Beschäftigtendatenschutz- Das ist zu beachten.

Zwischen dem Unternehmen sowie jedem einzelnen Mitarbeiter besteht eine feste Beziehung, nämlich das Arbeitsverhältnis. Der Mitarbeiterdatenschutz regelt die Details, die in Bezug auf dieses Verhältnis aus rechtlicher Sicht von Bedeutung sind.

Insgesamt ist der Datenschutz für Arbeitnehmer ein sehr komplexes Thema, was schlichtweg der großen Bandbreite an Bereichen, in denen Daten über Mitarbeiter erhoben werden, geschuldet ist. In vielen Bereichen führt an der Erhebung oder Verarbeitung von Mitarbeiterdaten kein Weg vorbei, weil sie beispielsweise aus organisatorischen Gründen erforderlich ist. Zudem gibt es viele Unternehmen, die in bestimmten Feldern ganz bewusst ergänzende Daten erheben, obwohl dies für das alltägliche Geschäftsgebaren nicht erforderlich wären.

Der Beschäftigtendatenschutz verkörpert ein Rahmenwerk, das Grenzen definiert und somit festlegt, wo und in welchem Umfang der Arbeitgeber zur Erhebung und Verarbeitung von Mitarbeiterdaten berechtigt ist. All dies geschieht zum Schutz des Arbeitnehmers, weil er im Arbeitsverhältnis die schwächere Position einnimmt.

Beschäftigtendatenschutz  - 7 wichtige Punkte

1. Nutzung von E-Mail und Internet am Arbeitsplatz: Verbietet der Arbeitgeber nicht die private Nutzung von E-Mail und Internet am Arbeitsplatz, „wird“ der Arbeitgeber Diensteanbieter nach § 2 Abs. 1 TMG und unterliegt dem Fernmeldegeheinmis nach § 88 TKG. Die Folge: eine Überwachung des E-Mail Verkehrs ist nicht möglich, auch nicht zu Zwecken der IT Sicherheit. Es droht ein gegebenenfalls strafbarer Verstoß gegen§§ 202a, 206 StGB, § 88 TKG und § 2 Abs. 1 und § 7 Abs 3.TMG. Best-Practice: Generelles Verbot der privaten Nutzung.
2. Mobile Endgeräte inklusive Mobiltelefon: Hier ist die gleiche Problemlage wie bei E-Mail und Internet. Aber auch die Nutzung von externen Apps: kann problematisch sein aufgrund der Funktionsweise, zum Beispiel: WhatsApp. Best-Practice: private Nutzung verbieten bzw. externe Apps nur in Containerlösung erlauben.
3. Datenschutz im Home-Office: Unabhängig von technischen Fragen gibt es widerstreitende Interessen nämlich die Kontrollrechte und- Pflichten des Arbeitgebers versus allgemeines Persönlichkeitsrecht und das Recht auf Unverletzlichkeit der Wohnung, Art. 13 GG der Beschäftigten. Hier kommt es zu einer Einwirkung ins Privatrecht. Der Betriebsrat ist zu beteiligen (§ 87 Abs. 1 Nr. 2 und Nr. 6 BetrVG.) Best-Practice: schriftliche Vereinbarung mit den Beschäftigten oder Abschluss einer Betriebsvereinbarung.
4. Betriebliche Mitbestimmung und Datenschutz: § 87 Abs. 1 Nr. 6 BetrVG regelt die Mitbestimmung in sogenannten Sozialangelegenheiten. Danach hat der Betriebsrat ein Mitbestimmungsrecht bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“. Dies ist das Einfallstor für die Mitbestimmung des Betriebsrates in datenschutzrechtlicher Hinsicht. Aber auch aus § 26 Abs. 3 BDSG ergibt sich, dass die Verarbeitung personenbezogener Daten im Beschäftigungskontext und für Zwecke der Beschäftigung auf Grundlage einer Betriebsvereinbarung erfolgen kann. Hierbei ist wiederum Artikel 88 Absatz 2 DSGVO zu beachten. Bei dieser Norm wird besonderes Augenmerk auf die Wahrung der menschlichen Würde und der Grundrechte der betroffenen Personen, also Beschäftigten gelegt.
5. Datenschutz bei Online-/Videobesprechungen: Verschiedene Aspekte sind zu beachten: sinnvolle technische und organisatorische Maßnahmen zur Datensicherheit. Ggf. Beteiligung des Betriebsrates nach § 87 Abs. 1 Nr. 6 BetrVG. In der Regel ist ein Auftragsverarbeitungsvertrag, Art 28 DSGVO mit dem Anbieter des Videodienstes abzuschließen und es entsprechende Anpassungen in der Datenschutzerklärung sowie der der Datenschutzinformationen vorzunehmen. Eine besondere Problemstellung ergibt sich auch daraus, dass die meisten gängigen Videotools aus den USA kommen und auch dort gehostet werden. Hier ist wieder das Urteil des EuGH zum Datentransfer in Drittländer relevant (EuGH, Urteil vom 16. Juli 2020 (Rechtssache C-311/18 „Schrems“ II). 
6. Informationspflichten des Arbeitgebers: Nach Art. 12, 13 Abs. 1 DSGVO gilt der Grundsatz, dass eine Information über die Datenverarbeitung zum Zeitpunkt der Erhebung der Daten zur Folge hat. Daraus ergeben sich Konsequenzen: Im Bewerbungsverfahren: muss bereits umfassend informiert werden. Bei Verwendungen von online-Bewerberplattformen muss dies auch in der Datenschutzerklärung mit berücksichtigt werden. Im bestehenden Arbeitsverhältnis ist Best practice eine Anlage zum Arbeitsvertrag oder auch ein Gesondertes Informationsschreiben.
7. Notwendige Rechtstexte im Beschäftigungsverhältnis: Die Liste der notwendigen Rechtstexte ist hier nicht abschließen. Die wichtigsten sind: Der schriftliche Arbeitsvertrag, der eine entsprechende Datenschutzklausel bzw. Datenschutz-Information enthalten sollte. Im Hinblick auf die aktuelle Coronazeit ist eine schriftliche Vereinbarung über Home-Office auch sinnvoll. Ebenso sollte die private Nutzung von E-Mail und Internet sowie von mobilen Geräten geregelt werden, oder eben deren Verbot. Eine Datenschutzinformation im Sinne von Art. 13 und 14 DSGVO sollte bereitgehalten werden, sofern nicht bereits im Arbeitsvertrag abfließt berücksichtigt. Sinnvoll sind auch gegebenenfalls Einwilligungen für die Verwendung von Fotos (unter Berücksichtigung von § 26 Abs.2 BDSG.) Letztlich müssen auch alle beschäftigungsrelevanten Verarbeitungsarten in das Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) mit aufgenommen werden. Gegebenenfalls kommen auch Betriebsvereinbarungen zu Spezialthemen in Betracht, bei denen auch personenbezogene Beschäftigtendaten verarbeitet werden. Dies ist jeweils Einzelfall abhängig.