Im Rahmen eines Arbeitsverhältnisses ist die Erhebung, Verarbeitung und Speicherung personenbezogener Daten durch den Arbeitgeber unvermeidlich. Ob zur Erstellung von Lohnabrechnungen, zur Führung von Personalakten oder zur Dokumentation der Arbeitszeit werden stets Informationen der Beschäftigten verwendet. 

 

Die Datenverarbeitung bedarf jedoch einer rechtlichen Grundlage, welche sich hier aus § 26 I Bundesdatenschutzgesetz (BDSG) ergibt.

 

• Danach dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn und soweit dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses,
• der Durchführung oder Beendigung oder
• zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten

erforderlich ist. 

Weitere Bestimmungen ergeben sich aus der Datenschutzgrundverordnung. Nach Art. 4 Nr. 1 DS-GVO zählen zu den personenbezogenen Daten sämtliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Darunter fallen insbesondere Name, Anschrift, Geburtsdatum, Bankverbindung, Arbeitszeiten oder Zeugnisse. 

 

Der Arbeitgeber ist gem. Art. 4 Nr. 7 DS-GVO Verantwortlicher für die ordnungsgemäße Verarbeitung dieser Daten. Verantwortlicher ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die alleine oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dies umfasst vornehmlich die Pflicht zur Löschung von Daten, sobald deren Speicherung nicht mehr erforderlich ist.

 

Die Rechtsanwaltskanzlei Scholz berät sowohl Arbeitgeber als auch Arbeitnehmer zu allen datenschutzrechtlichen Fragestellungen im Arbeitsverhältnis wie der rechtmäßigen Datenverarbeitung, Dokumentationspflichten oder zu möglichen Verstoßen gegen Datenschutzvorgaben. 

Wir unterstützen Sie bei der rechtssicheren Gestaltung, Wahrnehmung oder Abwehr datenschutzrechtlicher Ansprüche. 

 

 

Der Datenschutz im Arbeitsrecht ist ein komplexes und hochrelevantes Thema.  Arbeitgeber tragen eine besondere Verantwortung für den Schutz der personenbezogenen Daten ihrer Mitarbeiter.  Verstöße gegen die Datenschutzbestimmungen können empfindliche Strafen nach sich ziehen.  Dieser Beitrag gibt konkrete Handlungsempfehlungen, um den Datenschutz im Unternehmen effektiv zu gewährleisten.

 

I.

Datensicherheit:

Arbeitgeber müssen geeignete technische und organisatorische Maßnahmen treffen, um die personenbezogenen Daten ihrer Mitarbeiter vor unbefugtem Zugriff, Verlust, Veränderung oder Zerstörung zu schützen.  Dies umfasst:

• Verschlüsselung: Sensible Daten, wie z. B. Gehaltsdaten oder Gesundheitsinformationen, sollten verschlüsselt gespeichert und übertragen werden.  Dies gilt sowohl für die Speicherung auf Servern als auch für den Datentransfer per E-Mail oder anderen Kommunikationsmitteln.
• Zugriffskontrolle:  Der Zugriff auf personenbezogene Daten sollte auf berechtigte Mitarbeiter beschränkt sein.  Dies kann durch die Einrichtung von verschiedenen Benutzerkonten mit unterschiedlichen Zugriffsberechtigungen erreicht werden.  Das Prinzip der „data minimisation“ (nur notwendige Daten erheben) ist essentiell.
• Firewall & Antivirus:  Der Einsatz von Firewalls und Antivirenprogrammen ist unerlässlich, um das Unternehmen vor Cyberangriffen zu schützen.  Regelmäßige Updates der Software sind zwingend.
• Phishing-Prävention: Mitarbeiter sollten regelmäßig über Phishing-Angriffe und andere Betrugsversuche informiert werden.  Schulungen und Sensibilisierung sind entscheidend.
• Datensicherungsmaßnahmen:  Regelmäßige Datensicherungen sind notwendig, um Datenverluste zu vermeiden.  Diese Sicherungen sollten an einem sicheren Ort aufbewahrt werden, idealerweise separiert vom aktiven Betriebssystem, z.B. in einem externen, verschlüsselten Backup-System.
• IT-Sicherheit Audits:  Regelmäßige Prüfungen der IT-Sicherheit durch interne oder externe Experten sind ratsam, um Schwachstellen zu identifizieren und zu beheben.

 

II.

Aufbewahrungsfristen:

Die Aufbewahrungsfristen für personenbezogene Daten im Arbeitsverhältnis sind unterschiedlich lang und hängen von der Art der Daten und den gesetzlichen Vorschriften ab.  Einige wichtige Punkte:

• Personalakten:  Personalakten sind in der Regel bis zu 10 Jahre nach Beendigung des Arbeitsverhältnisses aufzubewahren.  Einzelne Dokumente, wie z.B. Zeugnisse, können länger aufbewahrt werden müssen.
• Gehaltsabrechnungen:  Gehaltsabrechnungen unterliegen der gesetzlichen Aufbewahrungspflicht von 10 Jahren (Steuerrecht).
• Arbeitsverträge:  Arbeitsverträge sollten für die Dauer des Beschäftigungsverhältnisses plus mindestens 10 Jahre danach aufbewahrt werden.
• Sonstige Daten:  Für andere Daten (z.B. Bewerbungsunterlagen) gibt es keine einheitliche Aufbewahrungsfrist. Hier muss eine Abwägung zwischen dem berechtigten Interesse des Arbeitgebers und den Datenschutzrechten des Arbeitnehmers erfolgen.  Nach Ablauf der Aufbewahrungsfrist sind die Daten zu löschen.

 

III.

Rechte der Arbeitnehmer:

Arbeitnehmer haben vielfältige Rechte in Bezug auf ihre personenbezogenen Daten:

• Auskunftsrecht:  Arbeitnehmer haben das Recht, Auskunft über die von dem Arbeitgeber verarbeiteten Daten zu erhalten.
• Recht auf Berichtigung:  Bei fehlerhaften Daten können Arbeitnehmer deren Berichtigung verlangen.
• Recht auf Löschung:  Unter bestimmten Voraussetzungen können Arbeitnehmer die Löschung ihrer personenbezogenen Daten verlangen.
• Recht auf Einschränkung der Verarbeitung: Arbeitnehmer können die Einschränkung der Verarbeitung ihrer Daten verlangen.
• Recht auf Datenübertragbarkeit: Arbeitnehmer haben das Recht, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
• Widerspruchsrecht:  Arbeitnehmer können der Verarbeitung ihrer Daten widersprechen.

Arbeitgeber müssen diese Rechte der Arbeitnehmer berücksichtigen und gewährleisten.

 

 

IV.

Datenschutzbeauftragter:

Abhängig von der Unternehmensgröße und der Art der Datenverarbeitung ist die Bestellung eines Datenschutzbeauftragten vorgeschrieben.  Die Pflicht ergibt sich aus Art. 37 DSGVO.

 

V.

 Dokumentation:

Arbeitgeber müssen die Maßnahmen zum Datenschutz dokumentieren.  Dies gilt auch für die Verarbeitungstätigkeiten und die ergriffenen Schutzmaßnahmen.

 

Ihr Anwalt für Arbeitsrecht und Handelsrecht in Dortmund

Benötigen Sie Unterstützung bei der Umsetzung des Datenschutzes in Ihrem Unternehmen?  Wir, Ihre Rechtsanwaltskanzlei in Dortmund,  beraten Sie gerne umfassend und individuell zu allen Fragen des Arbeitsrechts und des Datenschutzes.  Kontaktieren Sie uns für ein unverbindliches Beratungsgespräch!