Mitarbeiterdatenverarbeitung: Was ist laut DSGVO richtig und falsch?

Petar Todorovski

By Petar Todorovski . 1 März 2024

Data Privacy Specialist

Miklos Zoltan

Fact-Checked this

Arbeitgeber verarbeiten personenbezogene Daten ihrer Mitarbeiter. Das lässt sich nicht vermeiden. Allerdings sind die Hände der Arbeitgeber durch die DSGVO und andere Datenschutzgesetze gebunden, wenn es um die Verarbeitung dieser Daten geht.

Die Datenschutz-Grundverordnung (DSGVO) legt klare Richtlinien fest bezüglich der Sammlung und Verarbeitung von Daten, die nicht unbedingt erforderlich sind, wie etwa für Marketingzwecke. In solchen Fällen ist die explizite Zustimmung des Nutzers erforderlich, um dessen Daten nutzen zu dürfen.

Bei der Verarbeitung personenbezogener Daten, die im besten Interesse des Nutzers liegen, gelten jedoch andere Vorschriften. Hier können Unternehmen auf andere rechtliche Grundlagen zurückgreifen.

Die Handhabung von Mitarbeiterdaten befindet sich in einer Grauzone. Arbeitgeber dürfen diese Daten verarbeiten, um spezifische rechtliche Verpflichtungen zu erfüllen, müssen dabei aber strenge Auflagen beachten.

Wie regelt die DSGVO die Verarbeitung personenbezogener Daten von Mitarbeitern?

Zur Erinnerung: Die DSGVO ist eine Verordnung, die in jedem Mitgliedsstaat direkt anwendbar ist. Sie ist bei der Verarbeitung von Mitarbeiterdaten nicht so spezifisch wie in anderen Bereichen. Sie legt den Rahmen fest, innerhalb dessen jeder EU-Mitgliedsstaat diese Fragen regeln kann.

Die DSGVO besagt, dass:

  • Jeder Mitgliedstaat der Europäischen Union die Freiheit hat, die Verarbeitung von Mitarbeiterdaten, einschließlich sensibler Daten, zu regeln.
  • Sie können die Verarbeitung durch nationale Gesetze und kollektive Vereinbarungen regeln.
  • Die Mitgliedstaaten müssen sicherstellen, dass ihre Gesetze und kollektiven Verträge die Menschenwürde, berechtigte Interessen und Grundrechte der betroffenen Person schützen.
  • Nationale Gesetze und kollektive Vereinbarungen sollten die DSGVO-Regeln bezüglich Transparenz bei der Verarbeitung und internationaler Datenübermittlung berücksichtigen.

Was bedeutet das?

Das bedeutet, dass der Arbeitgeber Mitarbeiterdaten verarbeiten kann für:

  • Personalbeschaffung
  • Durchführung von Arbeitsverträgen
  • Vielfalt und Gleichberechtigung am Arbeitsplatz
  • Planung und Organisation der Arbeit
  • Unternehmensführung
  • Sicherheit und Gesundheit am Arbeitsplatz
  • Schutz des Eigentums des Arbeitgebers oder der Kunden oder
  • Jede andere Verpflichtung, die der Arbeitgeber unter den geltenden Gesetzen und kollektiven Vereinbarungen haben könnte.

Dies schließt auch die Verarbeitung sensibler personenbezogener Daten ein, wie zum Beispiel Gesundheitsdaten, Rasse, ethnische Herkunft, sexuelle Orientierung und andere.

Was der Arbeitgeber tun muss

Neben der Einhaltung der Arbeitsgesetze muss der Arbeitgeber auch die DSGVO einhalten. Im Bereich der Personalabteilung bedeutet das Folgendes:

Daten für angemessene Zwecke verarbeiten. Der Arbeitnehmer hat seine Daten für Beschäftigungszwecke zur Verfügung gestellt. Das gibt dem Arbeitgeber das Recht, die Daten nur für Beschäftigungszwecke und nichts anderes zu verarbeiten.

Einwilligung des Arbeitnehmers für die Verarbeitung über Beschäftigungszwecke hinaus einholen. Wenn der Arbeitgeber die Daten des Arbeitnehmers für andere Zwecke verarbeiten möchte, benötigt er deren ausdrückliche Zustimmung für bestimmte Zwecke. Dabei muss der Arbeitgeber sicherstellen, dass der Arbeitnehmer gut darüber informiert ist und ihm die Möglichkeit bietet, seine Einwilligung zurückzuziehen, wenn er dies wünscht.

Sicherstellen, dass Datenübertragungen rechtmäßig sind. Datenübertragungen innerhalb der EU und angemessenen Ländern sind frei. Übertragungen in Drittländer sind nicht frei, und solche in die Vereinigten Staaten sind besonders heikel.

Lesen Sie mehr darüber, wie Sie personenbezogene Daten in Übereinstimmung mit der DSGVO in die USA übertragen können.

Sicherheitsmaßnahmen umsetzen. Die Gemeinde Bergen in Norwegen wurde mit einer Geldstrafe von 170.000 Euro belegt, weil sie keine angemessenen Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten von Schülern und Lehrern ergriffen hat.

Eine schlechte Anmeldung mag im Tagesgeschäft eine kleine Angelegenheit erscheinen, aber jede unzureichende Sicherheitsmaßnahme gefährdet das Budget und das Markenimage des Arbeitgebers.

Vielleicht einen Datenschutzbeauftragten (DSB) ernennen. Einige Unternehmen müssen einen DSB ernennen. Die DSGVO verlangt von folgenden Stellen, einen DSB zu ernennen:

  • Behörden
  • Unternehmen, deren Haupteinnahmequelle die Datenverarbeitung ist, und
  • Unternehmen, die sensible personenbezogene Daten erfassen und/oder verarbeiten.

Nicht alle Unternehmen gehören zu diesen Kategorien. Daher müssen nicht alle einen DSB ernennen. Für alle anderen ist es eine gute Praxis, eine Person im Unternehmen für den Datenschutz zu benennen.

Was der Arbeitnehmer tun kann

Der Arbeitnehmer kann seine Betroffenenrechte ausüben. Jede Person, auf die die DSGVO Anwendung findet, hat eine Reihe von Datenschutzrechten, die sie ausüben können, um Schaden zu verhindern und ihre Privatsphäre zu schützen.

Recht auf Zugang. Der Arbeitnehmer kann jederzeit Zugang zu den personenbezogenen Daten verlangen, die der Arbeitgeber verarbeitet. Gleichzeitig kann der Arbeitnehmer sich über die Verarbeitungszwecke informieren und erfahren, ob die Daten nur für Beschäftigungszwecke verarbeitet werden oder nicht.

Außerdem kann der Arbeitnehmer sich über die Tools Dritter informieren, die der Arbeitgeber für die Datenverarbeitung verwendet. Das hilft ihnen dabei festzustellen, ob die Verarbeitung rechtmäßig ist, welche Verarbeitungszwecke bestehen, ob Daten ins Ausland übertragen werden und so weiter.

Widerspruchsrecht. Wenn der Arbeitnehmer feststellt, dass einige Daten aus falschen Gründen verarbeitet werden, kann er dagegen Einspruch erheben. Der Arbeitgeber muss die Verarbeitung für diese speziellen Zwecke einstellen.

Wenn die Daten jedoch ausschließlich für Beschäftigungszwecke verarbeitet werden, besteht kein Raum für Einspruch.

Recht auf Berichtigung. Der Arbeitnehmer hat das Recht, seine ungenauen Daten korrigieren zu lassen. Der Arbeitgeber muss die gewünschten Korrekturen vornehmen.

Recht auf Vergessenwerden. Der Arbeitnehmer hat unter bestimmten Umständen das Recht, vergessen zu werden. Er oder sie kann die Löschung seiner Daten aus den Unterlagen des Arbeitgebers verlangen, wenn beide folgenden Bedingungen erfüllt sind:

  • Der Arbeitnehmer ist nicht mehr beim Arbeitgeber beschäftigt, und
  • Der Arbeitgeber benötigt die personenbezogenen Daten des Arbeitnehmers nicht mehr.

In allen anderen Fällen kann der Arbeitgeber die Löschung der personenbezogenen Daten des Arbeitnehmers ablehnen.

Entschädigung im Falle von Schäden durch einen Datenschutzverstoß erhalten. Manchmal sind Unternehmen Opfer von Datenschutzverstößen. Diese Verstöße können den Arbeitnehmern Schaden zufügen. Wenn Schäden entstehen, hat der Arbeitnehmer das Recht, eine Entschädigung für die erlittenen Schäden zu erhalten.

Was passiert, wenn Arbeitgeber und Arbeitnehmer in verschiedenen Ländern sind?

Wenn der Arbeitgeber und der Arbeitnehmer in der EU sind, ist alles einfach – die DSGVO gilt für alle.

Heutzutage sind Arbeitgeber und Arbeitnehmer jedoch oft in verschiedenen Ländern. Das beeinflusst auch die Anwendbarkeit der DSGVO und kann sowohl für den Arbeitgeber als auch für den Arbeitnehmer kompliziert sein.

Hier ist eine einfache Faustregel:

  • Arbeitgeber aus der EU und Arbeitnehmer aus anderen Ländern, DSGVO gilt
  • Arbeitgeber aus der EU und Arbeitnehmer aus der EU in anderen Ländern, DSGVO gilt
  • Arbeitgeber aus der EU und Arbeitnehmer aus der EU, DSGVO gilt
  • Arbeitgeber aus anderen Ländern und Arbeitnehmer aus anderen Ländern, DSGVO gilt nicht
  • Arbeitgeber aus anderen Ländern und Arbeitnehmer aus der EU in anderen Ländern, DSGVO gilt nur für die Beziehung zu den EU-Arbeitnehmern.

Ermitteln Sie, ob die DSGVO zutrifft, und lesen Sie gegebenenfalls erneut, was der Arbeitgeber tun muss und was der Arbeitnehmer tun kann, um ihre personenbezogenen Daten ordnungsgemäß zu schützen.

Die wichtigsten Punkte

Wann immer personenbezogene Daten involviert sind, gelten Datenschutzgesetze. Das schließt Arbeitsverhältnisse nicht aus.

Die DSGVO ist bei der Verarbeitung von Daten für Beschäftigungszwecke nicht sehr streng. Sie lässt Spielraum für Arbeitsgesetze und Tarifverträge, um die Kategorien von Daten festzulegen, die verarbeitet werden können.

Der Arbeitgeber muss alle anderen DSGVO-Anforderungen für alle anderen Aspekte erfüllen.

Der internationale Arbeitgeber, der Menschen in vielen verschiedenen Ländern beschäftigt, muss sehr vorsichtig sein. Arbeitsgesetze unterscheiden sich in den EU-Ländern, und jedes Land hat seine eigenen Tarifverträge.

Das stellt sie vor eine große Herausforderung. Sie können den sicheren Weg gehen, indem sie einfach die minimale Menge an benötigten Daten verarbeiten. Das ist eines der grundlegenden Datenschutzprinzipien, das alles andere einfacher

Petar Todorovski
Datenschutzexperte Rechtsberater für IT-Regulierung – Ministerium für Informationsgesellschaft und Verwaltung von Mazedonien. Petar Todorovski interessiert sich für nahezu alles, wo Recht und Technologie aufeinandertreffen. Seine Arbeit umfasst rechtliche Beratung für Unternehmen, die Erstellung von IT-bezogenen Gesetzen für die mazedonische Regierung und die Entwicklung von Legal-Tech-Apps für eine Datenschutzmanagement-Plattform. Er verfügt über Erfahrungen in den Bereichen Datenschutz, Cybersicherheit, Vertrauensdienste, digitale Transformation von öffentlichen Dienstleistungen, Zugang zur Justiz und Schreiben für das Internet. Er ist ein großer Befürworter von Automatisierung, nutzerzentriertem Design und der Verwendung von einfacher Sprache in der Rechtsbranche. Petar macht eine Pause von Recht und Technik, indem er ein Crossfit-Workout absolviert, die Natur genießt und klugen Leuten in ihren Blogs folgt.
Petar Todorovski
  • Connect with the author:

Leave a Comment