Deutschland gehört zu den Ländern mit den strengsten Datenschutzgesetzen für Arbeitnehmer. Viele ausländische Arbeitgeber unterschätzen die strengen Vorschriften im Zusammenhang mit dieser Datenverarbeitung.
Von Personalsuche und Gehaltsabrechnungen bis hin zur Mitarbeiterüberwachung und Gesundheitsdaten müssen ausländische Arbeitgeber sowohl die EU-weiten DSGVO-Vorschriften als auch die deutschen arbeitsrechtsspezifischen Datenschutzgesetze einhalten.
Wenn Sie diese deutschen Gesetze nicht einhalten, kann dies zu hohen Bußgeldern gemäß der DSGVO, Rechtsstreitigkeiten, Reputationsschäden und Konflikten mit Betriebsräten führen. Aus diesem Grund erläutert dieser Leitfaden die wichtigsten Datenschutzgesetze in Deutschland.
Autor
Deutschland gehört zu den Ländern mit den strengsten Datenschutzgesetzen für Arbeitnehmer. Viele ausländische Arbeitgeber unterschätzen die strengen Vorschriften im Zusammenhang mit dieser Datenverarbeitung.
Von Personalsuche und Gehaltsabrechnungen bis hin zur Mitarbeiterüberwachung und Gesundheitsdaten müssen ausländische Arbeitgeber sowohl die EU-weiten DSGVO-Vorschriften als auch die deutschen arbeitsrechtsspezifischen Datenschutzgesetze einhalten.
Wenn Sie diese deutschen Gesetze nicht einhalten, kann dies zu hohen Bußgeldern gemäß der DSGVO, Rechtsstreitigkeiten, Reputationsschäden und Konflikten mit Betriebsräten führen. Aus diesem Grund erläutert dieser Leitfaden die wichtigsten Datenschutzgesetze in Deutschland.
Autor
Nehmen Sie Kontakt mit uns auf
Stephan Dorn
Geschäftsführender Gesellschafter
Der Datenschutz für Arbeitnehmer in Deutschland bezieht sich auf die gesetzlichen Vorschriften, die regeln, wie Arbeitgeber personenbezogene Daten ihrer Mitarbeiter erheben, verarbeiten, speichern, überwachen und weitergeben dürfen.
Beim Umgang mit Personaldaten müssen Arbeitgeber sowohl die DSGVO als auch das Bundesdatenschutzgesetz (BDSG) einhalten.
Zu den geschützten Mitarbeiterdaten können Namen, Adressen, Gehaltsdaten, Bankdaten, Gesundheitsakten, Leistungsdaten, E-Mails, Gerätennutzungsdaten, biometrische Daten und Überwachungsdaten gehören. Diese Gesetze decken den gesamten Beschäftigungszyklus ab, von Personalsuche zur Kündigung.
Da in Deutschland großer Wert auf das Recht auf Privatsphäre gelegt wird, gelten im Land strenge Datenschutzvorschriften für Arbeitnehmer. Arbeitgeber müssen strenge Anforderungen hinsichtlich Transparenz, Sicherheit und rechtmäßiger Datenverarbeitung einhalten. Diese Gesetze müssen bei der Überwachung von Mitarbeitern oder beim Umgang mit sensiblen personenbezogenen Daten beachtet werden.
Die DSGVO gilt EU-weit unmittelbar und legt umfassende Vorschriften für die Verarbeitung personenbezogener Daten fest, darunter auch Mitarbeiterdaten. Die DSGVO schreibt vor, dass Sie Mitarbeiterdaten sicher aufbewahren und nur aus eindeutigen und berechtigten Gründen verwenden dürfen. Aufgrund dieser Vorschrift haben Mitarbeiter das Recht, ihre eigenen Daten einzusehen, und können deren Änderung verlangen.
Dies ist ein deutsches Gesetz, das im Einklang mit der DSGVO steht. Es enthält zusätzliche Vorschriften dazu, wie Sie in Deutschland Mitarbeiterdaten erheben und nutzen dürfen.
Als ausländischer Arbeitgeber müssen Sie also beide Gesetze einhalten. Andernfalls droht Ihnen eine Geldstrafe. Diese Gesetze dienen dem Schutz der Privatsphäre der Arbeitnehmer und sollen den Missbrauch ihrer personenbezogenen Daten verhindern.
Sie dürfen Mitarbeiterdaten nur erheben und verwenden, wenn Sie diese für die Arbeit der Mitarbeiter, für die Einstellung oder für die Kündigung benötigen. Gemäß § 26 BDSG dürfen Sie diese Daten ohne Einwilligung nicht für andere Zwecke verwenden.
Bestimmte Mitarbeiterdaten sind besonders sensibel, wie beispielsweise Gesundheitsdaten, Angaben zur ethnischen Zugehörigkeit, zur Religion oder zur Gewerkschaftszugehörigkeit. Arbeitgeber dürfen solche Daten in der Regel nicht verwenden, es sei denn, der Arbeitnehmer stimmt dem schriftlich zu oder das Gesetz lässt dies zu.
§ 24 BDSG erlaubt eine Weiterverarbeitung zu anderen als den ursprünglichen Zwecken nur unter strengen Voraussetzungen, insbesondere wenn dies mit dem ursprünglichen Zweck vereinbar oder für Rechtsansprüche oder die öffentliche Sicherheit erforderlich ist. Entscheidend für die Beurteilung, ob dies ein triftiger Grund ist, ist die Prüfung, ob einer dieser drei Gründe vorliegt:
Beispiele für diese anderen Zwecke sind unter anderem:
Sie müssen einen Datenschutzbeauftragten (DSB) benennen, wenn einer der folgenden Punkte zutrifft:
Situation | Wann ist ein Datenschutzbeauftragter erforderlich? |
Mitarbeiterzahl | In Deutschland ist ein Datenschutzbeauftragter vorgeschrieben, wenn mindestens 20 Mitarbeiter regelmäßig personenbezogene Daten mithilfe automatisierter Verfahren verarbeiten (§ 38 BDSG). |
Spezielle Daten + Folgenabschätzung | Sie müssen eine Datenschutz-Folgenabschätzung (DPIA) durchführen, auch wenn Sie weniger als 20 Mitarbeiter beschäftigen. |
Verkauf/Weitergabe von Daten | Ihr Unternehmen erhebt und speichert Daten zu kommerziellen Zwecken, um diese (personalisiert oder anonymisiert) zu verkaufen oder weiterzugeben. |
Markt- und Meinungsforschung | Ihr Geschäftszweck ist die Markt- oder Meinungsforschung unter Verwendung personenbezogener Daten |
Öffentliche Einrichtungen | Sie sind eine Behörde oder eine staatliche Einrichtung (keine Begrenzung der Mitarbeiterzahl) |
Umfangreiche Sonderdaten | Sie verarbeiten in großem Umfang sensible Daten (Gesundheit, ethnische Zugehörigkeit, Religion) globeriadatenschutz |
Systematische Überwachung | Ihr Kerngeschäft besteht darin, Menschen regelmäßig zu überwachen (z. B. mittels Überwachungskameras oder durch die Verfolgung ihres Online-Verhaltens) |
Der Datenschutzbeauftragte muss folgende Voraussetzungen erfüllen:
Betriebsräte unterliegen den Verpflichtungen gemäß DSGVO und BDSG; ihre genaue Rolle (Verantwortlicher oder eigenständiges Gremium) ist jedoch rechtlich komplex und wird in der deutschen Rechtsprechung nach wie vor diskutiert. Sie müssen:
Auch wenn der Betriebsrat mit Mitarbeiterdaten umgeht, gelten weiterhin die Bestimmungen der DSGVO. Das bedeutet:
Dieses Gesetz gilt, wenn Ihr Unternehmen im Bereich Telekommunikation oder digitale Dienste tätig ist, beispielsweise:
Dann müssen Sie die Nutzerdaten strenger schützen. So müssen Sie beispielsweise die Kommunikation vertraulich behandeln, vor der Nachverfolgung von Personen eine Einwilligung einholen und Nutzern sowie Mitarbeitern klar mitteilen, welche Daten erfasst werden. Die Anforderungen an die Einwilligung zur Verwendung von Cookies ergeben sich in erster Linie aus der EU-E-Privacy-Richtlinie (in Deutschland umgesetzt durch das TDDDG) in Verbindung mit den Bestimmungen der DSGVO zur Einwilligung.
Für bestimmte Berufe gelten besondere Datenschutzvorschriften, da dabei sensible Informationen verarbeitet werden. Beispiele hierfür sind das Gesundheitswesen, das Bank- und Finanzwesen, die Versicherungsbranche, der öffentliche Dienst, das Transportwesen sowie Einzelhandelsunternehmen, die Kameras einsetzen.
Arbeitgeber können geschäftliche E-Mails und die Internetnutzung überprüfen, wenn dafür konkrete Gründe vorliegen, beispielsweise zur Behebung technischer Probleme. Aufgrund des Machtungleichgewichts in Arbeitsverhältnissen sollten sich Arbeitgeber nicht auf die Einwilligung als primäre Rechtsgrundlage stützen; stattdessen wird die Datenverarbeitung in der Regel gemäß § 26 BDSG oder aufgrund eines berechtigten Interesses (Art. 6 DSGVO) gerechtfertigt. Der Zugriff auf persönliche Kommunikation unterliegt strengen Einschränkungen und ist in der Regel nur in Ausnahmefällen zulässig, beispielsweise bei Verdacht auf kriminelle Handlungen, und erfordert oft zusätzliche Schutzmaßnahmen.
Videoüberwachungskameras können aus echten Sicherheitsgründen eingesetzt werden, beispielsweise zur Verhinderung von Diebstahl. Sie dürfen nicht versteckt werden. Außerdem dürfen sie nicht an privaten Orten wie Pausenräumen oder Umkleideräumen installiert werden.
Die GPS-Überwachung von Mitarbeitern ist aus bestimmten Gründen zulässig, beispielsweise zur Überwachung von Lieferfahrern oder Dienstfahrzeugen. Die Mitarbeiter sollten darüber informiert sein. Es ist nicht zulässig, sie zu Hause zu überwachen, es sei denn, sie verfügen über firmeneigene Ausrüstung für die Arbeit. Eine kontinuierliche oder übermäßige Überwachung gilt im Allgemeinen als unverhältnismäßig und rechtswidrig, sofern sie nicht unbedingt notwendig und gerechtfertigt ist.
Die Erhebung biometrischer Daten hängt von einem zwingenden Sicherheits- oder Zugangsbedarf ab. Eine ausdrückliche Einwilligung ist nur in Ausnahmefällen gültig, in denen sie wirklich freiwillig erteilt wird; andernfalls muss die Verarbeitung biometrischer Daten gemäß § 26 BDSG oder Art. 9 DSGVO durch die Notwendigkeit gerechtfertigt sein. Dies ist zulässig, wenn es keine einfachere Möglichkeit gibt, dies zu tun. Wenn Sie beispielsweise keine Schlüsselkarte verwenden können, dürfen stattdessen biometrische Daten verwendet werden.
Die Einwilligung des Mitarbeiters in die Überwachung ist nur gültig, wenn:
Anforderung | Was das bedeutet |
Freie Wahl | Arbeitnehmer können „Nein“ sagen, ohne ihren Arbeitsplatz zu verlieren |
Geschrieben | Der Arbeitnehmer unterzeichnet oder vermerkt seine Zustimmung |
Löschen | Der Mitarbeiter weiß genau, was Sie überwachen werden |
Spezifisch | Die Einwilligung gilt für einen bestimmten Zweck, nicht für „alles“ |
Kann zurückgegeben werden | Der Arbeitnehmer kann seine Einwilligung später widerrufen |
Kein Druck | Der Chef darf den Arbeitnehmer weder zwingen noch bedrohen. |
Gemäß der DSGVO dürfen Arbeitgeber Mitarbeiterdaten nur dann außerhalb der EU übermitteln, wenn:
Die gängigste Methode, mit der Arbeitgeber Daten rechtmäßig übermitteln können, ist die Einhaltung der Standardvertragsklauseln (SCCs). Diese lauten wie folgt:
Sie finden sie auf der Website der Europäischen Kommission.
Sie dürfen Mitarbeiterdaten außerhalb der EU übermitteln, wenn:
Das Land verfügt über eine EU-Zulassung (wie Großbritannien, Schweiz, Japan) | Es sind keine zusätzlichen Schritte erforderlich |
Das Land verfügt über keine EU-Zulassung (wie die USA, Indien, China) | SCCs unterzeichnen + prüfen, ob zusätzlicher Schutz erforderlich ist |
Eine ausdrückliche Einwilligung ist zwar möglich, wird jedoch aufgrund strenger Anforderungen und der Widerrufbarkeit selten empfohlen; Standardvertragsklauseln (SCCs) oder Angemessenheitsbeschlüsse werden bevorzugt. | Schriftliche Einwilligung + der Arbeitnehmer kann jederzeit kündigen |
Für den Arbeitsvertrag erforderlich | Nur aus bestimmten beruflichen Gründen (z. B. zur Gehaltszahlung) |
Arbeitgeber müssen ihren Arbeitnehmern eine Datenschutzerklärung aushändigen, in der Folgendes erläutert wird:
Die Information muss leicht verständlich und klar formuliert sein und vor der Erhebung der Daten bereitgestellt werden.
Datenminimierung bedeutet, dass Sie nur Daten erheben, die für die jeweilige Tätigkeit erforderlich sind. Arbeitgeber dürfen keine zusätzlichen Informationen „für alle Fälle“ erheben. Beispielsweise benötigen Arbeitgeber bei den meisten Tätigkeiten keine Angaben zur religiösen Überzeugung ihrer Mitarbeiter.
Aufbewahrungsrichtlinien sehen vor, dass Daten nur so lange aufbewahrt werden, wie dies erforderlich ist, und gelöscht werden, sobald sie nicht mehr benötigt werden. So sollten Arbeitgeber beispielsweise Bewerbungsdaten löschen, wenn die betreffende Person nicht eingestellt wird (in der Regel innerhalb von 3–6 Monaten).
Arbeitgeber können eine Datenschutz-Folgenabschätzung durchführen, wenn sie:
Eine DPIA ist eine Risikoprüfung, bei der folgende Fragen gestellt werden:
Sie müssen Aufzeichnungen über alle Datenverarbeitungsvorgänge führen, darunter:
Was soll aufgezeichnet werden? | Beispiel |
Warum Sie Daten erheben | Lohnabrechnung, Personalbeschaffung, Arbeitssicherheit |
Welche Daten Sie erheben | Name, Adresse, Gehalt, Gesundheit |
Mit wem du es teilst | Banken, Versicherungen, öffentliche Verwaltung |
Wie lange Sie es aufbewahren | Die Aufbewahrungsfristen richten sich nach den gesetzlichen Verpflichtungen (z. B. 6–10 Jahre für Steuerunterlagen gemäß dem deutschen Handels- und Steuerrecht). |
Sicherheitsmaßnahmen | Passwörter, Verschlüsselung, gesperrte Dateien |
Arbeitgeber müssen Mitarbeiter schulen, die mit personenbezogenen Daten umgehen, wie beispielsweise Personalverantwortliche, Führungskräfte und IT-Teams. Diese sollten wissen, wie sie die Daten schützen und Datenschutzverletzungen vermeiden können. Arbeitgeber sollten zudem über schriftliche Richtlinien zum Datenschutz verfügen. Die Schulungen sollten mindestens einmal jährlich aktualisiert werden.
Arbeitnehmer haben das Recht, von Ihnen Folgendes zu verlangen:
Anfrage | Was Sie tun müssen |
Siehe deren Daten | Antworten Sie innerhalb eines Monats (in komplexen Fällen kann diese Frist um zwei weitere Monate verlängert werden). |
Ihre Daten korrigieren | Falsche Angaben schnell korrigieren |
Ihre Daten löschen | Entfernen Sie es, sofern es gesetzlich zulässig ist |
Hören Sie auf, deren Daten zu nutzen | Die Bearbeitung unterbrechen, falls sie Einwände erheben |
Ihre Daten verschieben | Daten auf Anfrage an ein anderes Unternehmen weiterleiten |
Sie müssen:
Der Schutz der Mitarbeiterdaten in Deutschland ist keine leichte Aufgabe. Viele ausländische Arbeitgeber versuchen, dies selbst zu regeln, stoßen dabei jedoch auf rechtliche Probleme. Am besten ist es, einen Employer of Record wie FMC Group. Dieser geht sorgfältig mit den Daten um, stellt Mitarbeiter ein, ohne dass Sie eine lokale Niederlassung benötigen, verwaltet die Gehaltsabrechnung und die monatlichen Sozialabgaben und vieles mehr.