In unserer kleinen Reihe zum Datenschutz im Alltag (hier lesen Sie Teil 1) greifen wir wie angekündigt, mehrere Bereiche auf, in denen uns Datenschutz begegnet und schützt. Heute gehen wir auf Datenschutz im Arbeitsalltag ein.
Teil 2
Datenschutz begegnet uns im Arbeitsalltag an praktisch jeder Stelle, an der persönliche Daten verarbeitet werden – von der Bewerbung über die tägliche Arbeit bis hin zur Beendigung des Arbeitsverhältnisses. Datenschutzrechtliche Vorgaben stellen sicher, dass personenbezogene Daten verantwortungsvoll und transparent behandelt werden.
Bewerbungsprozess
Schon im Bewerbungsprozess zeigt sich dieser Schutz besonders deutlich. Arbeitgeber dürfen nur die Informationen erheben, die zur Bewertung der Eignung, Befähigung und fachlichen Leistung erforderlich sind. Nachforschungen über persönliche Hintergründe oder Gesundheitsinformationen z. B. durch Durchsuchen der privaten Social-Media-Aktivitäten bleiben tabu (Datenminimierungsgrundsatz und Zweckgebundenheit, Art. 5 Abs. 1 lit. c und b DSGVO). Etwas anderes gilt bei Datenerhebungen unter Anwendung allgemein zugänglicher Suchmaschinen. Inhalte, die frei verfügbar über Suchmaschinen wie Google zu finden sind, können datenschutzrechtlich zulässig erhoben werden. Hintergrund ist, dass allgemein zugängliche Daten, die der Bewerber offensichtlich selbst öffentlich gemacht hat, nach der DSGVO weniger schutzwürdig sind. Insbesondere in beruflichen Netzwerken wie LinkedIn oder Xing präsentieren Arbeitnehmende gerade für potenzielle Arbeitgeber ihre Informationen. Damit kann eine Recherche hier als datenschutzrechtlich zulässig erachtet werden. Wichtig ist, dass potenzielle Arbeitgeber die betroffenen Personen über die Quelle der erhobenen Daten gemäß Art. 14 DSGVO informieren.
Nach Abschluss des Verfahrens, spätestens 3 Monate danach, müssen die Daten gelöscht werden, wenn keine Einwilligung für eine längere Aufbewahrung vorliegt (Prinzip der Speicherbegrenzung, Art. 5 Abs.1 lit. e DSGVO). Ohne datenschutzrechtliche Vorgaben könnten Unternehmen umfangreiche Profile anlegen, Bewerbende aus nicht nachvollziehbaren Gründen aussortieren oder Bewerbungsunterlagen jahrelang unkontrolliert weitergegeben.
Arbeitsbeginn
Mit Einstellung und Arbeitsaufnahme werden weitere personenbezogene Daten verarbeitet, bspw. beim Anlegen einer Personalakte, bei Leistungsbeurteilungen, Abmahnungen oder dem Einreichen von Krankmeldungen. Personalakten dürfen nur von befugten Personen eingesehen werden (Need-to-Know-Prinzip / Grundsatz der Integrität und Vertraulichkeit, Art.5 Abs.1 lit. f DSGVO), Bewertungen oder Abmahnungen müssen korrekt und zweckgebunden verarbeitet werden (Grundsatz der Zweckgebundenheit (Art.5 Abs.1 lit. b DSGVO) und Richtigkeit (Art. 5 Abs.1 lit. d DSGVO)). Bei AU-Bescheinigungen darf der Arbeitgeber lediglich erfahren, dass jemand arbeitsunfähig ist – nicht die Diagnose (Datenminimierungsgrundsatz, Art.5 Abs.1 lit. c DSGVO). Beschäftigte haben zudem einen Anspruch darauf zu erfahren, welche Daten über sie gespeichert sind und dürfen falsche Angaben berichtigen lassen (Auskunfts- und Berichtigungsanspruch, Art. 15, 16 DSGVO). Ohne diese Mechanismen könnten interne Informationen unkontrolliert verbreitet, verfälscht oder für Entscheidungen genutzt werden, die erhebliche Nachteile für die Betroffenen hätten.
Zu einer Verarbeitung personenbezogener Daten kommt es beispielsweise auch bei Zutrittskontrollen, Arbeitszeiterfassung, Nutzung von Firmengeräten oder Videoüberwachungsmaßnahmen. Der Datenschutz setzt hier klare Grenzen: Überwachung darf nur erfolgen, wenn sie notwendig und verhältnismäßig ist. Dadurch wird verhindert, dass Beschäftigte permanent beobachtet oder Verhaltens- und Leistungsprofile erstellt werden. Ohne entsprechende Regeln könnten Arbeitgeber detaillierte Einblicke in Kommunikationsverhalten, Arbeitsrhythmus erhalten oder Arbeitsplätze und Pausenräume rund um die Uhr überwachen – mit erheblichen Risiken für Privatsphäre und Selbstbestimmung.
Beendigung des Arbeitsverhältnisses
Bei Beendigung des Arbeitsverhältnisses bleiben datenschutzrechtliche Pflichten bestehen. Personenbezogene Daten dürfen nur so lange gespeichert werden, wie sie für gesetzliche Aufbewahrungspflichten oder die Abwehr möglicher Rechtsansprüche erforderlich sind. Alles, was nicht mehr benötigt wird, ist ordnungsgemäß zu löschen oder zu anonymisieren (Prinzip der Speicherbegrenzung, Art.5 Abs. 1 lit. e DSGVO). Zugriffe ehemaliger Mitarbeitender auf interne Systeme müssen beendet und Zugangsberechtigungen widerrufen werden. Fehlerhafte Lösch- oder Berechtigungsprozesse können dazu führen, dass Gesundheitsdaten, Abmahnungen, Gehaltsangaben oder private Kommunikation unbefugt eingesehen oder weitergegeben werden. Wenn bspw. Ausweise, Bankdaten oder Kontaktinformationen im Unternehmen unnötig lange verfügbar bleiben oder schlecht gesichert sind, erhöht sich das Risiko von Missbrauch und Phishing unter Nutzung dieser Daten. Oder wenn unzutreffende und veraltete Informationen (z. B. zu Leistungsbeurteilungen oder Konflikte) intern nicht gelöscht werden, kann das z.B. spätere arbeitsrechtliche Auskünfte für zukünftige Bewerbungen negativ beeinflussen.
Fazit
Datenschutz ist im Arbeitsalltag allgegenwärtig und erfüllt eine klare Schutzfunktion: Er bewahrt Beschäftigte vor Überwachung, Diskriminierung, Kontrollverlust und dem Missbrauch persönlicher Informationen.