Menü
Ob gewollt oder nicht: Jeder Beschäftigte gibt Daten, Fakten und Informationen über sich und seine Arbeit preis. Zugegeben, das war schon früher so. Aber im Zuge der Digitalisierung können Beschäftigte nun sogar vollumfänglich überwacht werden. Schließlich hinterlässt man heutzutage überall seinen elektronischen Fingerabdruck: Firmencomputer, Laptops und Smartphones, GPS in Dienstwagen, LKWs und Gabelstapler oder IT-Systeme wie e-Recruiting, e-Learning und Employee-Self-Service-Systems. Alle diese Geräte können das Verhalten der User dokumentieren und kontrollieren. Diese Entwicklung wird sich fortsetzen und verstärken: Vor allem bei den sogenannten Smart-Factories, die Produktionsanlagen miteinander vernetzen, oder Smart Houses als Pendant in den Firmenzentralen. Unter diesen Umständen scheint der im Team gemeinsam genutzte Online-Kalender das geringste Problem zu sein – zumal wenn alle damit einverstanden sind. Aber wie kann man sich vor unerwünschter Kontrolle schützen?
Hier kommt der Datenschutz ins Spiel: Der Datenschutz hat das Ziel, die Persönlichkeitsrechte des Einzelnen im Umgang mit personenbezogenen Daten vor dem Zugriff Dritter zu sichern. Die informationelle Selbstbestimmung darf nicht einfach so von anderen beeinträchtigt werden. Demgegenüber müssen unternehmerische Interessen im Arbeitsleben zum Ausgleich gebracht werden. Denn klar ist: Unternehmen sind berechtigt und sogar verpflichtet, zu wissen, was konkret bei ihnen passiert. Diesen Ausgleich schafft der Datenschutz, der auch die Daten von Beschäftigen schützt. Hiernach darf der Arbeitgeber nur die für ihn notwendigen Daten der Beschäftigen erheben und verarbeiten und grundsätzlich niemand anderes. Aber wie muss man sich das genau vorstellen?
Ein eigenes, umfassendes Beschäftigtendatenschutzgesetz gibt es nicht. Der Beschäftigungsdatenschutz fasst verschiedene gesetzliche Regelungen zusammen, die sich speziell auf die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten von Beschäftigten befassen. Sie sind insbesondere im Bundesdatenschutzgesetz (BDSG) und in der Datenschutz-Grundverordnung (EU-DSGV) zu finden. Im Wesentlichen gilt: Personenbezogene Daten von Beschäftigten dürfen nur erhoben und verarbeitet werden, wenn es eine eindeutige, rechtliche Grundlage gibt und gleichzeitig ein legitimer Zweck damit verfolgt wird („Zweckbindung“).
Eine solche rechtliche Grundlage ist das BDSG. Hiernach dürfen personenbezogene Daten von Beschäftigten verarbeitet werden, wenn diese für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sind. Hierzu gehören vor allem Bewerbungsunterlagen, Qualifikationsnachweise, allgemeine Personen- und Kontaktdaten, Bankverbindungen etc. Aber auch Daten, wie etwa über Beginn und Ende der Tätigkeit nebst Pausen zur Einhaltung der Arbeitsschutzgesetze, der Tarifverträge und Betriebsvereinbarungen, sind die für die Durchführung des Beschäftigungsverhältnisses unerlässlich.
Gibt es darüber hinaus für die Erhebung und Verarbeitung von Beschäftigtendaten keine weitergehende Rechtsgrundlage, muss eine schriftliche Einwilligungserklärung von den Beschäftigten eingeholt werden. Dies gilt etwa bei der Erstellung öffentlicher Dienstpläne und Einsatzlisten, Geburtstagslisten, Videoüberwachung am Arbeitsplatz etc. Wichtig dabei ist, dass die Einwilligung der Beschäftigten freiwillig, verständlich und widerrufbar sein muss. Um diese Rechtsrisiken und den bürokratischen Aufwand bei einer Vielzahl von einzuholenden Einwilligungserklärungen zu vermeiden, werden häufig auch Betriebsvereinbarungen mit Betriebsräten geschlossen, um die Erhebung und Verarbeitung von Beschäftigtendaten allgemeingültig und einheitlich für alle Beschäftigten zu regeln. Grundsätzlich gilt: Ohne Zustimmung des Betriebsrats kein People-Analytics.
Und wenn man sich nicht an den Beschäftigtendatenschutz hält? Dann drohen empfindliche Strafen! Verstöße können mit Bußgeldern von bis zu vier Prozent des weltweiten Jahresumsatzes sanktioniert werden. Hinzu kommen etwaige Schadensersatzansprüche der Beschäftigten. Es macht daher Sinn, den Beschäftigtendatenschutz mit Compliance zu verbinden.
Für Unternehmen ist eine klare Datenschutz-Strategie wichtig: Welche Daten sollen erhoben und für People Analytics genutzt werden? Wann sind die Daten wirklich erforderlich? Werden überhaupt personenbezogene Daten benötigt oder reichen auch anonymisierte oder pseudonymisierte Daten aus? Diese Fragen sind entscheidend für die Einbindung des Betriebsrats. Für ihn ist im Umgang mit automatisierten Prozessen und IT-Systemen eine eigene Strategie aufzusetzen und ein standardisiertes Verfahren zur Implementierung von IT-Systemen auf kollektivrechtlicher Grundlage zu vereinbaren.
Gleichzeitig müssen standardisierte Strukturen, Verfahren und Prozesse mit dem Datenschutzbeauftragten und dem Compliance-Beauftragten aufgesetzt werden, um die rechtlichen Rahmenbedingungen einzuhalten. Entscheidend für gesetzeskonformes Verhalten ist aber die Unternehmenskultur. Hierfür müssen Unternehmensführung, Führungskräfte und Beschäftigte für die Einhaltung des Beschäftigtendatenschutzes nachhaltig sensibilisiert werden.
Wir unterstützen Sie:
