Beschäftigtendatenschutz nach DSGVO betrifft jeden Arbeitgeber unmittelbar, unabhängig von Branche oder Unternehmensgröße. Von der Bewerbungsphase über das laufende Arbeitsverhältnis bis zur Aufbewahrung von Unterlagen nach dem Austritt berührt nahezu jede HR-Aktivität den Datenschutz. Gleichzeitig ist dieser Bereich von erheblicher Unsicherheit geprägt: Deutschland hat von der in Art. 88 DSGVO eingeräumten Möglichkeit zur nationalen Regelung Gebrauch gemacht, sodass neben der DSGVO auch das Bundesdatenschutzgesetz (BDSG) und teils landesrechtliche Regelungen gelten. Für Geschäftsführer und Personalverantwortliche im Mittelstand stellt sich die Frage, welche Datenverarbeitungen erlaubt sind, welche Grenzen für Mitarbeiterüberwachung gelten und welche technischen und organisatorischen Maßnahmen nachweisbar implementiert sein müssen. Dieser Beitrag liefert eine praxisnahe Orientierung zu den zentralen Anforderungen und häufigen Fehlerquellen.
Rechtsgrundlagen im Beschäftigungsverhältnis
Die DSGVO erlaubt die Verarbeitung personenbezogener Daten nur, wenn eine der in Art. 6 DSGVO genannten Rechtsgrundlagen greift. Im Beschäftigtenverhältnis sind vor allem drei relevant:
Art. 6 Abs. 1 lit. b DSGVO erlaubt die Verarbeitung, die zur Erfüllung eines Vertrags notwendig ist. Für Arbeitsverhältnisse bedeutet das: Daten, die zur Lohn- und Gehaltsabrechnung, zur Verwaltung von Urlaubsansprüchen oder zur Führung der Personalakte im engeren Sinne erforderlich sind, können auf dieser Grundlage verarbeitet werden. Entscheidend ist das Wort „erforderlich“: Daten, die nur nützlich, aber nicht notwendig sind, fallen nicht darunter.
Art. 6 Abs. 1 lit. c DSGVO erlaubt die Verarbeitung zur Erfüllung rechtlicher Verpflichtungen. Sozialversicherungsmeldungen, Lohnsteueranmeldungen, die Führung von Arbeitszeitaufzeichnungen gemäß Arbeitszeitgesetz und arbeitsschutzrechtliche Dokumentationen fallen in diese Kategorie.
§ 26 BDSG als nationale Spezialvorschrift erlaubt die Verarbeitung, wenn sie für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Diese Norm ist lex specialis zu Art. 6 DSGVO im Beschäftigungskontext und deckt den Kernbereich der Personalverwaltung ab.
Die Einwilligung des Beschäftigten (Art. 6 Abs. 1 lit. a DSGVO) ist im Arbeitsverhältnis nur eingeschränkt einsetzbar. Da ein strukturelles Machtgefälle zwischen Arbeitgeber und Arbeitnehmer besteht, wird die Freiwilligkeit der Einwilligung von Aufsichtsbehörden kritisch geprüft. Für sensible Bereiche, etwa freiwillige Betriebssportangebote oder die interne Veröffentlichung von Mitarbeiterfotos im Intranet, kann die Einwilligung jedoch geeignet sein, wenn sie dokumentiert, widerrufbar und tatsächlich ohne Nachteil verweigert werden kann.
Was in der Personalakte verarbeitet werden darf
Die Personalakte ist kein gesetzlich definierter Begriff, sondern ein gewachsenes Konzept der Personalpraxis. Aus datenschutzrechtlicher Sicht gilt: Sie darf ausschließlich Unterlagen enthalten, die für das Arbeitsverhältnis relevant sind. Erlaubt sind typischerweise Bewerbungsunterlagen, der Arbeitsvertrag und seine Änderungen, Qualifikations- und Weiterbildungsnachweise, Beurteilungen, Abmahnungen, Urlaubsunterlagen und Nachweise zu Lohn und Sozialversicherung.
Nicht in die Personalakte gehören: Arztberichte und Krankenhausunterlagen, Unterlagen über Gewerkschaftsmitgliedschaft oder politische Überzeugungen, private Korrespondenz und Unterlagen zu privaten Rechtsstreitigkeiten des Mitarbeiters, sofern diese keinen Bezug zum Arbeitsverhältnis haben. Diese gehören zu den besonderen Kategorien personenbezogener Daten nach Art. 9 DSGVO und unterliegen einem erhöhten Schutzstandard.
Für Krank meldungen gilt eine besondere Regelung: Der Arbeitgeber darf wissen, dass ein Mitarbeiter arbeitsunfähig ist und voraussichtlich wie lange. Er darf aber grundsätzlich nicht wissen, welche Krankheit vorliegt. Ausnahmen gelten etwa für ansteckende Erkrankungen im Sinne des Infektionsschutzgesetzes oder wenn der Mitarbeiter selbst die Diagnose offenbart und dies für die weitere Beschäftigungsplanung relevant ist.
Mitarbeiterüberwachung: Zulässige und unzulässige Maßnahmen
Videoüberwachung am Arbeitsplatz ist eines der konfliktträchtigsten Felder im Beschäftigtendatenschutz. Grundsätzlich gilt: Eine verdeckte Videoüberwachung ist nur in Ausnahmefällen zulässig und erfordert einen konkreten Verdacht auf strafbare Handlungen, den keine andere Maßnahme aufklären kann. Eine dauerhafte und flächendeckende Videoüberwachung aller Arbeitsbereiche ist rechtswidrig. Zulässig sind in der Regel Kameras zur Sicherung von Gebäudezugängen, Lagerbereichen mit erhöhtem Diebstahlrisiko und öffentlich zugänglichen Bereichen, wenn Mitarbeiter transparent darüber informiert werden und ein berechtigtes Interesse dokumentiert ist.
Die Kontrolle der IT-Nutzung ist ein weiteres sensibles Gebiet. Ob der Arbeitgeber E-Mails und Internetnutzung kontrollieren darf, hängt davon ab, ob er die private Nutzung erlaubt hat oder nicht. Hat er die private Nutzung untersagt, ist eine zweckmäßige Kontrolle der Arbeitszeitnutzung grundsätzlich möglich, aber nur im Rahmen des Verhältnismäßigkeitsgrundsatzes und unter Einbindung des Betriebsrats. Hat er die private Nutzung erlaubt oder geduldet, gelten erhöhte Anforderungen, weil der Arbeitgeber dann de facto auch Kenntnis von privaten Inhalten erlangen könnte, was dem Fernmeldegeheimnis nach TKG a.F. bzw. TDDDG unterliegt.
GPS-Tracking von Firmenfahrzeugen ist zulässig, wenn ein berechtigtes Interesse nachweisbar ist (Flottenmanagement, Tourenoptimierung, Diebstahlschutz), die Beschäftigten transparent informiert wurden und eine Betriebsvereinbarung existiert, wenn ein Betriebsrat vorhanden ist. Ein pauschales permanentes Tracking aller Mitarbeiter außerhalb der Arbeitszeit ist unzulässig.
Übersicht: Zulässige und unzulässige Maßnahmen im Beschäftigtendatenschutz
| Maßnahme | Grundsätzlich zulässig | Voraussetzungen |
|---|---|---|
| Personalakte führen | Ja | Nur beschäftigungsrelevante Daten, § 26 BDSG |
| Videoüberwachung (offenkundig) | Bedingt | Berechtigtes Interesse, Verhältnismäßigkeit, Transparenz |
| Verdeckte Videoüberwachung | Nur ausnahmsweise | Konkreter Verdacht, Verhältnismäßigkeit, keine anderen Mittel |
| E-Mail-Kontrolle (private Nutzung verboten) | Bedingt | Verhältnismäßigkeit, Betriebsrat einbeziehen |
| GPS-Tracking Firmenfahrzeug | Ja | Berechtigtes Interesse, Transparenz, Betriebsvereinbarung |
| Speicherung von Krankheitsdiagnosen | Nein | Nur AU-Zeitraum, keine Diagnose (Art. 9 DSGVO) |
| Mitarbeiterfotos im Intranet | Ja, mit Einwilligung | Freiwillige, widerrufbare und dokumentierte Einwilligung |
Auskunftsrechte der Beschäftigten
Beschäftigte haben gegenüber ihrem Arbeitgeber umfangreiche Rechte nach DSGVO. Das Auskunftsrecht nach Art. 15 DSGVO gibt jedem Mitarbeiter das Recht, eine vollständige Auskunft über alle über ihn verarbeiteten personenbezogenen Daten zu verlangen, einschließlich Zweck, Kategorien, Empfänger und geplante Speicherdauer. Dieses Recht gilt auch für Daten in der Personalakte.
Arbeitgeber müssen auf ein solches Auskunftsersuchen innerhalb eines Monats antworten, bei komplexen Anfragen binnen drei Monaten unter Mitteilung der Fristverlängerung. Viele Unternehmen im Mittelstand sind auf solche Anfragen nicht vorbereitet: Es existiert kein Verzeichnis der Verarbeitungstätigkeiten, die Personalakte ist über mehrere Systeme verteilt und eine vollständige Zusammenstellung ist aufwendig.
Das Recht auf Berichtigung (Art. 16 DSGVO) und das Recht auf Löschung (Art. 17 DSGVO) sind im Beschäftigungsverhältnis eingeschränkter, da handels- und steuerrechtliche Aufbewahrungspflichten (z.B. sechs Jahre nach § 257 HGB, zehn Jahre nach § 147 AO) der Löschung entgegenstehen können. Dennoch müssen Daten, die für das Arbeitsverhältnis nicht mehr benötigt werden und keiner Aufbewahrungspflicht unterliegen, tatsächlich gelöscht werden.
Technische und organisatorische Maßnahmen (TOMs) im HR-Bereich
Art. 32 DSGVO verpflichtet zur Implementierung geeigneter technischer und organisatorischer Maßnahmen. Im HR-Bereich bedeutet das konkret:
Für die digitale Personalakte gilt: Zugriffsrechte müssen auf der Basis des Need-to-know-Prinzips vergeben werden. Nicht jeder Vorgesetzte benötigt Zugang zur vollständigen Personalakte seiner Mitarbeitenden. Sinnvoll ist eine rollenbasierte Zugriffsstruktur: HR-Mitarbeiter haben vollständigen Zugang, Vorgesetzte sehen nur beschäftigungsrelevante Teile (Zielvereinbarungen, Beurteilungen), die Lohnbuchhaltung hat Zugang zu Vergütungsdaten. Alle Zugriffe sollten protokolliert werden.
Für E-Mail-Kommunikation mit Bewerberdaten gilt: Keine unverschlüsselte Übertragung sensibler Bewerbungsunterlagen über allgemeine E-Mail-Konten. Für Bewerbermanagementsysteme gilt die gleiche Anforderung wie für die digitale Personalakte.
Papierdokumente in der Personalakte müssen physisch gesichert werden. Ein abschließbarer Aktenschrank in einem Raum mit begrenztem Zutritt ist das Minimum. Personalakten sollten nicht unbeaufsichtigt auf Schreibtischen liegen oder in gemeinsam genutzten Druckern verbleiben.
Für die Löschung gilt: Es muss ein dokumentiertes Löschkonzept existieren, das Aufbewahrungsfristen je Datenkategorie definiert und sicherstellt, dass nach Ablauf tatsächlich gelöscht wird. Bei papierbasierten Akten bedeutet das datenschutzkonforme Vernichtung (DIN 66399, mindestens Schutzklasse 2 für Personalunterlagen).
Verarbeitungsverzeichnis: Pflicht und Praxis im HR-Bereich
Nach Art. 30 DSGVO sind Arbeitgeber verpflichtet, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Für den HR-Bereich bedeutet das: Jeder Prozess, der personenbezogene Daten verarbeitet, muss im Verarbeitungsverzeichnis dokumentiert sein. Typische HR-Verarbeitungen sind die Personalverwaltung, Lohn- und Gehaltsabrechnung, Bewerbermanagement, Reisekostenabrechnung, betriebliche Altersvorsorge, Zeiterfassung und Mitarbeiterbeurteilungen.
Das Verzeichnis muss für jede Verarbeitungstätigkeit mindestens folgende Informationen enthalten: Name und Kontaktdaten des Verantwortlichen, Zweck der Verarbeitung, Kategorien der betroffenen Personen und der verarbeiteten Daten, Kategorien der Empfänger (z.B. Lohnsteuerstelle, Sozialversicherungsträger, Steuerberater), geplante Löschfristen und eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen.
In der Praxis wird das Verarbeitungsverzeichnis von vielen Mittelständlern vernachlässigt, weil seine Erstellung aufwendig erscheint. Eine pragmatische Vorgehensweise: Als erstes alle Systeme identifizieren, in denen Mitarbeiterdaten gespeichert sind (HR-System, ERP, Zeiterfassung, Zutrittskontrolle, Mailserver), dann für jedes System den Verarbeitungszweck und die Rechtsgrundlage dokumentieren. Ein gut geführtes Verarbeitungsverzeichnis ist zugleich die Basis für Auskunftsanfragen der Beschäftigten und erleichtert die Arbeit des Datenschutzbeauftragten erheblich.
Bewerbermanagement: Datenschutz vom ersten Kontakt an
Der Beschäftigtendatenschutz beginnt nicht erst mit dem Arbeitsvertrag, sondern mit der ersten Kontaktaufnahme eines Bewerbers. Bewerberdaten dürfen ausschließlich für den Zweck des konkreten Auswahlverfahrens verwendet werden. Eine Weitergabe an andere Abteilungen oder eine Nutzung für zukünftige Stellenausschreibungen ist ohne ausdrückliche Einwilligung des Bewerbers unzulässig.
Für abgelehnte Bewerber gilt eine besondere Sorgfaltspflicht: Die Unterlagen müssen nach Abschluss des Verfahrens gelöscht werden. Als Richtwert hat sich eine Aufbewahrungsdauer von sechs Monaten nach Abschluss des Verfahrens etabliert, um mögliche Ansprüche nach dem Allgemeinen Gleichbehandlungsgesetz (AGG) abwehren zu können. Nach Ablauf dieser Frist sind Bewerberdaten zu löschen oder zurückzusenden, sofern keine Einwilligung zur längeren Speicherung in einem Bewerber-Pool vorliegt.
Digitale Bewerbermanagementsysteme müssen technisch sicherstellen, dass automatische Löschfristen hinterlegt sind und kein Sachbearbeiter vergisst, Daten manuell zu löschen. Bewerbungen, die per E-Mail eingehen und im allgemeinen Postfach der HR-Abteilung verbleiben, sind besonders anfällig für unbeabsichtigte Langzeitspeicherung.
Betriebsrat und Datenschutz: Was zu beachten ist
In Unternehmen mit einem Betriebsrat haben Maßnahmen zur Mitarbeiterüberwachung und zur Einführung neuer IT-Systeme in der Personalverwaltung ein zwingendes Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Das gilt auch dann, wenn das System primär aus Datenschutzgründen eingeführt wird. Betriebsvereinbarungen sind ein geeignetes Instrument, um Datenschutzanforderungen und Mitbestimmungsrechte in einer Regelung zu bündeln. Zudem ist zu beachten, dass der Betriebsrat selbst bei der Verarbeitung personenbezogener Daten der Beschäftigten an die DSGVO gebunden ist.
FAQ
Muss ein Mittelständler einen Datenschutzbeauftragten für den HR-Bereich benennen?
Die Pflicht zur Benennung eines betrieblichen Datenschutzbeauftragten nach Art. 37 DSGVO i.V.m. § 38 BDSG gilt für Unternehmen, die in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Da nahezu jede HR-Software in diese Kategorie fällt, trifft diese Pflicht die meisten mittelständischen Unternehmen ab dieser Größe. Auch ohne gesetzliche Pflicht empfiehlt sich die Benennung, da der DSB als interner Ansprechpartner erheblichen Mehrwert bietet.
Wie lange müssen Personalakten aufbewahrt werden?
Es gibt keine einheitliche Aufbewahrungsfrist. Lohnunterlagen unterliegen der steuerrechtlichen Aufbewahrungspflicht von 6 Jahren (§ 257 HGB) bzw. 10 Jahren für buchhalterisch relevante Unterlagen (§ 147 AO). Sozialversicherungsunterlagen sind 5 Jahre aufzubewahren. Bewerbungsunterlagen abgelehnter Kandidaten sollten nach einer Abwehrfrist für AGG-Klagen (6 Monate) gelöscht werden. Für Daten ohne gesetzliche Aufbewahrungspflicht gilt: unverzüglich nach Wegfall des Verwendungszwecks löschen.
Dürfen Arbeitgeber Beschäftigte bei der Heimarbeit überwachen?
Nein, im häuslichen Umfeld gilt ein besonders hoher Schutzstandard. Keylogger, Screenshot-Software oder Webcam-Überwachung im Homeoffice sind grundsätzlich unzulässig. Zulässig sind ergebnisorientierte Leistungsmessung und zeitliche Dokumentation der Arbeitszeit per Zeiterfassungssystem, sofern dies transparent kommuniziert und verhältnismäßig ist.
Was passiert bei einem Datenschutzverstoß im HR-Bereich?
Verstöße können zu Bußgeldern nach Art. 83 DSGVO führen, für schwerwiegende Verstöße bis zu 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro. Zudem drohen zivilrechtliche Schadensersatzansprüche nach Art. 82 DSGVO und Abmahnungen durch Mitbewerber. Praxisrelevanter sind oft Reputationsschäden und das gestörte Vertrauensverhältnis zu Mitarbeitern.
Darf der Arbeitgeber Social-Media-Profile von Bewerbern analysieren?
Berufliche Netzwerke wie LinkedIn oder Xing dürfen bei berufsbezogener Tätigkeit eingesehen werden, da die betreffenden Personen diese Daten erkennbar für den Arbeitsmarkt veröffentlicht haben. Private Profile (Facebook, Instagram) dürfen grundsätzlich nicht systematisch ausgewertet werden, da dort private Informationen überwiegen und keine Einwilligung des Bewerbers vorliegt.
Verwandte Themen
- Compliance-Grundlagen: Datenschutz-Management-System aufbauen
- Sicherheitsprozesse: Zugriffskontrollen und Berechtigungsmanagement
- Notfallpläne: Vorgehen bei Datenpannen und DSGVO-Meldepflicht
Redaktionshinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine individuelle rechtliche Beratung. Für konkrete Entscheidungen im Unternehmen empfiehlt sich die Hinzuziehung eines Datenschutzbeauftragten oder einer auf Datenschutzrecht spezialisierten Rechtsberatung.
