Für den Umgang mit vertraulichen Informationen am Arbeitsplatz legt die Datenschutz-Grundverordnung mehrere Regeln fest, die befolgt werden müssen. Arbeitnehmer haben Rechte und Pflichten, wenn es um den Schutz ihrer eigenen persönlichen Daten am Arbeitsplatz geht. Dieser Artikel gibt einen Überblick über dieses Thema.
Unternehmen werden regelmäßig mit den persönlichen Informationen ihrer Mitarbeiter (Personaldaten) konfrontiert. Um harte Strafen zu vermeiden, müssen Sie beim Umgang mit diesen sensiblen Informationen die DSGVO-Bestimmungen für Mitarbeiter einhalten.
Personenbezogene Daten sind Informationen über den Arbeitnehmer, die vom Arbeitgeber im Rahmen des Arbeitsverhältnisses gespeichert und verwendet werden. Der Arbeitgeber benötigt diese Informationen vom Arbeitnehmer, um seine Tätigkeit auszuüben.
Schutz personenbezogener Daten am Arbeitsplatz
Sowohl beim Datenschutz für Firmenmitarbeiter als auch beim Umgang mit personenbezogenen Kundendaten müssen sich Arbeitgeber an gesetzliche Vorgaben halten. So dürfen Unternehmen Beschäftigtendaten nur dann erheben, verarbeiten und nutzen, wenn der Beschäftigte eingewilligt hat oder eine gesetzliche Vorschrift (z.B. Sozial- oder Steuerrecht) dies ausdrücklich vorschreibt oder verlangt.
Dieser Rechtsschutz für Arbeitnehmer besagt, dass der Arbeitgeber nur solche personenbezogenen Daten erheben, verarbeiten und nutzen darf, die für die Begründung, Beendigung oder Aufrechterhaltung eines Arbeitsverhältnisses erforderlich sind.
Die Unternehmen können zum Beispiel folgende personenbezogene Daten verarbeiten:
Um Daten von Arbeitnehmern, die nicht in einem Arbeitsverhältnis stehen, verwenden zu können, muss der Arbeitgeber zunächst die schriftliche und freiwillige Zustimmung des Arbeitnehmers einholen. Dies gilt zum Beispiel für die folgenden Bereiche:
Personalwesen und Datenschutz
Der Arbeitnehmerdatenschutz normiert neben dem Verwendungszweck auch Löschpflichten, Aufbewahrungsfristen und Schutzmaßnahmen. Wenn die Daten für die Verarbeitung nicht mehr relevant sind und keine gesetzlichen Aufbewahrungspflichten bestehen, muss der Arbeitgeber sie löschen.
Das Unternehmen muss Mitarbeiterdaten löschen, wenn die gesetzlichen Aufbewahrungspflichten und Verjährungsfristen abgelaufen sind. Alle Verarbeitungsvorgänge, wie z.B. Lohnabrechnung und Zeiterfassung, müssen in einem Register erfasst werden.
In Bezug auf die Datensicherheit muss die Personalabteilung sicherstellen, dass die Daten der Mitarbeiter in der Personalakte sowie der Zugang zu HR-Software (Softwarelösungen für die Personalverwaltung) geschützt sind. Der Zugriff auf elektronische Personalakten muss durch Verschlüsselung, Passwörter und Authentifizierung verhindert werden.
Arbeitnehmerrechte und Datenschutz
Der Schutz der Arbeitnehmerdaten wurde durch die Datenschutz-Grundverordnung verbessert, die den Arbeitnehmern das Recht auf Zugang zu ihren personenbezogenen Daten einräumt.
Der Arbeitnehmer kann dem Arbeitgeber verbieten, Mitarbeiterdaten oder -bilder auf der Website des Unternehmens oder in den sozialen Medien zu veröffentlichen. Der Arbeitnehmer muss zum Beispiel der Veröffentlichung der folgenden Daten ausdrücklich zustimmen:
Endet die Arbeitsbeziehung, müssen die Daten, die Gegenstand der Zustimmung waren, so schnell wie möglich entfernt werden. Wenn die Zustimmung widerrufen wird, müssen die Daten ebenfalls entfernt werden.
Arbeitnehmer und Datenschutz: Was sind die Verantwortlichkeiten?
Wenn es um die persönlichen Daten ihrer Mitarbeiter geht, müssen die Beschäftigten ebenfalls Datenschutzstandards einhalten. Ohne die Zustimmung der Betroffenen dürfen Sie zum Beispiel keine Geburtstagslisten oder Mitarbeiterfotos verwenden.
Außerdem müssen sie Passwörter, Dateien und Bescheinigungen vor unerwünschten Dritten schützen. Arbeitnehmer haben auch kein Recht darauf, dass ihr Unternehmen ihren gesamten Arbeitsplan veröffentlicht, insbesondere wenn persönliche Informationen wie Arbeits- und Urlaubszeiten in den Akten gespeichert sind.
Hierfür ist die Zustimmung der Mitarbeiter erforderlich. Wenn jemand krank ist, kann er nur eingeschränkt angezeigt werden, z. B. mit dem Vermerk „vermisst“, und er kann keinen Grund dafür angeben, warum er krank war.
Regelmäßige Schulungen aller Mitarbeiter sind erforderlich, um das Personal für den verantwortungsvollen Umgang mit personenbezogenen Daten zu sensibilisieren. Dies wirkt sich sowohl auf den Umgang mit Mitarbeiterdaten – etwa in sozialen Medien oder im Betriebsrat – als auch auf den Umgang mit Kundendaten am Arbeitsplatz aus.