Login Kostenlos testen
Login Kostenlos testen
Login Kostenlos testen
Arbeitsplatz mit Sicherheitszeichen

Datenschutz
am Arbeitsplatz

Mitarbeiterdaten DSGVO-konform schützen

Breadcrumb-Navigation

    Die Datenschutzgrundverordnung der EU (kurz: DSGVO) gilt seit dem 25. Mai 2018. Sie schützt nicht nur Kundendaten, sondern auch Daten von Arbeitnehmern. In diesem Beitrag erfahren Sie, was Arbeitgeber beim Schutz von Mitarbeiterdaten beachten müssen – von der Bewerbung bis zum Beschäftigungsende.

    Autor:in: lexoffice Redaktion

    Kategorie: Papierkram, Bürokratie & Fristen

    Das Wichtigste in Kürze

    Die Datenschutzgrundverordnung (DSGVO) gilt für alle Unternehmen, die personenbezogene Daten verarbeiten, einschließlich kleiner Betriebe.

    Personenbezogene Daten sind Informationen, die Rückschlüsse auf eine konkrete Person zulassen, wie Name, Geburtsdatum und Bankverbindung.

    Bei Verstößen gegen die DSGVO können Bußgelder von bis zu 20 Millionen Euro verhängt werden, weshalb Unternehmen sicherstellen sollten, dass sie die Daten ihrer Mitarbeiter gemäß DSGVO schützen.

    Welche Unternehmen sind von der DSGVO betroffen?

    Immer noch herrscht vielerorts die Ansicht, dass die Vorgaben der Datenschutzgrundverordnung (DSGVO) kleine Unternehmen gar nicht betreffen. Dies ist jedoch ein Trugschluss. Denn die DSGVO gilt für alle Betriebe, die personenbezogene Daten von Kunden oder Mitarbeitern verarbeiten. „Datenverarbeitung“ bedeutet dabei, diese Daten zu erheben, zu nutzen und zu speichern.

    Jedes Unternehmen, das Mitarbeiter beschäftigt, ist also von den Vorgaben der DSGVO betroffen und muss sich mit dem Thema Beschäftigtendatenschutz auseinandersetzen.

    Wie schützt die DSGVO Mitarbeiterdaten?

    Die DSGVO legt fest, dass personenbezogene Daten – also auch Mitarbeiterdaten – nur dann verarbeitet werden dürfen, wenn dies durch eine bestimmte Rechtsgrundlage oder eine Einwilligung des Mitarbeiters erlaubt ist. Diese Rechtsgrundlage findet sich im Bundesdatenschutzgesetz (BDSG). Das BDSG bestimmt, dass Arbeitgeber auch ohne Einwilligung der Mitarbeiter solche personenbezogenen Daten verarbeiten dürfen, die für die Aufnahme, Durchführung oder Beendigung eines Arbeitsverhältnisses erforderlich sind.

    Was sind personenbezogene Mitarbeiterdaten?

    In der Datenschutzgrundverordnung werden „personenbezogene Daten“ definiert als „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen. Im Klartext: Eine Information ist dann „personenbezogen“, wenn sie Rückschlüsse auf einen konkreten Menschen erlaubt.

    Im Beschäftigungsverhältnis fallen beispielsweise folgende Daten darunter:

    • Name
    • Geburtsdatum
    • Religion
    • Staatsangehörigkeit
    • Personalnummer
    • Gehalt
    • Bankverbindung
    • Beruflicher Werdegang
    • eventuelle Abmahnungen

    Der richtige Umgang mit Bewerberdaten

    Laut Bundesdatenschutzgesetz (BDSG) sind Bewerber bereits als Beschäftigte anzusehen. Damit sind auch ihre Daten durch die Vorgaben des Gesetzes geschützt. In einem Bewerbungsprozess dürfen deshalb nur die Daten gespeichert und verarbeitet werden, die wirklich für die Bewerberauswahl wichtig sind.

    Frau mit Finger vor dem Mund

    Datenschutz im Bewerbungsgespräch

    Bereits im Bewerbungsgespräch sollten künftige Arbeitgeber darauf achten, dass sie nur solche personenbezogenen Fragen stellen, die für die Besetzung der Stelle relevant sind. Dies sind vor allem Fragen nach der Qualifikation, dem beruflichen Werdegang und nach bisherigen Arbeitszeugnissen. Antworten auf diese Fragen können auch in die Personalakte übernommen werden.

    Fragen nach dem Gesundheitszustand oder auch nach möglichen Vorstrafen darf der Arbeitgeber nur dann stellen, wenn dies eine Rolle für die zu besetzende Stelle spielt. Soll also beispielsweise ein Kassierer oder Buchhalter eingestellt werden, kann danach gefragt werden, ob der Bewerber schon einmal mit dem Gesetz in Konflikt geraten ist. Die Frage nach einer chronischen Krankheit kann dann gerechtfertigt sein, wenn die Stelle erfordert, eine schwere körperliche Arbeit auszuführen.

    Aufbewahrung von Bewerberdaten

    Wird ein Bewerber abgelehnt, sollten seine Unterlagen spätestens sechs Monate nach Versendung der Absage gelöscht werden. Sollen die Unterlagen länger aufbewahrt werden, z. B. weil man damit einen Bewerberpool für künftige Stellen aufbauen möchte, muss dafür eine Einwilligung vom Bewerber eingeholt werden.

    Datenschutz bei Mitarbeitern während des Arbeitsverhältnisses

    Arbeitgeber dürfen laut Bundesdatenschutzgesetz (BDSG) nur Mitarbeiterdaten speichern und verarbeiten, die zur Durchführung des Beschäftigungsverhältnisses erforderlich sind. Dazu gehören vor allem die Stammdaten der Arbeitnehmer sowie Angaben zur Ausbildung und zur beruflichen Qualifikation. Der Arbeitgeber muss seine Mitarbeiter über die Verarbeitung ihrer Daten informieren. Dies kann entweder im Arbeitsvertrag oder in einem eigenen Infoblatt geschehen.

    Eine kostenlose Vorlage können Sie hier herunterladen.

    Vorlage-Mitarbeiterinfo-Verarbeitung-Mitarbeiterdaten

    DOCX 26 KB

    Mitarbeiterdaten dürfen auch an den Steuerberater oder ein Lohnbüro zur Datenverarbeitung weitergeleitet werden, wenn dies erforderlich ist. In dem Fall muss allerdings ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden.

    Wann ist eine Einwilligung für die Datenverarbeitung nötig?

    Möchte der Arbeitgeber zusätzliche Mitarbeiterdaten verarbeiten, die nicht hierunter fallen, oder Mitarbeiterdaten zu einem anderen Zweck verarbeiten, benötigt er laut Grundverordnung eine konkrete Einwilligung des Mitarbeiters. Dies kann beispielsweise bei einer Geburtstagsliste der Fall sein oder wenn Fotos von Mitarbeitern auf die Firmenwebsite gestellt werden sollen. Wichtig hierbei ist, dass der Mitarbeiter die Einwilligung freiwillig gibt – und normalerweise schriftlich. So hat der Arbeitgeber auch einen entsprechenden Nachweis.

    Erfassung von Daten zur Arbeitszeit

    Grundsätzlich dürfen Unternehmen die Arbeitszeiten der Mitarbeiter festhalten, da sie i. d. R. die Grundlage für den Arbeitslohn darstellen. Fällt ein Mitarbeiter unter das Mindestlohngesetz, muss die Dauer der täglichen Arbeitszeit sogar zwingend erfasst werden.

    Wie die Arbeitszeiten erfasst werden (Stechuhr, Webanwendung etc.), ist dabei weitestgehend dem Arbeitgeber überlassen. Der Arbeitgeber muss allerdings darauf achten, dass er die Arbeitszeitdaten nur so lange speichert, wie dies zur Durchführung des Arbeitsverhältnisses benötigt wird. In der Regel dürfen diese Daten zwei Jahre aufbewahrt werden.

    Der richtige Umgang mit Gesundheitsdaten

    Gesundheitsdaten von Mitarbeitern genießen einen besonderen Schutz. Im Arbeitsalltag geht es hier vor allem um Arbeitsunfähigkeitsbescheinigungen. Diese Atteste dürfen vom Unternehmen natürlich verarbeitet werden, da aufgrund der Lohnfortzahlung im Krankheitsfall daran ein „berechtigtes Interesse“ von Seiten des Unternehmens besteht.

    Allerdings muss darauf geachtet werden, dass diese Daten nur dem jeweiligen Vorgesetzten und dem Personalverantwortlichen bekannt gegeben werden dürfen. Aus diesem Grund ist es auch nicht erlaubt, einen öffentlich zugänglichen Kalender zu führen, in dem die Krankheitstage der Beschäftigten festgehalten werden. Dieses Problem kann man aber geschickt umgehen, indem anstelle des „Krankheitskalenders“ ein Abwesenheitskalender geführt wird, in dem alle Abwesenheiten der Mitarbeiter eingetragen werden – also auch Urlaube oder Fortbildungen.

    Vier Personen mit Schildern, auf denen Icons zu sehen sind.

    Auskunftsrecht des Mitarbeiters

    Jeder Mitarbeiter hat laut DSGVO das Recht, von seinem Arbeitgeber Auskunft zu verlangen, welche Daten zu welchen Zwecken von ihm verarbeitet werden.

    Dabei darf der Arbeitnehmer auch die Herausgabe von personenbezogenen Leistungs- oder Verhaltensdaten verlangen. In so einem Fall verpflichtet die Datenschutzgrundverordnung den Arbeitgeber dazu, dem Mitarbeiter eine Kopie der entsprechenden Daten auszuhändigen

    Maßnahmen zum Schutz von Mitarbeiterdaten

    Die wichtigsten Mitarbeiterdaten werden meistens in einer Personalakte gesammelt. Diese Akte muss der Arbeitgeber vor dem Zugriff von außen schützen. Dazu kann der Arbeitgeber u. a. folgende Maßnahmen treffen:

    wenn die Personalakte in Papierform geführt wird:

      • abgeschlossene Karteischränke, die nur der Arbeitgeber oder ein Personalverantwortlicher öffnen kann

    wenn die Personalakte in elektronischer Form geführt wird:

      • Standard-Schutzvorkehrungen, wie z. B. Datensicherung, Virenscanner und Firewall
      • Schutz der Datenträger, auf denen die Personalakte liegt, z. B. durch eine gespiegelte Datenhaltung oder passwortgeschützte Verzeichnisse

    Datenschutz bei Beendigung des Arbeitsverhältnisses

    Scheidet ein Arbeitnehmer aus dem Unternehmen aus, dürfen seine Daten in bestimmten Fällen weiterverarbeitet werden, z. B. bei einer betrieblichen Altersvorsorge. Allerdings dürfen die Daten nur so lange verarbeitet werden, wie es erforderlich ist.

    Für bestimmte Unterlagen gibt es außerdem eine gesetzliche Aufbewahrungsfrist. So müssen Lohnunterlagen beispielsweise sechs Jahre lang aufbewahrt werden. Gehaltsunterlagen, die auch für die Gewinnermittlung wichtig sind, müssen sogar zehn Jahre lang aufbewahrt werden.

    Welche Strafen drohen bei Verstößen?

    Mit Inkrafttreten der DSGVO sind die Strafen für Datenschutzverstöße drastisch gestiegen. Dies betrifft auch die Verarbeitung von Mitarbeiterdaten. So können die Aufsichtsbehörden für bestimmte Verstöße Bußgelder in Höhe von bis zu 20 Millionen Euro verhängen. Auch wenn es eher unwahrscheinlich ist, dass kleinere Unternehmen so eine hohe Strafe zahlen müssen, sollten Arbeitgeber trotzdem alles tun, um die Daten ihrer Mitarbeiter DSGVO-konform zu schützen.

    Tipp: DSGVO Premium eBook – kostenlos

    Informieren Sie sich optimal mit umfassendem Fachwissen zur DSGVO: lexoffice hat für Sie ein ausführliches Premium eBook DSGVO zusammengestellt – jetzt gratis zum Download.

    lexoffice E-Book Download zur DSGVO

    Inhalt des Premium eBook DSGVO:

    • Fachwissen zur DSGVO
      Erfahren Sie, wie Sie die neuen Regelungen sicher im Betrieb anwenden
    • Maßnahmenplan DSGVO
      Sichere und korrekte Umsetzung mit dem 6-Punkte-Maßnahmenplan
    • Experten geben Rat zur DSGVO
      Experten-Interview mit RA Michael Rohrlich, Datenschutzbeauftragter
    • Fragen & Antworten zur DSGVO
      Antworten auf die wichtigsten Fragen zur DSGVO
    • Muster & Vorlagen zum Download
      Antworten auf die wichtigsten Fragen zur DSGVO

    Zum Download

    Linienmuster
    Eine Frau, die nachdenklich nach oben schaut.

    Lust auf mehr?

    Praktisches Wissen für Arbeitgeber:innen

    mit dem ganz pragmatischen Blickwinkel „Was bedeutet das ganz konkret für mich?“ sowohl zu aktuellen gesetzlichen Änderungen als auch zu den Grundlagen des Arbeitgeberlebens. Keine unverständlichen Gesetzestexte, keine bürokratischen Abhandlungen.

    Wissen für Arbeitgeber:innen

    Jetzt lexoffice erleben

    Testen Sie den kompletten Funktionsumfang von lexoffice inkl. Lohn & Gehalt 30 Tage lang kostenlos. Oder Sie entscheiden sich direkt für Ihre lexoffice Version (optional mit Lohn & Gehalt) und sparen beim sofortigen Kauf mit unserem Aktionsrabatt.

    Wenn Sie lexoffice Lohn & Gehalt ohne die anderen Funktionen von lexoffice nutzen möchten, also nur die Lohnabrechnung mit lexoffice erledigen wollen, dann hier entlang >>

    • 30 Tage kostenlos testen.
    • Der Test endet automatisch.
    • Kostenloser Support.

    Test endet nach 30 Tagen automatisch. Kein Abo. Kein Newsletter. Mit der Registrierung stimmen Sie den Datenschutzbestimmungen und den AGB zu.

    oder

    Sofort sparen

    Test endet nach 30 Tagen automatisch. Kein Abo. Kein Newsletter. Mit der Registrierung stimmen Sie den Datenschutzbestimmungen und den AGB zu.

    Geschrieben von:

    lexoffice Redaktion

    lexoffice Redaktion

    Leidenschaft und Kompetenz für die Belange von Selbstständigen

    Leidenschaft und Kompetenz – diese Eigenschaften einen die diverse lexoffice Redaktion. Tagtäglich arbeiten unsere Themenexpert:innen, freie Journalist:innen und Fachautoren daran, Selbstständigen die wichtigsten Tipps, Tools und Hintergründe sowie Best Practices, Insights und Inspirationen zu aktuellen und spannenden Themen zu liefern.

    Weitere Artikel rund um „Lohn & Gehalt“

    • Betriebsnummer bei der Bundesagentur für Arbeit beantragen, um Mitarbeiter einzustellen

      07.09.2023Papierkram, Bürokratie & Fristen

      Betriebsnummer

      Eine Betriebsnummer benötigen Sie, wenn Sie Mitarbeiter:innen beschäftigen wollen. Die Betriebsnummer müssen Sie bei der Bundesagentur für Arbeit beantragen. Wie Sie das anstellen und was Sie sonst noch zur Betriebsnummer wissen müssen, verraten wir Ihnen in diesem Artikel.

    • 14.12.2021Papierkram, Bürokratie & Fristen

      Elektronische Entgeltunterlagen

      Bestimmte Entgeltunterlagen müssen ab dem 1. Januar 2022 elektronisch vorgehalten werden. Es gibt für Arbeitgeber:innen jedoch eine Übergangsfrist bis Ende 2026. Hier lesen Sie das Wichtigste auf einen Blick.

    • 18.11.2021Papierkram, Bürokratie & Fristen

      Datensatz Betriebsdatenpflege: Darum geht es beim DSBD

      Seit Dezember 2010 gibt es die Datensatz Betriebsdatenpflege (DSBD) – ein Verfahren zur Übermittlung von Änderungen der Betriebsdaten. Wir haben das Wichtigste in einem kurzen Überblick für Sie zusammengefasst.

    lxlp