Datenschutz im Arbeitsalltag

1) Unternehmen haften für Datenschutzverstöße ihrer Beschäftigten!

Die DSGVO sieht in Artikel 83 vor, dass Unternehmen als Ganzes dafür haften, wenn Beschäftigte – also nicht nur Führungspersonen – gegen den Datenschutz verstoßen, solange es sich nicht um einen Exzess handelt. Das deutsche Recht ist zwar noch nicht an diese europäische Regelung angepasst; da EU-Recht hier aber Vorrang hat, gilt diese Regel dennoch. Laut aktuellen Koalitionsvertrag will die Regierung Unternehmen, die vom (datenschutzrechtlichen) Fehlverhalten ihrer Mitarbeitenden profitieren, stärker „sanktionieren“, um sich etablierten internationalen Standards anzunähern.

2) Die Einwilligung in die Datenverarbeitung kann endlich auch per E-Mail erfolgen

Für die Verarbeitung personenbezogener Daten von Mitarbeitern benötigen Unternehmen deren Einwilligung. Ausnahme: Die Datenverarbeitung ist betrieblich notwendig. Dank Beschluss des Bundesrats vom 20.09.2019 darf die Einwilligungserklärung nun per E-Mail eingeholt werden.

3) Datenschutzbeauftragter ist nur noch ab 20 Mitarbeitern Pflicht

Zum Jahreswechsel ändert sich auch die minimale Zahl an Mitarbeitern, ab der ein Datenschutzbeauftragter notwendig ist. Lag die Untergrenze bisher bei zehn Personen, die sich ständig mit der Verarbeitung personenbezogener Daten beschäftigen, so hat sie der Bundesrat nun auf 20 hochgesetzt.

Wichtige Anmerkung: Die Anforderungen der DSGVO und des BDSG müssen sie dennoch unbedingt einhalten! Sie sind also gut beraten,
wenn Sie freiwillig einen (externen) Datenschutzbeauftragten benennen.

4) Dürfen Angestellte auf der Unternehmens-Webseite mit Foto gezeigt werden?

Heutzutage möchte fast jede Firma gern online für ihre Kunden präsentieren, wer die Menschen hinter dem Unternehmen sind. Dazu werden mehr oder weniger umfangreiche biografische Daten und in der Regel ein Foto vom Mitarbeiter veröffentlicht. Unternehmensvideos und -broschüren fallen in die gleiche Kategorie: Der Arbeitgeber darf seine Mitarbeiter nur „zeigen“, wenn diese dem freiwillig zugestimmt haben. Nun war jahrelang umstritten, inwiefern die Zustimmung denn „freiwillig“ geschehen könne, wenn man z.B. bei Verweigerung mit Nachteilen rechnen müsste.

Zum Glück hat das Bundesarbeitsgericht 2015 einiges klargestellt: So gilt für „das Verbreiten und die öffentliche Zurschaustellung von Bildaufnahmen“ zunächst vorrangig das Urheberrecht (KUG) und nicht das Bundesdatenschutzgesetz. Letzteres ist aber Grundlage für die interne Verwendung, z.B. in Mitarbeiterausweisen (hier ist keine Einwilligung notwendig, wenn diese betrieblich erforderlich sind) oder im Intranet. In letzterer ist die Veröffentlichung eines Fotos wohl nicht zwingend erforderlich, muss also abgewogen werden. Mit einer Einwilligung ist man immer auf der sicheren Seite.

Gemäß BAG-Urteil muss jede Einwilligung zur Veröffentlichung schriftlich erfolgen. Hier gilt die elektronische Einwilligung leider noch nicht. Eine Einwilligung ist nur dann wirksam, wenn der Einwilligende konkret über die Zwecke der Verwendung von Fotos oder Videos aufgeklärt wurde – je tiefer die Veröffentlichung in die Privatsphäre eindringt, desto ausführlicher müssen die Informationen sein. Deshalb ist eine vorab erteilte „Pauschaleinwilligung“ in die Verwendung sämtlicher Daten des Beschäftigten durch eine entsprechende Regelung im Arbeitsvertrag nicht ausreichend.

Das Urteil stellt auch klar, dass eine Einwilligung nicht automatisch erlischt, wenn der jeweilige Mitarbeiter das Unternehmen verlässt. Darüber hinaus ist auch nicht pauschal ein jederzeitiger Widerruf der Einwilligung durch die Betroffenen möglich. So könne durchaus – abhängig vom Einzelfall – durch die erklärte Einwilligung ein Vertrauenstatbestand durch den Arbeitnehmer geschaffen worden sein. Wenn der Arbeitgeber auf Basis dieses Vertrauens finanzielle oder organisatorische Aufwendungen getätigt hat, widerspräche es der gebotenen Rücksichtnahme, die Einwilligung jederzeit grundlos zu widerrufen – so jedenfalls das BAG.

5) Wie lange dürfen Bewerberdaten in einem Auswahl-Pool gespeichert werden?

Zunächst sollte man sich die Einwilligung zur Speicherung im Pool einholen. Interessant ist nun die Frage, ob so eine Einwilligung „ablaufen“ kann bzw. nach gewisser Zeit erneuert werden muss. Zwar hat das Landgericht München I im Jahr 2010 einmal geurteilt, dass eine erst nach 17 Monaten erstmals genutzte erteilte Einwilligung zur werblichen Kontaktaufnahme via E-Mail „ihre Aktualität verliert“ und deshalb insoweit keine rechtliche Grundlage mehr ist, aber der Bundesgerichtshof hat 2018 geurteilt, dass „eine zeitliche Begrenzung einer einmal erteilten Einwilligung (…) grundsätzlich nicht allein durch Zeitablauf erlischt“.

Insofern ist es der Normalfall, dass eine Einwilligung zeitlich unbegrenzt erteilt wird. Jedoch schränkt die DSGVO dies insofern ein, als dass personenbezogene Daten nur solange „nicht anonymisiert“ gespeichert werden dürfen, wie es für den Zweck, für den sie verarbeitet werden, erforderlich ist. Falls der Speicherzweck der Daten entfällt, müssen die Daten also gelöscht werden. Im Allgemeinen kann man wohl auch davon ausgehen, dass Bewerberdaten veralten und nach ein paar Jahren nicht mehr wirklich aussagekräftig für die aktuelle Stellenbesetzung sind. Damit würden sie ihren Zweck verlieren und müssten entsprechend gelöscht werden. Wichtig ist also eine gute Dokumentation, wie alt die Daten sind und für welchen Zweck sie gespeichert werden. So lässt sich bei einer routinemäßigen Datenbereinigung später leichter feststellen, ob die Daten noch relevant sind.

6) Müssen die Namen eingestellter Bewerber an die Agentur für Arbeit übermittelt werden?

Wird eine vakante Stelle (auch) über die Agentur für Arbeit ausgeschrieben, so fordert diese offenbar zumindest gelegentlich dazu auf, zwingend die Namen der eingestellten Bewerber mitzuteilen, auch wenn dieses „Match“ nicht über den Vermittlungsvorschlag der Agentur zustande kam. Dass man mitteilen muss, dass von der Agentur vorgeschlagene Bewerber abgelehnt wurden, leuchtet noch ein. Aber warum soll man Bewerber, die nicht über die Arbeitsagentur kamen, namentlich melden?

Die Rechtslage ist auch so, dass Arbeitgeber eindeutig nicht in der Pflicht sind, das Ergebnis von Stellenbesetzungsverfahren an die Bundesagentur für Arbeit unter Nennung des Namens der ausgewählten neuen Beschäftigten mitzuteilen, wenn keine Vermittlungsleistungen der Agentur für Arbeit in Anspruch genommen worden sind. Gerade bei Sozialleistungsträgern ist der Grundsatz der Erforderlichkeit besonders eng auszulegen. Daher darf die Agentur die angefragten Daten gar nicht erheben. Zumal muss da der/die neu Eingestellte zunächst einwilligen! Wenn man dieses Fass einmal aufmacht, ergibt sich somit gleich das nächste Problem…

Aus sozialdatenschutzrechtlicher Sicht ist es grundsätzlich nur erforderlich, dass ein Arbeitgeber bei der Inanspruchnahme von Vermittlungsleistungen der Agentur für Arbeit bzw. dem Jobcenter mitteilt, dass vermittelte Personen eine Stelle nicht bekommen haben.

7) Zum Arbeiten gehört auch das Steuernzahlen: Diese Daten speichert das Finanzamt von ihnen

Der Anbruch eines neuen Jahres bedeutet auch für viele von uns: Es wird wieder Zeit für die Steuererklärung. Das Magazin „Capital“ hat dazu kürzlich einen ausführlichen Artikel zusammengestellt und kommt zu dem Schluss: Mit der neuen Technik nähern wir uns immer mehr einem automatisierten Steuerüberwachungsstaat. Wenn die Steuererklärung abgegeben wird, weiß das Finanzamt oft längst, was drinsteht – dafür sorgt ein dichtes Netz aus Informanten. Grundsätzlich tritt der Datenschutz rechtlich hinter dem staatlichen Interesse an lückenloser Besteuerung zurück – auch die neue Datenschutz-Grundverordnung ändert daran nichts. So kann einerseits weniger vertuscht werden, andererseits machen auch Maschinen Fehler. Zwar sollte der Fiskus die elektronischen Meldungen von Arbeitgeber, Krankenkassen, Jobcenter, Rentenversicherung & Co. nur zu Kontrollzwecken nutzen, um die Angaben in der Steuererklärung auf Vollständigkeit und Richtigkeit zu prüfen, doch tatsächlich übernehmen Finanzbeamte die Daten oft ungeprüft in die Berechnung, ohne den Steuerzahler über die abgeänderten Zahlen ausreichend zu informieren. Hier gilt es daher, den Steuerbescheid genau nachzuprüfen. Sonst zahlen sie im schlimmsten Falle drauf.