Beschäftigtendatenschutz nach DSGVO

Arbeitnehmerdatenschutz professionell umsetzen – DATUREX GmbH Dresden

Kostenlose Beratung

✓ TÜV-zertifiziert   ✓ BSI-zertifiziert   ✓ IHK-zertifiziert   ✓ Über 500 Mandanten in Sachsen   ✓ Seit 2019

Beschäftigtendatenschutz: Datenschutz am Arbeitsplatz

Fachmännische Betreuung für Unternehmen deutschlandweit & Sachsen.

Kostenlose Erstberatung anfragen · TÜV-zertifizierte Berater · 15+ Jahre Erfahrung · 500+ zufriedene Kunden

Der Beschäftigtendatenschutz regelt den Umgang mit personenbezogenen Daten von Mitarbeitern, Bewerbern und ehemaligen Beschäftigten. § 26 BDSG und die DSGVO bilden die rechtliche Grundlage für den Arbeitnehmerdatenschutz in Deutschland. Die DATUREX GmbH berät Unternehmen bundesweit bei allen Fragen zum Datenschutz am Arbeitsplatz.

Rechtsgrundlagen des Beschäftigtendatenschutzes

Die Verarbeitung personenbezogener Daten von Beschäftigten stützt sich primär auf § 26 BDSG. Danach dürfen personenbezogene Daten verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Ergänzend gelten die allgemeinen Grundsätze der DSGVO, insbesondere:

  • Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO): Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden
  • Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Nur die für den Zweck erforderlichen Daten dürfen verarbeitet werden
  • Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO): Daten müssen gelöscht werden, wenn sie nicht mehr benötigt werden
  • Informationspflichten (Art. 13/14 DSGVO): Beschäftigte müssen über die Verarbeitung ihrer Daten informiert werden

Typische Verarbeitungen im Beschäftigtendatenschutz

Im Arbeitsverhältnis werden zahlreiche personenbezogene Daten verarbeitet:

  • Bewerbungsverfahren: Bewerbungsunterlagen, Assessment-Center-Ergebnisse, Hintergrundprüfungen
  • Personalverwaltung: Personalakten, Gehaltsabrechnungen, Arbeitszeiterfassung, Krankmeldungen
  • IT-Nutzung: E-Mail-Überwachung, Internetnutzung, Zugriffsprotokolle, Softwarenutzung
  • Videoüberwachung: Kameraüberwachung am Arbeitsplatz und in Betriebsräumen
  • Leistungsbewertung: Mitarbeitergespräche, Zielvereinbarungen, Leistungsbeurteilungen
  • Gesundheitsdaten: Arbeitsmedizinische Untersuchungen, BEM-Verfahren, Krankenstandsstatistiken
  • Beendigung: Abmahnungen, Kündigungsgründe, Zeugniserstellung, Aufbewahrungsfristen

Besondere Herausforderungen

Einwilligung im Arbeitsverhältnis

Die Einwilligung als Rechtsgrundlage ist im Beschäftigungsverhältnis problematisch, da Beschäftigte aufgrund der Abhängigkeit vom Arbeitgeber oft nicht frei entscheiden können. § 26 Abs. 2 BDSG stellt deshalb besondere Anforderungen an die Freiwilligkeit der Einwilligung im Arbeitsverhältnis.

Private Nutzung von IT-Systemen

Erlaubt der Arbeitgeber die private Nutzung von E-Mail und Internet, ergeben sich besondere datenschutzrechtliche Konsequenzen. Eine vollständige Überwachung der Kommunikation ist dann in der Regel unzulässig. Klare Nutzungsvereinbarungen sind daher unverzichtbar.

Homeoffice und mobiles Arbeiten

Remote-Arbeit stellt besondere Anforderungen an den Beschäftigtendatenschutz: Sicherstellung der Vertraulichkeit im häuslichen Umfeld, sichere Datenübertragung, Regelungen zur Nutzung privater Endgeräte (BYOD) und Zugriffskontrolle außerhalb des Firmennetzwerks.

Unsere Leistungen zum Beschäftigtendatenschutz

  • Datenschutz-Audit Personalwesen: Überprüfung aller Verarbeitungen im HR-Bereich
  • Richtlinien und Betriebsvereinbarungen: Erstellung von Datenschutzrichtlinien für Beschäftigte
  • IT-Nutzungsvereinbarungen: Regelungen zur privaten und dienstlichen IT-Nutzung
  • Homeoffice-Datenschutz: Datenschutzkonzept für Remote-Arbeit
  • Mitarbeiterschulungen: Praxisnahe Schulungen zum Datenschutz am Arbeitsplatz
  • Aufbewahrungskonzept: Fristen und Löschregelungen für Personaldaten

Beschäftigtendatenschutz in der Praxis

Der Beschäftigtendatenschutz betrifft jeden Arbeitgeber — vom Kleinunternehmen bis zum Konzern. Unsere Erfahrung zeigt: Die meisten Datenschutzverstöße im Arbeitsverhältnis passieren nicht aus böser Absicht, sondern aus Unwissenheit.

Bewerbungsverfahren datenschutzkonform gestalten

Schon vor dem ersten Arbeitstag beginnt der Beschäftigtendatenschutz:

  • Stellenanzeigen: Nur Daten erfragen, die für die Stelle relevant sind
  • Bewerbungsportal: SSL-Verschlüsselung, Datenschutzerklärung, Löschkonzept
  • Assessment Center: Transparente Information über Bewertungskriterien und Datenverarbeitung
  • Background-Checks: Nur mit Einwilligung und nur bei berechtigtem Interesse
  • Absagen: Unterlagen spätestens nach 6 Monaten löschen (AGG-Frist)

Arbeitszeiterfassung und Datenschutz

Seit dem BAG-Urteil zur Arbeitszeiterfassung (2022) müssen Arbeitgeber die Arbeitszeit ihrer Beschäftigten erfassen. Dabei ist zu beachten:

  • Nur die erforderlichen Daten erheben (Beginn, Ende, Pausen)
  • Keine GPS-Überwachung ohne transparente Information und Rechtsgrundlage
  • Zugriffsbeschränkung: Nur Vorgesetzte und HR dürfen Zeitdaten einsehen
  • Löschung nach Ablauf der Aufbewahrungsfristen (i.d.R. 2 Jahre)

Homeoffice und mobiles Arbeiten

Remote-Arbeit stellt besondere Anforderungen an den Beschäftigtendatenschutz:

  • Homeoffice-Vereinbarung: Schriftliche Regelung mit Datenschutzklauseln
  • Technische Maßnahmen: VPN-Pflicht, Festplattenverschlüsselung, Bildschirmsperre
  • Organisatorische Maßnahmen: Abschließbarer Arbeitsplatz, Shredder für Ausdrucke
  • BYOD (Bring Your Own Device): Nur mit MDM-Lösung und klarer Trennung privater/dienstlicher Daten

Krankmeldungen und Gesundheitsdaten

Gesundheitsdaten gehören zu den besonderen Kategorien nach Art. 9 DSGVO. Arbeitgeber dürfen:

  • Die Arbeitsunfähigkeitsbescheinigung entgegennehmen (ohne Diagnose)
  • BEM-Gespräche dokumentieren (nur mit Zustimmung des Beschäftigten)
  • Krankenstandsstatistiken nur anonymisiert führen

Was Arbeitgeber nicht dürfen: Diagnosen erfragen, Krankheitsdaten im Team besprechen, oder Gesundheitsdaten ohne Einwilligung an Dritte weitergeben.

Betriebsvereinbarungen und Datenschutz

Betriebsvereinbarungen können als Rechtsgrundlage für die Datenverarbeitung dienen (Art. 88 DSGVO, § 26 Abs. 4 BDSG). Sie müssen jedoch ein angemessenes Schutzniveau gewährleisten. Typische Betriebsvereinbarungen betreffen:

  • E-Mail- und Internetnutzung am Arbeitsplatz
  • Videoüberwachung im Betrieb
  • Einsatz von GPS-Tracking in Firmenfahrzeugen
  • Nutzung von Microsoft 365 und Cloud-Diensten

Aufbewahrungsfristen für Personalunterlagen

Die wichtigsten Aufbewahrungsfristen im Überblick:

  • Lohnunterlagen: 6 Jahre (§ 257 HGB)
  • Lohnsteuerbescheinigungen: 6 Jahre
  • Sozialversicherungsbeiträge: 5 Jahre (§ 28f SGB IV)
  • Personalakte: 3 Jahre nach Beendigung (Verjährungsfrist)
  • Bewerbungsunterlagen: 6 Monate (AGG-Frist)
  • Arbeitszeugnisse: Keine gesetzliche Frist, Empfehlung: 3 Jahre

Häufig gestellte Fragen zum Beschäftigtendatenschutz

Darf der Arbeitgeber E-Mails von Mitarbeitern lesen?

Bei ausschließlich dienstlicher Nutzung darf der Arbeitgeber unter bestimmten Voraussetzungen auf E-Mails zugreifen. Bei erlaubter Privatnutzung ist der Zugriff in der Regel unzulässig, da der Arbeitgeber dann dem Fernmeldegeheimnis unterliegen kann. Klare Nutzungsregelungen vermeiden Konflikte.

Wie lange dürfen Bewerbungsunterlagen aufbewahrt werden?

Nach Abschluss des Bewerbungsverfahrens sollten Unterlagen abgelehnter Bewerber spätestens nach sechs Monaten gelöscht werden. Diese Frist orientiert sich an der Klagefrist nach dem AGG. Eine längere Speicherung erfordert eine gesonderte Rechtsgrundlage, etwa die Einwilligung des Bewerbers für einen Talentpool.

Ist Videoüberwachung am Arbeitsplatz erlaubt?

Videoüberwachung ist nur unter engen Voraussetzungen zulässig. Öffentlich zugängliche Räume dürfen nach § 4 BDSG überwacht werden, wenn ein berechtigtes Interesse besteht. Am Arbeitsplatz selbst ist eine dauerhafte Überwachung grundsätzlich unverhältnismäßig. Eine heimliche Überwachung ist nur bei konkretem Verdacht einer Straftat als letztes Mittel zulässig.

Was muss in einer Datenschutzinformation für Beschäftigte stehen?

Nach Art. 13 DSGVO müssen Beschäftigte umfassend über die Verarbeitung ihrer Daten informiert werden: Verantwortlicher, Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer, Betroffenenrechte und Beschwerderecht bei der Aufsichtsbehörde.

Beschäftigtendatenschutz professionell umsetzen

Schützen Sie Ihr Unternehmen vor Datenschutzverstößen im Personalbereich. Unsere Experten bundesweit beraten Sie zu allen Fragen des Arbeitnehmerdatenschutzes und erstellen maßgeschneiderte Lösungen.

Weitere Datenschutz-Leistungen

Weitere Leistungen der DATUREX GmbH

Beschäftigtendatenschutz betrifft auch Informationssicherheit:

Beschäftigtendatenschutz sicherstellen?

Die DATUREX GmbH unterstützt Sie beim rechtskonformen Umgang mit Beschäftigtendaten — von der Einstellung bis zum Austritt.

Kostenlose Erstberatung anfragen

Oder rufen Sie uns direkt an: 0351 / 795 935 13