Datenschutz am Arbeitsplatz: Maßnahmen und Vorgaben
von Christina Pichlmaier
Kaum ein Unternehmen kann auf computer- oder netzwerkgestütztes Arbeiten verzichten. In der Konsequenz wird in der Arbeitswelt täglich eine große Menge Daten erhoben und gehandhabt. Damit ergeben sich für Unternehmen weitreichende Anforderungen, angemessen mit diesen Informationen umzugehen. Die Absicherung des Systems nach außen und der Schutz der Daten von externen Stellen (beispielsweise Kund:innen oder Bewerber:innen) sind wesentliche Aspekte beim Umgang mit Daten im unternehmerischen Kontext. Hinzu kommt allerdings noch ein weiterer Aspekt, den wir im folgenden Artikel aufgreifen: Datenschutz am Arbeitsplatz für Mitarbeitende.
Datenschutz oder Datensicherheit: Unterschiede und Schnittpunkte
Datenschutz bezieht sich prinzipiell auf den Schutz personenbezogener Daten. In Bezug auf den Arbeitsplatz sind damit einerseits Mitarbeiterdaten gemeint, die für das Arbeitsverhältnis erforderlich sind, beispielsweise Kontaktinformationen, Bankverbindung oder Bewerbungsdaten. Andererseits entstehen bei computer- oder netzwerkgestützter Arbeit entsprechende Daten, zum Beispiel über die Internetnutzung.
Datensicherheit bezieht sich dagegen darauf, diese personenbezogenen Informationen sowie auch Unternehmensdaten sicher zu handhaben. Dabei geht es um Vertraulichkeit, Integrität und Zugriffsrechte. Datensicherheit definiert sich daher auch als technische Umsetzung von Datenschutz am Arbeitsplatz. Darunter fällt auch der wichtige Bereich der Cyber-Sicherheit in Unternehmen.
Beide Schutzmaßnahmen lassen sich also voneinander abgrenzen, haben aber dennoch Schnittpunkte. Und zwar geben die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) Rahmenbedingungen vor, wie Datenschutz anzuwenden ist.
Datenschutz am Arbeitsplatz: Arbeitgebende
Arbeitgebende können sich grundsätzlich an folgende Faustregel halten: Es ist ihnen erlaubt, Daten zu erheben, die für das Arbeitsverhältnis notwendig sind. Dazu gehören Informationen, um ein Arbeitsverhältnis anzustoßen, es zu unterhalten und zu beenden. Hierfür ist keine gesonderte Einwilligung notwendig (§26 BDSG).
Alle darüber hinausgehende Daten bedürfen jedoch der Einwilligung des Arbeitnehmenden. Diese geht einher mit einer Informationspflicht. Arbeitgebende müssen sie in dem Zug in Kenntnis setzen über:
- die Art der Daten
- den Umfang der Daten
- den Zweck der Datenerhebung
- wer Zugang zu den Daten hat und
- die Dauer der Speicherung.
Diese Informationspflicht greift besonders auch dann, wenn die personenbezogenen Daten nicht bei den Arbeitnehmenden selbst erhoben wurden (Art. 14 DSGVO). Zu diesem Zweck sind sie dafür verantwortlich, technische und organisatorische Maßnahmen zu ergreifen, um Datenschutz am Arbeitsplatz zu gewährleisten. Unternehmen müssen zudem einen Datenschutzbeauftragten benennen, sofern sie mindestens zwanzig Personen beschäftigen, deren Kerntätigkeit die automatisierte Verarbeitung von personenbezogenen Daten ist (§38 BDSG).
Datenschutz am Arbeitsplatz: Arbeitnehmende
Im Zentrum von Maßnahmen zum Datenschutz am Arbeitsplatz stehen zunächst Mitarbeiterdaten. Aber auch sämtliche Information, die im Verlauf eines Jobs über Arbeitnehmende erhoben oder gesammelt werden, fallen unter den Datenschutz. In dem Zusammenhang kommen ihnen unter anderem folgende Rechte zu:
- Recht auf Auskunft:
Arbeitnehmende haben das Recht, vom Arbeitgebenden Auskunft über die gespeicherten, personenbezogenen Daten zu erhalten. Das Recht auf Auskunft ist auf Arbeitgeberseite eine Informationspflicht darüber,- welche Daten
- in welchem Umfang
- wozu
- von wem
- wie lange
erhoben werden (Art. 15 DSGVO).
- Recht auf Löschung:
Sofern Arbeitgebende personenbezogene Daten nicht (mehr) für ein Arbeitsverhältnis benötigen, dürfen Arbeitnehmende die Löschung dieser Daten verlangen. Dies ist auch als Recht auf Vergessenwerden bekannt (Art. 17 DSGVO). Anwendungsbeispiele dieses Rechts sind eine Kündigung oder Bewerbungsunterlagen, die nicht zu einer Einstellung geführt haben. - Recht auf Berichtigung der Daten:
Stellen Arbeitnehmende im Rahmen der Auskunft über personenbezogene Daten fest, dass darin Fehler bestehen oder Informationen unvollständig sind, können sie die Berichtigung oder Ergänzung verlangen (Art. 16 DSGVO). Zum Beispiel die Korrektur falscher Bankdaten, um die Auszahlung von Gehalt zu gewährleisten.
Überwachung an der Arbeitsstätte
Sowohl DSGVO und BDSG stellen einen rechtlichen Rahmen in Bezug auf den Datenschutz am Arbeitsplatz. Dennoch kommen dazu immer wieder Fragen auf, beispielsweise: Darf ich am Arbeitsplatz überwacht werden? Darf ich Videoüberwachung für die Arbeitszeiterfassung nutzen?
Eine generelle Überwachung der Arbeitnehmenden ist prinzipiell unzulässig, beispielsweise versteckte Kameras oder Keylogger-Software. Überwachende Maßnahmen sind nur in sehr engem Rahmen und nur mit konkretem Verdacht auf einen Verstoß möglich. Das schließt auch potenzielle Straftaten ein.
Videoüberwachung in öffentlich zugänglichen Räumen zum Zweck der Gefahrenabwehr und der Sicherheit sowie zum Werks- und Gebäudeschutz ist hingegen zulässig (§4 BDSG Abs. 1 und Art. 6 Abs. 1f DSGVO). Das können beispielsweise der Betriebsparkplatz, Zufahrten zum Betriebsgelände und Verkaufsräume sein.
Unternehmen müssen derartige offene Kamerabeobachtung jedoch zwingend kenntlich machen sowie Kontaktinformationen zu einer verantwortlichen Person mitteilen, beispielsweise durch entsprechende Beschilderung (§4 BDSG Abs. 2). Außerdem müssen sie daraus entstandene Aufnahmen direkt löschen, sobald sie ihren Zweck erfüllt haben (§4 Abs. 5 BDSG).
Datenschutz am Arbeitsplatz: Maßnahmen
Was können Sie nun konkret unternehmen, um gesetzliche Vorgaben einzuhalten sowie Rechte von Arbeitnehmenden zu wahren und dennoch Ihrem Betriebszweck nachzukommen? Die folgenden Maßnahmen zum Datenschutz am Arbeitsplatz können Ihnen helfen, alle drei Aspekte unter einen Hut zu bekommen.
1. Datenschutzrichtlinie implementieren
Erstellen Sie klare und umfassende Datenschutzrichtlinien, die alle Aspekte des Datenschutzes am Arbeitsplatz abdecken. Diese Richtlinien sollten die Art der gesammelten Daten, den Zweck der Datenerhebung, die Aufbewahrungsdauer und die Verwendung der Daten sowie die Rechte der Mitarbeitenden in Bezug auf ihre Daten umfassen.
2. Datenschutzbeauftragte benennen
Bestimmen Sie einen Datenschutzbeauftragten oder eine verantwortliche Person, die für die Überwachung und Umsetzung der Datenschutzrichtlinien und -maßnahmen im Unternehmen zuständig ist. Diese Person muss über Kenntnisse im Datenschutz verfügen – eine Benennung „pro forma“ reicht nicht aus, um der DSGVO zu entsprechen.
3. Mitarbeitende schulen und sensibilisieren
Bieten Sie regelmäßige Schulungen und Sensibilisierungsmaßnahmen zum Datenschutz an, um Mitarbeitende über ihre Rechte und Pflichten im Umgang mit personenbezogenen Daten zu informieren. Dies schließt unbedingt auch die Führungsebene, Recruiter:innen und Personaler:innen ein, da diese unter anderem eher mit personenbezogenen Mitarbeiterdaten umgehen.
4. Zugriff beschränken
Implementieren Sie Zugriffsbeschränkungen für personenbezogene Daten, sodass nur befugte Mitarbeitende auf diese Informationen zugreifen können. Vergeben Sie Zugriffsrechte auf Basis der Arbeitsaufgaben und stellen Sie sicher, dass diese Rechte regelmäßig überprüft und aktualisiert werden.
5. Cyber-Sicherheit forcieren
Verwenden Sie geeignete Sicherheitstechnologien wie Verschlüsselung, Firewalls und Zugriffskontrollen, um personenbezogene Daten vor unbefugtem Zugriff zu schützen. Regelmäßige Aktualisierungen und Patch-Management sind ebenfalls wichtig, um Sicherheitslücken zu schließen.
Sorgen Sie außerdem für physische Sicherheit am Arbeitsplatz, um den Schutz personenbezogener Daten zu gewährleisten. Dies kann mitunter auch den Einsatz von Schließfächern, Zugangsbeschränkungen zu sensiblen Bereichen und die sichere Entsorgung von vertraulichen Informationen umfassen.
6. Datenschutz-Folgenabschätzung
Führen Sie bei neuen Projekten oder Verfahren, die eine Verarbeitung personenbezogener Daten beinhalten, eine Datenschutz-Folgenabschätzung durch. Dabei geht es darum, vorab potenzielle Risiken zu identifizieren und darauf basierend geeignete Maßnahmen zur Risikominderung zu ergreifen (Art. 35 DSGVO).
Fachkräfte mit Skills im Datenschutz – Monster supportet Ihre Personalsuche
Datenschutz am Arbeitsplatz, Maßnahmen zur Organisation von Datensicherheit und andere Belange rund um Persönlichkeitsrechte können Unternehmen vor große Herausforderungen stellen. Mit den passenden Fachkräften können Sie aber auch diese Hürde gekonnt nehmen. Über eine Stellenausschreibung bei Monster finden Sie geeignete Kandidat:innen aus ganz Deutschland.