In loser Folge geht es hier immer wieder um den Beschäftigtendatenschutz – ein weites Feld, das sich auch stetig weiterentwickelt. Heute wollen wir uns mit den Themen Personalakte, Datenschutz im Bewerberverfahren und Beschäftigtendatenschutz in den Sozialen Medien und entsprechende Einwilligungen beschäftigen.
1. Die Personalakte
Beginnen wir mal mit der administrativen Seite, der Personalakte: Rein rechtlich gibt es zwar keine Pflicht, eine zu führen, daher gibt es auch keine festen Formvorschriften – aber grundsätzlich gilt auch bei Personalakten das Gebot der Datensparsamkeit: Nur Informationen bzw. Dokumente, die in einem sachlichen Zusammenhang mit dem Arbeitsverhältnis stehen, dürfen hinein, d.h. neben dem Arbeitsvertrag und den Bewerbungsunterlagen u.a. Zwischenzeugnisse, Nachweise über Fortbildungen, Urlaubsanträge, Abmahnungen.
Da kommen wir aber schon zur ersten Ausnahme: Abmahnungen dürfen nicht zeitlich unbegrenzt in der Personalakte bleiben – wenn innerhalb von zwei Jahren keine neuen Abmahnungen hinzukommen, verlieren sie ihre sogenannte Warnfunktion und müssen aus der Personalakte entfernt werden. Von vorn herein nicht gespeichert werden dürfen private Informationen über politische Ansichten, die sexuelle Identität, Beiträge aus sozialen Netzwerken oder die Beteiligung an Streiks. Dass sich jemand als Betriebsrat engagiert hat, muss jedoch aufgenommen werden, weil sich daraus auch nach Ende der Amtszeit ein besonderer Kündigungsschutz ergibt. Betriebsverfassungsrechtliche Abmahnungen dürfen wiederum nicht in die Personalakte, weil sie sich auf die ehrenamtliche Tätigkeit als Betriebsrat beziehen und nicht auf die Arbeit an sich.
Arbeitnehmer haben ein Recht darauf, ihre Personalakte einzusehen. Dies kann z.B. sinnvoll sehen, wenn man sich gegen eine Abmahnung wehren will, wenn man den zugrunde liegenden Sachverhalt bestreitet. Dann kann man verlangen, dass eine Gegendarstellung in die Personalakte aufgenommen wird. Und wenn ein Mitarbeiter aus dem Unternehmen ausscheidet, sollte die Personalakte nach Ablauf der gesetzlichen Verjährungsfrist von drei Jahren auch entfernt bzw. gelöscht werden.
Eine ganze Bandbreite weiterer Punkte rund um den Beschäftigtendatenschutz habe ich schon vor einiger Zeit in diesem Artikel weiterhin aktuellen Artikel zusammengestellt.
2. Bewerbungsverfahren
Aber auch schon bevor jemand eingestellt wird, werden Daten verarbeitet – nämlich im Bewerbungsverfahren. Manch ein Arbeitgeber durchleuchtet sicherlich auch gern das Internet, um ein vollständigeres Bild eines Bewerbers zu erhalten. Auch hier kann man natürlich mit dem Datenschutz in Konflikt kommen. So wies das Landesarbeitsgericht Düsseldorf in einem Urteil vom 10. April 2024 – ein Bewerber war abgelehnt worden, weil in seinem Wikipedia-Eintrag eine Vorstrafe erwähnt wurde – zwar die Klagen auf Verstoß gegen Grundgesetz Artikel 33 Abs. 2 und gegen das Allgemeine Gleichbehandlungsgesetz ab.
Auch die Datenerhebung durch Internet-Recherchen an sich betrachtete es als zulässig – aber der Arbeitgeber hätte seiner Informationspflicht aus Art. 14 DSGVO nachkommen müssen, auch um dem Bewerber die Möglichkeit zu geben, möglicherweise falsche Daten richtigzustellen. Da der Bewerber „Objekt“ einer Datenverarbeitung war, stellte das Gericht einen immateriellen Schaden fest, der einen Schadensersatz von 1.000 Euro rechtfertige. Da der Bewerber aber in der Tat strafrechtlich verurteilt worden war, sei ihm kein materieller Schaden entstanden, so das Gericht, da die fehlende Information an ihn daran nichts geändert hätte und die erforderliche Kausalität für den Schaden fehlt.
Fazit: Führt ein Arbeitgeber eine Google-Recherche durch, ist der Bewerber über diese Datenerhebung gemäß Art. 14 DSGVO zu informieren. Die Information über die Datenkategorien muss dabei so präzise und spezifisch gefasst sein, dass die betroffene Person die Risiken abschätzen kann, die mit der Verarbeitung der erhobenen Daten verbunden sein können. Andernfalls drohen Schadensersatzklagen.
Der Bewerberdatenschutz war auch gerade im Fokus der Hamburger Datenschutz-Aufsichtsbehörde, die dazu ein Positionspapier veröffentlicht hat.
3. Social-Media-Präsenzen
Dass man sich am besten eine (schriftliche) Einwilligung der Beschäftigten einholt, wenn man als Unternehmen in Sozialen Medien Bilder und Videos von den eigenen Beschäftigten posten möchte, sollte inzwischen bekannt sein. Zwar kann man bei Firmenfeiern und -veranstaltungen sich auch auf die praktikablere Rechtsgrundlage der Datenverarbeitung auf Basis einer Interessenabwägung nach DSGVO-Artikel 6 (Absatz 1f) stützen, aber bei einzelnen Fotos oder Videos von Beschäftigten (außerhalb von Veranstaltungen) ist immer die Einholung einer Einwilligung nach Artikel 6, Absatz 1a zu empfehlen.
In letzter Zeit tendiert insbesondere der EuGH dazu, dass diese Einwilligung in die Datenverarbeitung für die Betroffenen „klar verständlich erklärt“ sein sollte. Und so ist es sogar besser, das als Laie zu schreiben, anstatt die Aufgabe an einen externen Datenschutz-Spezialisten abzugeben – damit Klartext und keine Verklausulierung dabei herauskommt. Das heißt aber nicht, dass ein Experte danach nicht lieber noch einmal drüber gucken sollte. ;-)
Ratsam ist auch das Anbieten verschiedener Optionen – mit einem „Blankoscheck“ für die Veröffentlichung „im Internet“ mag mancher Bauchschmerzen haben. Wenn man aber wählen kann zwischen Facebook, Instagram, X, Snapchat, TikTok usw., könnte das zu größerer Akzeptanz führen. Die Methode mit einer Auswahloption ist zwar aufwändiger, aber eben die sichere Variante.
Schließlich beginnt gerade das Jahr, in dem Posts und Fotos auf Social Media zum Training von KI benutzt werden. Bei Meta konnte es gerade noch abgewendet werden – sie hatten es angekündigt, dann gab es einen Sturm der Entrüstung in der EU und das Projekt wurde erst einmal abgeblasen. Bei X wurde es jetzt einfach ohne Vorankündigung und ohne explizite Erlaubnis der Nutzer über Nacht eingeführt, um den Chatbot „Grok“ zu trainieren. Die Zustimmung war einfach plötzlich voreingestellt und konnte zunächst auch nur im Webbrowser verändert werden, aber nicht in der App…
Und zum Schluss nochmal ein bisschen im Archiv gekramt: Hier gibt es Hinweise, wie man firmenintern DSGVO-konform kommuniziert, z.B. durch eine eigene Mitarbeiter-App.