Meine Produkte: Bitte melden Sie sich an, um Ihre Produkte zu sehen. Anmelden
logo logo
MyIww MyIww
Jetzt freischalten

·Personenbezogene Daten | DSGVO

Beschäftigtendatenschutz – 20 Tipps für Kleinunternehmer, Selbstständige und Freiberufler

Bild: © dmutrojarmolinua - stock.adobe.com Montage: IWW

| Seit 25.05.2018 gilt die Datenschutzgrundverordnung (DSGVO). Noch immer sind Unternehmen damit befasst, Prozesse auf die Datenschutzvorgaben zu optimieren. Auch Mitarbeiter wissen, dass sie neue Rechte besitzen. CE Chef easy schafft Transparenz und klärt auf, welche Ansprüche Mitarbeiter (einschl. Bewerber, Praktikanten, Azubis) haben. Nutzen Sie diese 20 Praxistipps, Mustertexte und Checklisten – so sind Sie immer einen Schritt voraus. |

Beschäftigtendaten: Erhebung und Verarbeitung

Personenbezogene Daten dürfen nur erhoben und verarbeitet werden, wenn diese Daten

  • der Entscheidung über die Einstellung von Bewerbern dienen oder
  • zur Durchführung, Ausübung oder Beendigung von Arbeitsverhältnissen erforderlich sind.

 

Zeitpunkt und Anlass der Datenerhebung ist dabei am konkreten Einzelfall zu bestimmen.

 

TIPP | Alle Personalverfahren müssen im Verzeichnis der Verarbeitungstätigkeiten gem. Artikel 30 Abs. 1 DSGVO (Muster-Download) abgebildet sein. Unterscheiden Sie dabei zwischen Bewerbern und Beschäftigten.

 

Das Verzeichnis müssen Sie der Aufsichtsbehörde vorlegen können (Art. 30 Abs. 4 DSGVO).

 

Datenschutz im Bewerbungsverfahren

Aus Bewerbungsunterlagen dürfen nur die personenbezogenen Daten erhoben werden, die für eine Beurteilung darüber, ob die jeweilige Person geeignet ist, erforderlich sind. Beispiele:

 

  • Daten zu fachlichen und persönlichen Fähigkeiten
  • Daten über Erfahrungsnachweise
  • Daten über Ausbildungsnachweise
  • Daten zum beruflichen Werdegang

 

Dabei können die Wege über die Sie Kenntnis zu diesen Daten erlangen unterschiedlicher kaum sein:

 

  • Bewerber kommen spontan ins Unternehmen – zum Beispiel auf der Suche nach einem Praktikums- oder Ausbildungsplatz
  • Bewerber senden Ihre Bewerbungsunterlagen per Post
  • Bewerber senden Unterlagen per E-Mail (manchmal sogar per Video)

 

TIPP |

Erfassen Sie die Bewerbungen zentral:

  • Fester Speicherplatz im Unternehmensnetzwerk
  • Sicheres E-Mail-Postfach „bewerbung@xyz-gmbh.de“

 

Das erleichtert die Arbeit desjenigen, der dokumentieren muss.

 

Beachten Sie | Die Grundsätze der Vertraulichkeit und der Speicherbegrenzung sind schnell verletzt: Schon mehrfaches Weiterleiten der Bewerbungsdaten an andere Entscheider/Mitarbeiter – zur internen Diskussion – kann als Verstoß gelten!

 

TIPP |

Informieren Sie die Bewerber bei Eingang der Unterlagen über die Art der Datenerhebung (zum Verarbeitungszweck sowie zur Dauer des Aufbewahrungszeitraums) – z. B. mithilfe einer automatischen Eingangsbestätigung. Art. 13 DSGVO listet die Informationen auf, die darin enthalten sein müssen.

 

In Ihrer E-Mail-Bestätigung können Sie auch auf Ihre Datenschutzerklärung verlinken. Beispiel: „Weitere Hinweise zu unserem Datenschutz finden Sie hier.“

 

Der Auserwählte: Welche Daten bleiben erhalten?

Das Bewerbungsverfahren ist nun abgeschlossen, der Auserwählte bekommt einen Arbeitsvertrag. Nach dem Grundsatz der Speicherbegrenzung müssen Sie nun dafür Sorge tragen, dass alle nicht mehr relevanten Daten datenschutzgerecht vernichtet werden.

 

Beachten Sie | Die Daten des neuen Arbeitnehmers können nur zum Teil als Mitarbeiterdaten fortgeführt werden. Grundsatz: Es darf nur das gespeichert werden, was für die Beschäftigung erforderlich ist.

 

TIPP | Das Anschreiben, Schul- und Ausbildungszeugnisse, allgemeine Praktikumsbescheinigungen, Zeugnisse – all dieser Daten sind nicht erforderlich für die Berufsausübung. Die Unterlagen sind zurückzugeben bzw. zu löschen.

 

Da das Bewerbungsverfahren beendet ist, benötigen Sie die vielen Daten aus anderen (Initiativ)-vorstellungen/-bewerbungen nicht mehr. Dann müssen Sie diese Daten den abgelehnten Bewerbern zurückschicken, löschen oder vernichten.

 

Beachten Sie | In Ihrem Schreiben sollten Sie stets auf die Datenschutzerklärung hinweisen!

 

Die Restanten: Sicherheit für den Ernstfall

In begründeten Fällen dürfen Sie Bewerungsunterlagen aber auch länger behalten.

 

TIPPS | Wenn eine Bewerbungsakte interessant ist, weil zum Beispiel ein Bewerber für eine Ausbildung im nächsten Jahr in Betracht kommt, gehen Sie wie folgt vor:

 

  • Holen Sie sich die Zustimmung der Kandidaten schriftlich oder zumindest per E-Mail ein. Erläutern Sie die Situation (Transparenz).
  • Dokumentieren Sie, weshalb die Speicherung der Daten über einen längeren Zeitraum erfolgen wird.
 

Interessante Unterlagen anderer Bewerber, die am Ende nicht zum Zuge gekommen sind, müssen Sie nicht sofort vernichten. Dabei helfen Ihnen die Vorschriften – z. B. des Allgemeinen Gleichbehandlungsgesetztes (AGG).

 

TIPP | Mindestens 4 Monate, maximal 6 Monate ist die Regel – für den Fall, dass abgelehnte Bewerber Ansprüche aus dem AGG geltend machen (sagt auch das Bayerische Landesamt für Datenschutzaufsicht). Eine längere Speicherung ist hingegen nur mit Zustimmung der jeweiligen Person gestattet.

 

Schöpfen Sie die Maximalzeit bei interessanten Bewerbungsakten aus! Denn manchmal ist es gut, die Reserve in petto zu haben – falls in der Probezeit des neuen Mitarbeiters die Reißleine gezogen werden muss.

 

Es ist kein Geheimnis, dass im Bewerbungsgespräch viele Fragen gestellt werden. Hierbei geht es darum, möglichst viel über Ziele, Werte, Motivation und Arbeitsweisen des Bewerbers herauszufinden. Es ist jedoch auch kein Geheimnis, dass alle Antworten personenbezogene Daten darstellen. Und mit diesen Daten muss entsprechend umgegangen werden.

 

TIPP | Ihnen als Arbeitgeber ist es erlaubt, im Vorfeld auf frei zugänglichen Plattformen (zum Beispiel Xing, LinkedIn, eigene Website des Bewerbers, Quellen, die die Person in ihrer Bewerbung angegeben hat) Informationen über den Kandidaten einzuholen. Denn hier ist von einer Einwilligung der Person in die Datenerhebung und -verarbeitung auszugehen. Eine unzulässige Datenerhebung ist es allerdings, auf geschlossene Plattformen (eigener Benutzerzugang erforderlich) zuzugreifen. Zudem fehlt es bei diesen Plattformen

(z. B. Facebook, Instagram, Twitter) an einem gezielten Bezug zur beruflichen Tätigkeit.

 

Um sicherzustellen, dass alle Mitarbeiter an einem Strang ziehen, sollten Sie ein Bewusstsein für den Datenschutz im Recruiting-Prozess schaffen. Die hausinternen Prozesse und Regelungen sollten für alle Mitarbeiter, insbesondere bei denjenigen, die mit den Personaldaten arbeiten, Verbindlichkeitscharakter haben. Schulen Sie Ihre Mitarbeiter und dokumentieren Sie regelmäßig.

 

TIPP | Ist ein Bewerber der Ansicht, dass Sie gegen seinen Bewerberdatenschutz verstoßen, kann er die zuständigen Aufsichtsbehörden einschalten.

 

Fakt ist: Die Beweislast zum Bewerberdatenschutz liegt bei Ihnen. Kommt es zu einem Rechtsstreit, z. B. vor dem Arbeitsgericht, müssen Sie als Inhaber nachweisen, dass alle erforderlichen Maßnahmen zur Gewährleistung des Schutzes der personenbezogenen Daten getroffen wurden.

 

Mitarbeiterdatenschutz

Es kommt immer wieder vor, dass Unternehmen – auch aus Recruiting-Gründen – Mitarbeiterfotos in den sozialen Netzwerken wie Facebook & Co. veröffentlichen. Da viele soziale Netzwerke nicht benötigte Daten dennoch vorhalten, sollte man sich diesen Schritt überlegen. Wenn es dennoch erwünscht ist, sollte hierzu eine Formulierung in die Einwilligungserklärung aufgenommen werden.

 

Musterformulierung / Freiwillige Einwilligung (Facebook etc.)

„… Mit der Veröffentlichung meines Fotos auch auf … bin ich einverstanden, obwohl mir bekannt ist, dass nach derzeitigem Stand Fotos und Daten von … nicht gelöscht, sondern nur nicht mehr öffentlich gezeigt werden. Mir ist ebenfalls bekannt, dass es über die interne Nutzung von Fotos und Daten durch … keine ausreichenden Informationen gibt.“

 

Kann es eine „Freiwilligkeit“ beim Speichern von Bewerberdaten geben? Wohl kaum, denn diese setzt voraus, dass der Arbeitnehmer effektiv die Chance hat, selbst zu bestimmen, ob und wie seine Daten verwendet werden. Aus Sorge, im aktuellen Bewerbungsverfahren nicht weiterzukommen, wird kaum ein Bewerber seine Zustimmung zur Verbreitung der Daten verweigern. Anders sieht das bei der fortgesetzten Datenspeicherung aus. Hier kann der abgelehnte oder „auf Halde“ gelegte Bewerber durchaus entscheiden, ob er der weiteren Speicherung zustimmt oder diese ablehnt. Einziger Nachteil ist, dass er vielleicht chancenlos bei der nächsten ähnlichen Stelle dieses Arbeitgebers ist. Obwohl ein Ungleichgewicht zwischen Arbeitgeber und Arbeitnehmer entsteht, kommt es hier auf die Umstände des Einzelfalls an. Will das Unternehmen dennoch die Daten dieses Bewerbers behalten, ist eine besondere Einwilligungserklärung zur Speicherung von Bewerberdaten notwendig. Als möglicher Passus für gerade diese Freiwilligkeit kommt nachfolgende Formulierung in Betracht:

 

Musterformulierung / Einwilligung im Bewerbungsverfahren

„… Diese Einwilligung ist freiwillig. Sie hat keine Auswirkungen auf meine Erfolgsaussichten im derzeitigen Bewerbungsverfahren bei der Kanzlei …  Ich kann sie ohne Angabe von Gründen verweigern, ohne dass mir ein Nachteil daraus erwächst. Ich kann diese Einwilligung jederzeit widerrufen. In diesem Fall werden meine Daten unverzüglich nach Abschluss des Bewerbungsverfahrens gelöscht.“

 

Mitarbeiter mit Datenschutz-Befugnissen

In Personalabteilungen oder bei der Buchhaltung, bei Kontakt zu Kundendateien – immer stellt sich die Frage nach der Vertraulichkeit. In den meisten Arbeitsverträgen wird darauf hingewiesen, dass der Mitarbeiter darüber nicht reden darf. Das reicht heute in vielen Fällen aber nicht mehr aus. Die Verpflichtung auf Vertraulichkeit nach dem neuen DSGVO und dem BDSG gehen weiter.

 

Der Personenkreis der wegen mit entsprechender Datenverarbeitung betraut ist, wurde erweitert. Zukünftig sind also nicht nur die Personen betroffen, die in den Bereich „bei der Datenverarbeitung beschäftigte Personen“ (§ 5 BDSG alte Fassung) fielen, sondern auch solche, die bereits Zugang zu personenbezogenen Daten haben.

 

TIPPS |

  • 1. Lassen Sie am Besten (je nach Unternehmen) alle Mitarbeiter eine solche Verpflichtung auf Vertraulichkeit unterschreiben. Hier sollte auf die jeweiligen Paragrafen wie auch auf die Folgen bei Nichtbeachtung hingewiesen werden. Lassen Sie sich diese Erklärung unterschreiben, und händigen Sie den Mitarbeitern ein Exemplar aus. Aber bitte nicht kommentarlos! Das heißt, sprechen Sie mit Ihren Mitarbeitern vorher darüber, weshalb die Sache notwendig ist. Erwecken Sie nicht den Eindruck erhalten, die Vertraulichkeitserklärung ist die Folge von Fehlverhalten.

 

  • 2. Auch Aushilfen, Praktikanten, Studenten und Auszubildende sollten eine solche Erklärung unterschreiben – jedoch nicht gleich mit dem Arbeitsvertrag! Dann nämlich könnten die Mitarbeiter argumentieren, dass sie alles unterschrieben hätten, um den Praktikums-, Auszubildenden- oder Arbeitsvertrag zu erhalten. Ideal ist der Zeitpunkt, bevor die Kollegen das erste Mal mit Ihren Kunden zusammentreffen bzw. an einen PC kommen, der den Zugriff auf personenbezogene Daten ermöglicht.
 

Umgang mit der Personalakte

Jeder Mitarbeiter hat auch beim Thema Personalakte entscheidende Rechte. Grundsätzlich besteht ein Recht auf Einsicht (§ 83 Abs. 1 S. 1 Betriebsverfassungsgesetz). Dieses Recht gilt ohne Rücksicht auf die Betriebsgröße und ohne Rücksicht darauf, ob es einen Betriebsrat gibt oder nicht. Außerdem haben Mitarbeiter ein Recht auf Löschung, Änderung und Berichtigung. Gerade hier gelten die Grundsätze aus der DSGVO: Auskunftsrecht gemäß Art. 15 DSGVO, Recht auf Berichtigung gemäß Art. 16 DSGVO, Löschung gemäß Art. 17 DSGVO.

 

Checkliste / Diese Unterlagen sind Arbeitspapiere

Ein Recht auf Einsicht und Berichtigung hat man nur bei Arbeitspapieren, nicht bei Sachakten (Entwürfe zur Personalplanung, zukünftige Stellenbesetzungen oder -versetzungen, Lohnlisten etc.). Zu den Arbeitspapieren gehören z. B:

 

  • Personalstammbögen, personelle Änderungsmitteilungen
  • Bewerbungsunterlagen
  • Arbeitsvertrag und Vertragsänderungen (Beförderungen, Versetzungen, Entsendungen)
  • Angaben zu Urlaubstagen
  • Krankheitsbescheinigungen (Arbeitsunfähigkeitsbescheinigungen)
  • Lohn- und Gehaltsänderungen
  • Gehaltsentwicklung (inkl. Pfändungen, Darlehen)
  • Fortbildungen, Qualifizierungen
  • Abmahnungen, Betriebsbußen und Beurteilungen
  • Ergebnisse von Eignungstests, schriftliche Auskünfte Dritter und ärztliche Gutachten
  • Kündigungsschreiben, Aufhebungsvertrag, Schlusszeugnis
  • Gegendarstellungen
 

Zwar ist bei Sachakten die Einsichtnahme unmöglich, aber auch solche Dokumente gehören nicht in die Personalakte. Auch bei der Speicherung sind die datenschutzrechtlichen Aspekte zu beachten. Zum Beispiel dürfen falsche Angaben oder Sachverhalte, die für das Arbeitsverhältnis irrrelevant sind, nicht in die Personalakte aufgenommen werden. Der Arbeitnehmer kann seine Personalakte innerhalb der betriebsüblichen Arbeitszeit einsehen, es bedarf hierfür auch keines besonderen Grundes. Für diese Zeit behält er seinen Entgeltanspruch. Auch nach Beendigung des Arbeitsverhältnisses kann er seine Personalakte einsehen.

 

TIPP | Beachten Sie den Umgang mit den besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DSGVO. Hierzu zählen:

 

  • Informationen über rassische oder ethnische Herkunft
  • Informationen über politische Meinungen, religiöse oder weltanschauliche Überzeugungen
  • Informationen über die Gewerkschaftszugehörigkeit
  • genetische oder biometrische Daten
  • Gesundheitsdaten
  • Daten zum Sexualleben oder der sexuellen Orientierung
 

Beachten Sie | Mitarbeiter können auch Auskunft fordern, was Sie über ihn speichern? Das heißt: Sie müssen eine Dokumentation dazu vorhalten und diese muss vollständig sein.

Datenschutz bei Krankheit

Zunächst geht es um die Arbeitsunfähigkeitsbescheinigung (AUB), im schlimmsten Fall aber auch um das Betriebliche Eingliederungsmanagement (BEM).

 

Datenschutz bei Arbeitsunfähigkeit

Eine AUB gibt viel mehr Daten preis, als weithin vermutet. So erkennt Sie als Arbeitgeber,

  • welcher Arzt den Arbeitnehmer behandelt,
  • über welche Qualifikationen der Arzt verfügt (damit können zudem die Krankheitsbilder grob eingegrenzt werden) und
  • wo sich der Arbeitnehmer am Tag der Krankmeldung aufhielt.

 

Diese Daten dürfen aber keine Transparenz erlangen! Als Inhaber sind daher die innerbetrieblichen Abläufe bei der Abgabe und Verarbeitung von AUB so organisieren, dass mögliche Rückschlüsse auf behandelnde Fachärzte und/oder behandelnde Kliniken der erkrankten Arbeitnehmer vermieden werden.

 

Gemäß Art. 9 Abs. 1 DSGVO, § 22 BDSG handelt es sich bei den gesundheitsbezogenen Daten um besondere Kategorien personenbezogener Daten. Dass der Arbeitgeber die personenbezogenen Daten rechtmäßig verarbeiten darf, ergibt sich aus Art. 9 Abs. 2 b) DSGVO in Verbindung mit § 26 Abs. 3 BDSG.

 

TIPP | Arbeitsunfähigkeitsbescheinigung und weitere Hinweise auf mögliche Erkrankungen, die sich z. B. aus Ihrem eigenen Vermerk ergeben, sind stets getrennt von der Personalakte in einer separaten Beiakte oder in einem verschlossenen Umschlag zu führen. Verstöße hiergegen verletzen das allgemeine Persönlichkeitsrecht des Arbeitnehmers (so bereits BAG 12.9.06, 9 AZR 271/06, Abruf-Nr. 072490).

 

Datenschutz bei betrieblicher Eingliederung

Es gibt Situationen, in denen Sie genauere Daten über den Gesundheitszustand Ihres Mitarbeiters benötigen – z. B. beim Betrieblichen Eingliederungsmanagement nach § 167 Abs. 2 SGB IX. Um zu erfahren, ob bei Ihrem Mitarbeiter ein BEM durchzuführen ist, müssen Sie wissen, ob Ihr Mitarbeiter innerhalb eines Jahres länger als 6 Wochen ununterbrochen oder wiederholt arbeitsunfähig gewesen ist. Wobei unter „Jahr“ nicht das Kalenderjahr, sondern die jeweils zuletzt vergangenen 12 Monate zu verstehen sind.

 

Die im BEM-Verfahren erhobenen personenbezogenen Daten unterliegen einer strengen Zweckbindung nach den Grundsätzen des Art. 5 b) DSGVO. Sie als Kanzleiinhaber haben Ihren betroffenen Mitarbeiter über die Ziele des BEM und über die Art und den Umfang der hierfür erhobenen und verwendeten Daten zu informieren. Daraus folgt unter anderem, dass

  • die personenbezogenen Daten nur einem beschränkten Personenkreis zugänglich gemacht werden dürfen,
  • sie gegen eine zufällige Kenntnisnahme gesichert sein müssen,
  • sie nicht länger als notwendig für diesen Zweck gespeichert werden dürfen, das heißt, anschließend gelöscht werden müssen.

 

So muss Ihr Mitarbeiter unter anderem darüber informiert werden,

  • welche Ziele das BEM hat,
  • dass Daten erhoben und verwendet werden, die erforderlich sind, um ein zielführendes BEM durchzuführen, das auf Gesundung abzielt,
  • welche Krankheitsdaten erhoben und gespeichert werden,
  • inwieweit und für welche Zwecke der ArbG Zugriff darauf hat,
  • über welche Dauer die Speicherung erfolgt und wer am BEM teilnimmt.

 

Ein schwieriges Thema ist das Löschen der Beiakte „BEM-Unterlagen“. Die im Rahmen des BEM erhobenen und gespeicherten Gesundheitsdaten sind zu löschen, wenn sie nicht mehr benötigt werden, Art. 17 Abs. 1 a) DSGVO. Für Sie ist es teilweise schwierig zu erkennen, wann eine BEM-Akte gelöscht werden kann – zumal hierzu die Meinungen vom sofortigen Löschen bis zum Erhalt über mehrere Jahre alles bieten.

 

TIPP |

  • Ihr Mitarbeiter lehnt ein BEM ab oder bricht es vorzeitig ab = Löschung spätestens 3 Monate nach Ablehnung oder Abbruch
  • BEM ist abgeschlossen = Löschung spätestens ein Jahr nach Abschluss
  • BEM wurde mit einer Vereinbarung abgeschlossen, die Wirkungen für die Zukunft hat = spätestens 5 Jahre nach Abschluss

 

Lassen Sie den Mitarbeiter in die Löschung einwilligen, da auch der Mitarbeiter ein Interesse daran haben könnte, die Daten länger zu speichern. Zum Beispiel, wenn ein medizinischer Rückfall droht und dann erneut alle früheren Daten beschafft werden müssen.

 

Quelle | Michael Huth in „Formularhandbuch Datenschutzrecht“ (Anm. 62 zur Betriebsvereinbarung zu Kranken- und BEM-Unterlagen“)

 

Es kann immer mal vorkommen, dass Sie eine Einwilligung Ihres Mitarbeiters benötigen. Sie ist nur möglich, wenn sie seitens Ihres Mitarbeiters informiert und freiwillig erfolgt. § 26 Abs. 2 BDSG regelt dabei, wann Freiwilligkeit vorliegt. Dafür kommt es einerseits auf die bestehende Abhängigkeit und andererseits auf die Umstände des Einzelfalls an.

 

TIPP | Ein rechtlicher oder wirtschaftlicher Vorteil könnten sein: Sie führen in Ihrem Unternehmen ein betriebliches Gesundheitsmanagement ein oder erlauben zur Privatnutzung die betrieblichen IT-Systeme.

 

Gleich gelagerte Interessen sind die Aufnahme von Name und Geburtsdatum in eine Geburtstagsliste oder die Nutzung von Fotos für das Intranet, bei der Sie beide im Sinne eines betrieblichen Miteinanders zusammenwirken, ebenso die Verarbeitung von Daten Ihres Mitarbeiters im Rahmen des freiwilligen sozialen oder betrieblichen Engagements (Ersthelfertätigkeit).

 

Freiwillige Leistungen können weitergehende betriebliche Sozialleistungen oder das Angebot für Gesundheitsvorsorge sein.

 

In der Praxis erfolgt die Freiwilligkeit über eine schriftliche Einwilligungserklärung, was der Gesetzgeber in § 26 Abs. 2 S. 3 BDSG n. F. klarstellte.

 

Beachten Sie | Insbesondere bei Fotos von Mitarbeitern im Internet sollte bei der Einwilligungserklärung darauf geachtet werden, dass auch der Punkt „Freiwilligkeit“ in der Formulierung vorkommt.

 

Musterformulierung / Freiwillige Einwilligung für Fotos im Internet

„… Diese Einwilligung ist freiwillig. Ich kann sie ohne Angabe von Gründen verweigern, ohne dass mir daraus ein Nachteil entsteht. Ich kann diese Einwilligung jederzeit in Textform (z. B. Brief, E-Mail) widerrufen. Mein Foto wird dann unverzüglich von der Webseite der Kanzlei … gelöscht und nicht mehr verwendet.“

 

Noch ein Wort zum Widerruf der Einwilligung: Anders als nach dem BDSG a. F. wird wohl der Widerruf zukünftig formlos möglich sein. Der Grundsatz „Schriftliche Einwilligung = schriftlicher Widerruf“ wird schon wegen Art. 7 Abs. 3 S. 4 DSGVO nicht mehr ziehen können, wonach der Widerruf der Einwilligung so einfach wie ihre Erteilung sein muss.

Der Mitarbeiter geht: Das sollten Sie beachten

Was bei der Anbahnung und der Durchführung im Umgang mit personenbezogenen Daten gilt, ist bei der Beendigung des Arbeitsverhältnisses nicht anders. Auch hier gelten viele datenschutzrechtliche Bestimmungen.

 

Sie dürfen nur die Daten für den Zweck (Arbeitsverhältnis) verarbeiten, für den sie erhoben worden sind (Zweckbindung). Und Sie dürfen sie nur so lange speichern, wie sie notwendig sind (Speicherbegrenzung). Das heißt, scheidet Ihr Mitarbeiter aus, sind auch seine Daten zu löschen, denn der Zweck der Speicherung entfällt. Doch in diesem Zusammenhang stellen sich einige Fragen:

 

  • Welche Daten müssen gelöscht werden?
  • Wie lange sollten die Daten sinnvollerweise vorgehalten werden? Gibt es Fristen, die zwingend eingehalten werden müssen?

 

Zunächst sollten Sie sich (bzw. die jeweiligen Vorgesetzten) darüber im Klaren sein, in welchen Bereichen namensbezogene Konten des ausscheidenden Mitarbeiters auftauchen. Zum Beispiel durch das Führen eines eigenen E-Mail-Kontos, eines firmeneigenen Handys oder Tablets etc.

 

TIPP | Das E-Mail-Konto muss mit dem Weggang deaktiviert werden. Da davon auszugehen ist, dass es Außenstehende (Mandanten, Lieferanten etc.) gibt, die nichts vom Weggang mitbekommen haben, sollte eine Mail-Adresse des Kollegen oder des Steuerberaters benannt werden. Eine automatische Weiterleitung der E-Mails sollte unterlassen werden, da hier der Datenschutz nicht eingehalten werden kann. Das E-Mail-Konto sollte nach ca. 6 Wochen komplett gelöscht werden.

 

Was tun, wenn der Arbeitnehmer den Arbeitgeber auffordert, seine Daten nach Ende des Arbeitsverhältnisses zu löschen? Der Gesetzgeber hat das Recht auf Löschung in einigen Fällen für den Arbeitnehmer eingeschränkt. So dürfen die Daten des Arbeitnehmers weiterhin gespeichert bleiben, wenn

 

  • sie der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dienen (Art. 17 Abs. 3 e DSGVO)
  • sie im öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder statischen Zwecken dienen (Art. 17 Abs. 3d DSGVO).

 

Auch dürfen nicht alle Daten aus der Personalakte sofort gelöscht werden, da aus anderen Gesetzen oder Vorschriften Aufbewahrungsfristen gelten.

 

Checkliste / Wichtige Aufbewahrungsfristen

2 Jahre

  • Nach § 16 Abs. 3 ArbZG sind die Arbeitgeber verpflichtet, die über 8 Stunden pro Tag hinausgehende Arbeitszeit aufzuzeichnen. Diese Aufzeichnungen müssen mindestens 2 Jahre aufbewahrt werden.
  • Nach § 27 Abs. 5 MuSchG hat der Arbeitgeber der Aufsichtsbehörde auf Verlangen die Unterlagen zur Einsicht vorzulegen oder einzusenden, aus denen Folgendes ersichtlich ist. Die Namen der schwangeren oder stillenden Frauen, die bei ihm beschäftigt sind, die Art und der zeitliche Umfang ihrer Beschäftigung, die Entgelte, die an sie gezahlt worden sind, die Ergebnisse der Beurteilung der Arbeitsbedingungen und alle sonstigen erforderlichen Angaben. Der Arbeitgeber hat die Unterlagen mind. bis zum Ablauf von 2 Jahren nach der letzten Eintragung aufzubewahren.
  • § 50 Abs. 2 JArbSchG: Die Verzeichnisse und Unterlagen über die Beschäftigung Jugendlicher sind mindestens bis zum Ablauf von 2 Jahren nach der letzten Eintragung aufzubewahren.

3 Jahre

Lohnforderungen verjähren regulär gemäß § 195 BGB nach 3 Jahren. Anderes kann aber im Arbeitsvertrag oder Tarifvertrag geregelt sein. Ansprüche auf Arbeitszeugnisse ebenso.

5 Jahre

5 Jahre sind Unterlagen nach § 165 Abs. 4 SGB VII der gesetzlichen Unfallversicherung, die für Beitragsrechnungen wichtig sind, aufzubewahren.

Mehr als 5 Jahre

  • Bei den Teilen der Personalakte, die für die Besteuerung von Bedeutung sind, handelt es sich um sonstige Unterlagen im Sinne des § 147 Abs. 1 Nr. 5 der Abgabenordnung (AO) = daher 6 Jahre Aufbewahrungsfrist.
  • Befinden sich in der Personalakte Buchungsbelege, so sind diese sogar 10 Jahre aufzubewahren (§ 147 Abs. 3 AO).
  • Nach § 257 HGB Quittungsbelege über Zahlungen von Arbeitslohn = 10 Jahre Frist.
  • Lohnberechnungsunterlagen mit Bedeutung für die Besteuerung nach § 147 Abs. 3 AO = 6 Jahre Frist.
  • Lohnkonten nach § 41 Abs. 1 S. 9 EStG = Frist bis zum Ende des 6. Jahres, das auf die zuletzt eingetragene Lohnzahlung folgt.
  • Unterlagen zur betrieblichen Altersversorgung = 6 Jahre, § 11 Abs. 2 BetrAVG.
  • Kirchensteuer = 6 Jahre mit dem Lohnkonto nach § 4 Abs. 2 Nr. 8 LStDV.
  • Fahrtkostenerstattung = bis zum Ablauf des 6. Kalenderjahres, das auf die zuletzt eingetragene Lohnzahlung erfolgt nach § 41 EStG in Verbindung mit Abschnitt 38 LStR.
  • Jubiläumszuwendungen = bis zum Ablauf des 6. Kalenderjahres, das auf die zuletzt eingetragene Lohnzahlung erfolgt nach § 41 EStG in Verbindung mit Abschnitt 115 LStR.
 

Weiterführende Links

CE-Download: Verzeichnis von Verarbeitungstätigkeiten als Verantwortlicher ... DSGVO

CE-Plus-Beitrag: Top-Ten-Liste zum Beschäftigtendatenschutz – für alle Unternehmen

CE-Beitrag: DSGVO-Leitfaden für Kleinunternehmer, Selbstständige, Freiberufler

CE-Plus-Beitrag: Neue Gesetze: Daran arbeitet die Bundesregierung in diesem Jahr...

CE-Plus-Beitrag: Obacht bei der Veröffentlichung von Arbeitnehmerdaten unter der DSGVO

CE-Beitrag: Arbeitsplatz-Überwachung: Diebstahl-Video ist ein Beweis – auch bei Datenschutzverstoß

CE-Beitrag: Video-Überwachung von Verkaufsräumen – nur in Ausnahmen ist das erlaubt

CE-Beitrag: Datenschutz-Grundverordnung kommt: Jetzt vorbereiten – der Countdown läuft bis 25.05.2018

CE-Beitrag: EuGH-Urteil: Müssen Unternehmen jetzt ihre Facebook-Seiten abschalten?

Quelle: ID 45715694