, muss „insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist“, berücksichtigt werden. Dem Gesetz zufolge kann die Freiwilligkeit insbesondere dann vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und die beschäftigte Person gleichgelagerte Interessen verfolgen. 
• Form: Die Einwilligung muss schriftlich oder elektronisch erfolgen, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.
• Information: Der Arbeitgeber muss die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach den allgemeinen Anforderungen der DSGVO (Art. 7 Abs. 3 DSGVO) in Textform aufklären.
• Die Einwilligung kann sich auch auf besonders sensible Daten beziehen. Hier müssen, wie insgesamt im Umgang mit besonderen Kategorien von Daten, aber spezielle Eckpunkte beachtet werden. Betroffen sind hier personenbezogene Daten, „aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“.

Fazit – Auf die Details kommt es an

Wollen, beziehungsweise müssen Arbeitgeber personenbezogene Daten ihrer Beschäftigten verarbeiten, sollten sie insbesondere einen Blick auf die Grundprinzipien des Datenschutzrechts werfen, dabei aber auch die Besonderheiten des Beschäftigtendatenschutzes beachten. Je nach Art und Zweck der Verarbeitung sowie abhängig von der Kategorie der Daten, die verarbeitet werden, gelten unterschiedliche Voraussetzungen, die erfüllt werden müssen, um die Verarbeitung auf sichere Beine zu stellen.