Info Recht. Datenschutz im Arbeitsverhältnis. Stand: September

Transkript

1 Info Recht Datenschutz im Arbeitsverhältnis Stand: September

2 Vorwort X Vorwort Rechtssicherheit beim Arbeitnehmerdatenschutz Der Arbeitnehmerdatenschutz wird derzeit durch ein komplexes System von Rechtsnormen und Rechtsprechung geregelt. Ziel dieser Info Recht Datenschutz im Arbeitsverhältnis ist es, anhand von praxisrelevanten Schwerpunkten deutlich zu machen, wie die Unternehmen die Daten ihrer Mitarbeiter erheben, verarbeiten und nutzen dürfen. Muster und Arbeitshilfen erleichtern zudem die Umsetzung in der Praxis. Bertram Brossardt 31. August 2010

3 Inhalt X Inhalt 1 Grundlagen des Arbeitnehmerdatenschutzes Rechtsquellen des Arbeitnehmerdatenschutzes Recht auf informationelle Selbstbestimmung Kein eigenständiges Arbeitnehmerdatenschutzgesetz Die Regelungen des Bundesdatenschutzgesetzes (BDSG) Anwendungsbereich des Bundesdatenschutzgesetzes Datenschutzrechtlich erhebliche Vorgänge Verboten ist, was nicht ausdrücklich erlaubt ist Grundsatz der Zweckbindung Grundsatz der Datenvermeidung und Datensparsamkeit Datensicherung und Datengeheimnis Technische und organisatorische Sicherungsmaßnahmen nach dem BDSG Maßnahmen zum Schutz des Fernmeldegeheimnisses ( 109 TKG) Sanktionen bei Datenschutzverstößen Strafrechtliche Sanktionen bei Datenschutzverstößen Vermögensrechtliche Haftung des Arbeitgebers gegenüber dem Arbeitnehmer Anordnungen der Datenschutzaufsichtsbehörde Erheben und Verarbeiten von Arbeitnehmerdaten Das Erheben und Speichern von Personaldaten Allgemeines zum Fragerecht des Arbeitgebers Stammdaten Gesundheitsdaten Die Personalakte Inhalt der Personalakte Vertraulichkeit der Personalakte Einsichtsrecht der Arbeitnehmer Kontrolle der Nutzung von Telefon, und Internet Nur dienstliche oder auch private Nutzung erlaubt? Verbindungs-, Nutzungs-, Inhaltsdaten Ausschließlich dienstliche Nutzung Erlaubte Privatnutzung Mitbestimmung des Betriebsrats Videoüberwachung Videoüberwachung von Mitarbeitern am Arbeitsplatz Videoüberwachung an öffentlich zugänglichen Arbeitsplätzen... 34

4 Inhalt X 2.5 Korruptionsbekämpfung Das Nutzen von Personaldaten Daten für die Einbehaltung der Lohnsteuer Sozialversicherungsnummer, Sozialversicherungsausweis Telefonverzeichnisse, Organisationspläne, etc Geburtstagslisten Rang- und Bestenlisten Bewerberdaten Weitergabe von Daten an den Betriebsrat Das Übermitteln von Personaldaten Begriff Gesetzliche Melde-, Berichts- und Auskunftspflichten Geheimhaltungsgebote Gläubigeranfragen Anfragen von Sicherheitsbehörden, Polizei Arbeitgeberauskünfte Weitergabe von Arbeitnehmerdaten an Versicherungsunternehmen Mitarbeiterdaten und Fotos im Internet Arbeitsteilige Datenverarbeitung Auftragsdatenverarbeitung Allgemeines Sorgfältige Auswahl des Auftragnehmers Schriftliche Auftragserteilung Weisungsgebundenheit Kontrolle und Dokumentation Auftragsdatenverarbeitung außerhalb der EU oder des EWR Personaldatenübermittlung im Konzern Allgemeines Konzernweite Telefon-, Namens- und -Verzeichnisse Zentralisierte Personalverwaltung Übertragung wichtiger Personalentscheidungen (Sozialauswahl, Einstellung) Personaldatentransfer ins Ausland Personaldatentransfer an Stellen innerhalb der EU bzw. des EWR Personaldatentransfer an Stellen außerhalb der EU bzw. des EWR Länder mit gleichwertigem Datenschutzniveau USA (Safe Harbor-Verfahren) Länder ohne angemessenes Datenschutzniveau EU-Standardvertragsklauseln Konzernweiter Verhaltenskodex Löschen und Sperren von Personaldaten Löschen von Personaldaten... 53

5 Inhalt X Sperren von Personaldaten Kontrolle des Arbeitnehmerdatenschutzes und Mitbestimmung des Betriebsrats Kontrolle des Arbeitnehmerdatenschutzes Der betriebliche Datenschutzbeauftragte Voraussetzungen für die Bestellpflicht Aufgaben des Datenschutzbeauftragten Person des Datenschutzbeauftragten Bestellung, Widerruf und Kündigung des Datenschutzbeauftragten Die externen Aufsichtsbehörden Die Kontrollrechte des Betriebsrats Mitbestimmungsrechte des Betriebsrats Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb Einführung und Anwendung von technischen Einrichtungen Sonstige Beteiligungsrechte des Betriebsrats Anhang Ansprechpartner / Impressum Hinweis Diese Information ersetzt keine rechtliche Beratung im Einzelfall. Eine Haftung im Einzelfall übernehmen wir mit der Herausgabe dieser Information nicht.

6 Grundlagen des Arbeitnehmerdatenschutzes 1 1 Grundlagen des Arbeitnehmerdatenschutzes Rechtsquellen, Prinzipien und Definitionen 1.1 Rechtsquellen des Arbeitnehmerdatenschutzes Der Datenschutz ist bestimmt durch ein ineinandergreifendes, sich ergänzendes System spezieller und allgemeiner Datenschutznormen Recht auf informationelle Selbstbestimmung Grundlage des Datenschutzes ist das verfassungsrechtlich garantierte Recht eines jeden Einzelnen auf informationelle Selbstbestimmung (Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG). Dieses Recht auf informationelle Selbstbestimmung beinhaltet die Befugnis des Einzelnen, über Preisgabe und Verwendung seiner persönlichen Daten und seine Person betreffende Informationen selbst zu entscheiden. Zweck des Datenschutzes ist es, den Einzelnen vor missbräuchlicher Verwendung seiner persönlichen Daten zu schützen das gilt auch für den Umgang mit Arbeitnehmerdaten im Arbeitsverhältnis. Allerdings besteht dieser Schutz personenbezogener Daten des Arbeitnehmers nicht schrankenlos, denn er kollidiert mit ebenfalls verfassungsrechtlich garantierten Grundrechten des Arbeitgebers: dessen wirtschaftlicher Handlungs- und Betätigungsfreiheit (Art. 2 Abs. 1 GG), seiner Berufsfreiheit (Art. 12 Abs. 1 GG) und seinem Recht am eingerichteten und ausgeübten Gewerbebetrieb (Art. 14 GG). Im Rahmen des Arbeitnehmerdatenschutzes gilt es immer wieder diese gegenläufigen Interessen in Ausgleich zu bringen Kein eigenständiges Arbeitnehmerdatenschutzgesetz Eine spezialgesetzliche Regelung des Arbeitnehmerdatenschutzes gibt es nicht. Der Datenschutz im Arbeitsverhältnis ist vielmehr bestimmt durch ein ineinandergreifendes, sich ergänzendes System spezieller und allgemeiner Datenschutznormen sowie arbeitsrechtlicher Prinzipien sowohl im individualrechtlichen als auch im kollektivrechtlichen Bereich. Gesetzliche Grundlagen Beispiele - Bundesdatenschutzgesetz (BDSG) - Telekommunikations- und Telemediengesetz (TKG; TMG)

7 Grundlagen des Arbeitnehmerdatenschutzes 2 - Kunsturhebergesetz - Betriebsverfassungsgesetz (BetrVG) Datenschutzrechtliche Regelungen finden sich des Weiteren in Betriebsvereinbarungen, Tarifverträgen und in Arbeitsverträgen. Von großer Bedeutung sind die von der Rechtsprechung des Bundesarbeitsgerichts (BAG) entwickelten Grundsätze des allgemeinen Persönlichkeitsrechts des Arbeitnehmers im Arbeitsverhältnis. Persönlichkeitsrechtsschutz bedeutet nach der Rechtsprechung des BAG, dass in die Privatsphäre des Arbeitnehmers nicht tiefer eingegriffen werden darf, als es der Zweck des Arbeitsverhältnisses unbedingt erfordert, und dass im Rahmen der Zweckbestimmung des Arbeitsverhältnisses für die bei Datenspeicherungen vorzunehmende Interessenabwägung der Grundsatz der Verhältnismäßigkeit maßgebend ist Die Regelungen des Bundesdatenschutzgesetzes (BDSG) Zum 01. September 2009 ist die BDSG Novelle II in Kraft getreten. Neu aufgenommen wurde in das BDSG der 32, der die Erhebung, Verarbeitung und Nutzung von Daten zum Zweck des Beschäftigungsverhältnisses regelt. 32 soll ausweislich der Gesetzesbegründung die bisher von der Rechtsprechung erarbeiteten Grundsätze nicht ändern, sondern lediglich zusammenfassen. Wer als Beschäftigter i. S. d. Vorschrift gilt, regelt 3 Abs. 11 BDSG. Er umfasst alle in einem abhängigen Verhältnis Beschäftigten. Beschäftigte gem. 3 Abs. 11 BDSG 1. Arbeitnehmer 2. zu ihrer Berufsausbildung Beschäftigte 3. Rehabilitanden 4. in anerkannten Werkstätten für behinderte Menschen Beschäftigte 5. nach dem Jugendfreiwilligendienstegesetz Beschäftigte 6. arbeitnehmerähnliche Personen; in Heimarbeit Beschäftigte 7. Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist 8. Beamte, Richter des Bundes, Soldaten, Zivildienstleistende

8 Grundlagen des Arbeitnehmerdatenschutzes Anwendungsbereich des Bundesdatenschutzgesetzes Durch die Aufnahme des 32 Abs. 1 S. 1 und Abs. 2 in das BDSG erweitert sich dessen Anwendungsbereich erheblich. War das BDSG bisher nur auf dateibezogene oder automatisierte Datenverarbeitung anwendbar, so gilt es seit 01. September 2009 für jede Form der Datenerhebung, -verarbeitung und -nutzung zum Zwecke des Beschäftigungsverhältnisses. Beispiele Protokoll des Bewerbungsgesprächs, handschriftlicher Vermerk in der Personalakte Das BDSG unterscheidet zwischen personenbezogenen Daten und besonderen Arten personenbezogener Daten: Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person (Betroffener), z. B.: Geburtsdatum eines Mitarbeiters, Gehalt oder Eingruppierung eines Mitarbeiters. Besondere Arten personenbezogener Daten sind im Sinne von 3 Abs. 9 BDSG Angaben über rassische oder ethnische Herkunft politische Meinungen religiöse oder philosophische Überzeugungen Gewerkschaftszugehörigkeit Ges undheit Sexualleben Der Umgang mit diesen Daten unterliegt besonderen Einschränkungen. Informationspflicht gem. 42a BDSG Gehen bestimmte sensible Daten verloren und droht dem Betroffenen dadurch eine schwerwiegende Beeinträchtigung, so besteht eine Informationspflicht gegenüber der Datenschutzaufsichtsbehörde und gegenüber dem Betroffenen. Betroffen sind folgende Datenkategorien: - besondere Arten personenbezogener Daten - einem Berufsgeheimnis unterliegende personenbezogene Daten, - auf strafbare Handlungen oder Ordnungswidrigkeiten bezogene Daten, - personenbezogene Daten zu Bank- oder Kreditkartenkonten

9 Grundlagen des Arbeitnehmerdatenschutzes 4 Mitzuteilen sind unverzüglich: - der Datenschutzaufsichtbehörde: mögliche nachteilige Folgen und die ergriffenen Maßnahmen - den Betroffenen: Grund des Datenverlustes und eine Empfehlung für Schutzmaßnahmen - Bei einem Verstoß gegen die Informationspflicht droht ein Bußgeld in Höhe von bis zu Euro. Fall Ein Vertriebsmitarbeiter verliert einen USB-Stick, auf dem Kundendaten enthalten sind, u. a. auch deren Kontodaten. In diesem Fall müssen die Datenschutzaufsichtsbehörde und die Betroffenen über den Datenverlust informiert werden Datenschutzrechtlich erhebliche Vorgänge Bei dem Umgang mit Arbeitnehmerdaten findet das BDSG im Wesentlichen für folgende datenschutzrechtlich relevanten Vorgänge Anwendung ( 3 BDSG): Erheben von Arbeitnehmerdaten Erheben ist das Beschaffen von Daten über den betroffenen Arbeitnehmer; z. B. durch Befragen im Bewerbungs- oder Mitarbeitergespräch oder standardmäßiges Abfragen im Personalfragebogen. Verarbeiten von Arbeitnehmerdaten Datenverarbeitung findet in folgenden Formen statt: - Speichern (z. B. in Personalinformationssystemen) - Verändern - Übermitteln (z. B. Arbeitgeberauskünfte an Externe) - Sperren und Löschen von Arbeitnehmerdaten (z. B. beim Ausscheiden von Arbeitnehmern, bei Daten deren Richtigkeit vom Arbeitnehmer bestritten wird, Zugriffsbeschränkungen für bestimmte Mitarbeiter im Rahmen der Personaldatenverarbeitung) Nutzen von Arbeitnehmerdaten Nutzen ist jede Verwendung personenbezogener Daten, soweit es sich nicht um Verarbeitung handelt; z. B. die betriebsinterne Weitergabe von Arbeitnehmerdaten an den Betriebsrat oder die Auswertung von Internetnutzungsdaten zum Zwecke der Arbeitnehmerkontrolle.

10 Grundlagen des Arbeitnehmerdatenschutzes Verboten ist, was nicht ausdrücklich erlaubt ist Für die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten gilt generell das Verbot mit Erlaubnisvorbehalt ( 4 Abs. 1 BDSG). Das heißt, jeglicher Umgang mit Arbeitnehmerdaten ist grundsätzlich verboten, es sei denn das BDSG selbst (z. B. 32 Abs. 1 S. 1 BDSG), eine sonstige Rechtsvorschrift (z. B. Betriebsvereinbarung) oder der Beschäftigte selbst (Einwilligung, 4 Absatz 1 BDSG) gestatten die Datenverarbeitung. Jede Datenverarbeitung und -nutzung bedarf daher entweder einer Rechtsgrundlage oder der Einwilligung des betroffenen Mitarbeiters. Kapitelübersicht Erforderlichkeit für Zwecke des Beschäftigungsverhältnisses Betriebsvereinbarung Einwilligung des Betroffenen Erforderlichkeit für Zwecke des Beschäftigungsverhältnisses Sofern keine Spezialvorschriften greifen (z. B. das Fernmeldegeheimnis gem. 88 TKG), richtet sich die Zulässigkeit der Datenverarbeitung im Arbeitsverhältnis nach 32 Abs. 1 S. 1 BDSG. Demnach ist die Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses zulässig, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder für dessen Durchführung oder Beendigung erforderlich ist. Grundsätzlich gilt, dass die Verarbeitung solcher Arbeitnehmerdaten zulässig ist, die zur Erfüllung der Rechte und Pflichten aus dem Arbeitsvertrag erforderlich sind, sofern damit nicht in unverhältnismäßiger Weise in das Persönlichkeitsrecht des Arbeitnehmers eingegriffen wird. Letztendlich muss die Zulässigkeit einer Datenerhebung, Datenverarbeitung oder -nutzung immer im Einzelfall nach Abwägung der für den Einzelfall maßgeblichen Interessen beider Seiten entschieden werden Betriebsvereinbarung Arbeitgeber und Betriebsrat können besondere Erlaubnis-, Zweckbindungs- und Verbotsregelungen für die Verarbeitung und Nutzung von Personaldaten in Betriebsvereinbarungen regeln. Eine Betriebsvereinbarung ist eine andere Rechtsvorschrift im Sinne des 4 Abs. 1 BDSG, die neben den Vorschriften des BDSG die Erhebung, Verarbeitung und Nutzung personenbezogener Arbeitnehmerdaten erlauben oder an-

11 Grundlagen des Arbeitnehmerdatenschutzes 6 ordnen kann. Inhaltlich können in einer Betriebsvereinbarung unbestimmte Rechtsbegriffe des BDSG unter Berücksichtigung der betrieblichen Gegebenheiten konkretisiert und damit einheitlich für den ganzen Betrieb festgelegt werden. Zulässig ist auch, den Datenschutz zugunsten der Arbeitnehmer zu verstärken. Nach Auffassung des Bundesarbeitsgerichts dürfen die Regelungen einer Betriebsvereinbarung sogar zu Lasten der Arbeitnehmer hinter dem Standard des BDSG zurückbleiben. Gleichwohl bleibt der Gestaltungsfreiraum der Betriebsparteien begrenzt. Sie müssen sich an die grundgesetzlichen Wertungen, zwingendes Gesetzesrecht und die allgemeinen Grundsätze des Arbeitsrechts halten. Dazu gehört insbesondere das allgemeine Persönlichkeitsrecht der Arbeitnehmer, das Arbeitgeber und Betriebsrat nach 75 Abs. 2 BetrVG zu schützen und zu fördern haben. Aus diesem Grund sind in der Praxis kaum Fälle denkbar, in denen durch Betriebsvereinbarung das Schutzniveau des BDSG unterschritten wird. Hinweis Es ist erforderlich, dass die Betriebsvereinbarung die Verarbeitung von personenbezogenen Arbeitnehmerdaten in ihren einzelnen Phasen (= Erheben, Speichern, Übermitteln, Nutzen, Verändern, Sperren, Löschen) ausdrücklich anspricht und regelt. Es genügt nicht, dass die Verarbeitung bestimmter Informationen oder Daten stillschweigend vorausgesetzt wird Einwilligung des Betroffenen Wenn sich die Datenverarbeitung nicht mit einer spezifischen anderen Rechtsvorschrift ( 4 Abs. 1 BDSG) oder nach 32 Abs. 1 S. 1 BDSG rechtfertigen lässt, ist eine Einwilligung des Betroffenen erforderlich: Eine Einwilligung ist die vorherige Einverständniserklärung des betroffenen Mitarbeiters. Ein nachträgliches Einverständnis genügt nicht und ändert auch nichts an der Rechtswidrigkeit der bis dahin erfolgten Datenverarbeitungen. Tipp für die Praxis Grundsätzlich sollte eine Rechtfertigung im Wege der Einwilligung nur in Fällen in Anspruch genommen werden, in denen der Beschäftigte eine echte Wahl hat. Darf der Arbeitgeber bereits aufgrund von 32 Abs. 1 S. 1 BDSG oder einer Betriebsvereinbarung personenbezogene Arbeitnehmerdaten verarbeiten, kann es sogar irreführend sein, wenn er versucht, diese Verarbeitungen auf die Einwilligung der betroffenen Arbeitnehmer zu stützen. Bei dem Arbeitnehmer würde dann nämlich der Eindruck erweckt, er könne die Datenverarbeitung jederzeit durch Widerruf beenden.

12 Grundlagen des Arbeitnehmerdatenschutzes 7 Beispiele Per Einwilligung zu legitimierende Arbeitnehmerdatenverarbeitung: - Weitergabe von Mitarbeiteradressen zwecks Firmenrabatt, z. B. an Versicherungsunternehmen, - Mitarbeiterdaten im Internet und Veröffentlichung von Bildern und Fotos, - Eingriffe in das Fernmeldegeheimnis, wenn der Arbeitgeber die private Nutzung von Telefon, und Internet gestattet und den Umfang der Privatnutzung kontrollieren will, - Aufzeichnen von dienstlichen Telefongesprächen, - Personaldatentransfer in Länder ohne angemessenes Datenschutzniveau Anforderungen an eine wirksame Einwilligungserklärung sind gemäß 4a BDSG: Freiwilligkeit Die Einwilligung muss auf der freien Entscheidung des Betroffenen beruhen. In dem Über- / Unterordnungsverhältnis von Arbeitgeber und Arbeitnehmer ist eine Einwilligung unfreiwillig und daher unwirksam, wenn eine wirtschaftliche Machtposition des Arbeitgebers zur Erlangung der Einwilligung ausgenutzt wurde. Konkretheit der Einwilligung Der Arbeitnehmer ist auf den vorgesehenen Zweck der Erhebung, Verarbeitung oder Nutzung hinzuweisen. Nur wenn er die vorgesehenen Verarbeitungen kennt, kann er sich frei entscheiden. Eine pauschale Erklärung des Betroffenen, er sei mit jeder weiteren Form der Verarbeitung seiner Daten einverstanden, reicht nicht aus. Der betroffene Arbeitnehmer ist auf die Folgen der Verweigerung seiner Einwilligung hinzuweisen, soweit dies nach den Umständen des Einzelfalls erforderlich ist oder vom Arbeitnehmer verlangt wird. Fall Die Konzernmutter bietet den Mitarbeitern des Tochterunternehmens Unternehmensaktien zum Vorzugspreis an. Hierfür müssen allerdings Personaldaten über Einkommen, etc. an die Konzernmutter übermittelt werden. Mitarbeiter, die ihre Einwilligung hierzu nicht erteilen, müssen auf den Firmenrabatt verzichten. Hinweis Soll in die Verarbeitung besonders sensibler Daten im Sinne von 3 Abs. 9 BDSG eingewilligt werden (z. B. Gesundheitsdaten, Daten über das Sexualleben, etc.) muss

13 Grundlagen des Arbeitnehmerdatenschutzes 8 sich die Einwilligungserklärung ausdrücklich auf diese Daten beziehen ( 4a Abs. 3 BDSG). Schriftform Die Einwilligung muss schriftlich erklärt werden. Bei einem Verstoß gegen das Schriftformerfordernis wäre die Einwilligung grundsätzlich unwirksam ( 125, 126 BGB) und die darauf basierende Datenverarbeitung unzulässig. Nur unter besonderen Umständen kann von dem gesetzlichen Schriftformerfordernis abgewichen werden. Das könnte z. B. dann der Fall sein, wenn die Personalabteilung das Einverständnis zu einer Mitteilung in einer Personalangelegenheit an einen Externen beim Mitarbeiter telefonisch erfragt. Keine Einwilligung im Kleingedruckten Soll ein Betroffener eine Einwilligung zusammen mit anderen Erklärungen abgegeben, z. B. im Rahmen eines Arbeitsvertrages, darf die Einwilligungserklärung nicht im sogenannten Kleingedruckten versteckt sein. Die Einwilligungserklärung muss dann deutlich sichtbar oder drucktechnisch von dem übrigen Text abgesetzt dargestellt werden (z. B. Fettdruck oder gesondert zu unterzeichnender Anhang) Grundsatz der Zweckbindung Die Arbeitnehmerdaten dürfen nur zu den in 32 Abs. 1 S. 1 BDSG festgelegten Zwecken genutzt werden. Eine nachträgliche Verwendung dieser Daten für andere Zwecke ist nur unter engen Ausnahmebedingungen zulässig ( 28 Abs. 2 und 3 BDSG). Im Wesentlichen ist eine zweckfremde Nutzung oder Verarbeitung von Arbeitnehmerdaten nur zulässig zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten, zur Wahrung berechtigter Interessen des Arbeitgebers. Hierfür ist stets eine Abwägung zwischen den entgegenstehenden schutzwürdigen Interessen des betroffenen Arbeitnehmers und dem Interesse des Arbeitgebers an der zweckfremden Datenverarbeitung oder -nutzung erforderlich. Fall Der Arbeitgeber hat im Personalbogen die persönlichen Daten der Mitarbeiter für die Personalakte erhoben.

14 Grundlagen des Arbeitnehmerdatenschutzes 9 Möchte der Arbeitgeber diese Daten für andere Zwecke verwenden, z. B. das Geburtsdatum für eine Geburtstagsliste, dann benötigt er hierfür die Einwilligung der Mitarbeiter Grundsatz der Datenvermeidung und Datensparsamkeit Das BDSG hat in 3a die Datenvermeidung und Datensparsamkeit zu Grundsätzen der Datenverarbeitung erhoben. Das heißt, dass auch die Personaldatenverarbeitung an dem Ziel auszurichten ist, keine oder zumindest so wenig personenbezogene Arbeitnehmerdaten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Beispielsweise sollten diese Grundsätze bei der Auswahl technischer Verfahren, Systeme und (Datenverarbeitungs-) Anlagen berücksichtigt werden. Hinweis Personenbezogene Daten sind zu anonymisieren, soweit dies nach den Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert. 1.2 Datensicherung und Datengeheimnis Aufgrund des Persönlichkeitsrechts der Arbeitnehmer sowie der Fürsorgepflicht des Arbeitgebers sind Personaldaten vertraulich zu behandeln und daher auch vor unbefugtem Zugriff nicht berechtigter Personen und vor missbräuchlicher Verwendung zu schützen. Werden Personaldaten im Geltungsbereich des BDSG verarbeitet, ist der Arbeitgeber zusätzlich nach 5 BDSG verpflichtet, die mit der personenbezogenen Datenverarbeitung beschäftigten Personen bei Aufnahme ihrer Tätigkeit auf das Datengeheimnis zu verpflichten. Tipp für die Praxis Obwohl für die Verpflichtung vom Gesetz keine bestimmte Form vorgeschrieben ist, sollte aus Beweisgründen eine individuelle schriftliche Belehrung mit Verpflichtung vorgenommen werden.

15 Grundlagen des Arbeitnehmerdatenschutzes 10 Durch die Verpflichtung muss dem Mitarbeiter die Bedeutung des korrekten Umgangs mit Personaldaten und die Schwere der Pflichtverletzung bei unbefugtem Umgang mit Daten bzw. bei Verstößen gegen Datenschutzregelungen bewusst werden. Neben dem Datengeheimnis nach 5 BDSG gelten für die Arbeitnehmer gegebenenfalls auch weitere spezielle Geheimhaltungspflichten aus anderen Gesetzen (z. B. 17 UWG Geheimhaltung von Betrieb- und Geschäftsgeheimnissen, 79 BetrVG Geheimhaltungspflicht der Mitglieder des Betriebsrats, 88 TKG Fernmeldegeheimnis und 206 StGB Post- und Fernmeldegeheimnis). Gemäß 9 BDSG und der zugehörigen Anlage muss der Arbeitgeber ferner entsprechende technische und organisatorische Sicherungsmaßnamen treffen Technische und organisatorische Sicherungsmaßnahmen nach dem BDSG Verarbeitet oder nutzt der Arbeitgeber personenbezogene Daten in automatisierten Datenverarbeitungsanlagen, dann muss er seine innerbetriebliche Organisation so gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird ( 9 BDSG). Die Anlage zu 9 BDSG sieht folgende Maßnahmen hierfür vor: Zutrittskontrolle Die Zutrittskontrolle verlangt, Unbefugten den körperlichen Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren. Damit soll verhindert werden, dass Personen unkontrolliert in die Nähe von Datenverarbeitungsanlagen kommen, die dazu nicht berechtigt sind (z. B. durch Türen, die sich nur bei richtiger PIN-Eingabe oder mit freigeschaltenen Chipkarten öffnen lassen). Zugangskontrolle Die Zugangskontrolle soll verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Gemeint ist damit das Eindringen in ein EDV- System seitens einer unberechtigten externen Person (z. B. Hacker ). Zugriffskontrolle Die Zugriffskontrolle soll gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Dateien zugreifen können. Zudem muss verhindert werden, dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung unbefugt gelesen, kopiert, verändert oder entfernt werden können.

16 Grundlagen des Arbeitnehmerdatenschutzes 11 Beispiel Vergabe individueller Passwörter an jeden Mitarbeiter, mit dem der Mitarbeiter nur auf die Personaldaten zugreifen kann, die er zur Erledigung seiner Arbeit benötigt. Weitergabekontrolle Die Weitergabekontrolle soll gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, sowie dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Eingabekontrolle Die Eingabekontrolle soll gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Diese Maßnahme wird regelmäßig durch manuell oder automatisiert erfolgende Protokollierungen realisiert. Beispiele handschriftliche Eingabevermerke, automatisierte Protokolldateien Auftragskontrolle Im Rahmen der Auftragskontrolle muss der Auftragnehmer gewährleisten, dass im Auftrag zu verarbeitende Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden. Verfügbarkeitskontrolle Die Verfügbarkeitskontrolle zielt darauf ab, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind und meint damit Wasserschäden, Brand, Blitzschlag, Stromausfall etc. Sicherungsmaßnahmen sind beispielsweise die Auslagerung von Sicherungskopien oder Notstromaggregate. Trennungsgebot Der Arbeitgeber muss die Zweckgebundenheit der Datenverarbeitung auch technisch sicherstellen. Zu unterschiedlichen Zwecken erhobene Daten müssen getrennt verarbeitet werden können.

17 Grundlagen des Arbeitnehmerdatenschutzes 12 Hinweis Die Verschlüsselungsverfahren müssen dem Stand der Technik entsprechen. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht Maßnahmen zum Schutz des Fernmeldegeheimnisses ( 109 TKG) Gestattet der Arbeitgeber die private Nutzung von Telefon, und Internet, wird er seinen Mitarbeitern gegenüber zum Anbieter von Telekommunikationsdiensten und Telemedien im Sinne des Telekommunikationsgesetzes (TKG) und Telemediengesetzes (TMG). Als solcher ist er insbesondere gemäß 88 TKG zur Wahrung des Fernmeldegeheimnisses verpflichtet. Im Rahmen dessen muss er gemäß 109 TKG technische und sonstige Maßnahmen zum Schutz des Fernmeldegeheimnisses treffen. In Betracht kommen Zutritts- und Zugriffsbeschränkungen, Verschlüsselungen sowie der Schutz der Firewall-Auswertungsprotokolle vor unbefugter Einsichtnahme. Tipp für die Praxis Bei Sicherungsmaßnahmen im Sinne der vorangegangenen Ziffern und sind gegebenenfalls bestehende Mitbestimmungsrechte des Betriebsrats nach 87 Abs. 1 Nr. 1 und Nr. 6 BetrVG zu prüfen. 1.3 Sanktionen bei Datenschutzverstößen Strafrechtliche Sanktionen bei Datenschutzverstößen Verstöße gegen das BDSG können gemäß 43 BDSG als Ordnungswidrigkeit mit einem Bußgeld bis zu Euro geahndet oder nach 44 BDSG als Straftat mit einer Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft werden. Da die Geldbuße den wirtschaftlichen Vorteil des Täters übersteigen soll, kann die maximale Höhe von Euro überschritten werden (Gewinnabschöpfung). Neben bzw. vorrangig vor den BDSG-Straftatbeständen können auch Straftatbestände weiterer Gesetze zum Tragen kommen.

18 Grundlagen des Arbeitnehmerdatenschutzes 13 Straftatbestände außerhalb des BDSG Beispiele StGB Verletzung des Post und Fernmeldegeheimnisses, - 303a StGB Datenveränderung - 17 UWG Verrat von Geschäfts- und Betriebsgeheimnissen Vermögensrechtliche Haftung des Arbeitgebers gegenüber dem Arbeitnehmer Bei schuldhaften Datenschutzverstößen des Arbeitgebers muss er dem betroffenen Arbeitnehmer den dadurch entstandenen Schaden ersetzen ( 7 S. 1 BDSG). Der die Haftung auslösende Datenschutzverstoß muss sich nicht zwingend auf Datenverarbeitungen im Geltungsbereich des BDSG beziehen, sondern kann sich auch aus anderen datenschützenden Vorschriften ergeben (z. B. Verstöße gegen das Fernmeldegeheimnis nach 88 TKG). Hinsichtlich der Beweislast obliegt es dem geschädigten Arbeitnehmer die Tatsachen vorzutragen und zu beweisen, aus denen sich der Datenschutzverstoß ergibt. Daraufhin ist es Sache des Arbeitgebers zu beweisen, dass ihm der Datenschutzverstoß nicht zur Last gelegt werden kann und er vielmehr die erforderliche Sorgfalt bei der Datenerhebung, -verarbeitung oder -nutzung beachtet hat. Kann er diesen Beweis nicht führen, wird ihm schuldhaftes Handeln unterstellt ( 7 S. 2 BDSG). Die BDSG-Datenschutzhaftungsnormen sind nicht abschließend. Eine Haftung des Arbeitgebers kann sich auch ergeben aus: (arbeits-) vertraglichen Haftungsklauseln 280 BGB wegen schuldhafter Verletzung (arbeits-) vertraglicher Nebenpflichten (der Arbeitgeber haftet für Verschulden seiner datenverarbeitenden Mitarbeiter über 278 BGB) Schmerzensgeld gemäß 847 BGB Hinweis Ein Anspruch auf Schmerzensgeld eines Arbeitnehmers wegen Verletzung seines Persönlichkeitsrechts besteht im Bereich der Privatwirtschaft nur in besonderen Ausnahmefällen (besonders schwerwiegende Verletzung des Persönlichkeitsrechts, für die eine Genugtuung auf andere Art und Weise nicht angemessen gewährt werden kann) Anordnungen der Datenschutzaufsichtsbehörde Auch die Befugnisse der Aufsichtsbehörden nach 38 Abs. 5 BDSG wurden zum 01. September 2009 erweitert. Zu ihren Aufgaben siehe Kapitel 3.

19 Grundlagen des Arbeitnehmerdatenschutzes 14 Hinweis In Bayern sind die Aufgaben der zuständigen Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich der Regierung von Mittelfranken übertragen (Bayerisches Landesamt für Datenschutzaufsicht).

20 Erheben und Verarbeiten von Arbeitnehmerdaten 15 2 Erheben und Verarbeiten von Arbeitnehmerdaten So erheben und verarbeiten Sie zulässig die Daten Ihrer Mitarbeiter 2.1 Das Erheben und Speichern von Personaldaten Allgemeines zum Fragerecht des Arbeitgebers Will der Arbeitgeber im Bewerbungsverfahren oder im laufenden Arbeitsverhältnis personenbezogene Daten erheben, dann sind seinem Informationsinteresse durch das Persönlichkeitsrecht des Bewerbers bzw. Arbeitnehmers und die arbeitsrechtliche Fürsorgepflicht Grenzen gesetzt. Zulässigerweise darf der Arbeitgeber nur Fragen stellen, an deren wahrheitsgemäßer Beantwortung er ein berechtigtes, billigenswertes und schutzwürdiges Interesse hat, aufgrund dessen die Belange des Bewerbers oder Arbeitnehmers zurücktreten müssen. Ein solches Interesse ist regelmäßig nur anzunehmen, wenn die Beantwortung der Frage für den (angestrebten) Arbeitsplatz und die zu verrichtende Tätigkeit selbst von Bedeutung sind. Unzulässig sind Fragen, die die Privat- oder Intimsphäre des Bewerbers bzw. Arbeitnehmers betreffen, ohne dass ein Zusammenhang mit dem Arbeitsplatz besteht. Welche Informationen ein Arbeitgeber legitimerweise ohne Verletzung des Persönlichkeitsrechts des Bewerbers oder Arbeitnehmers für seine Personalentscheidungen verwenden darf, hat die Rechtsprechung in diversen Entscheidungen zum Thema Fragerecht und Offenbarungspflicht festgelegt. Daneben sind seit dem 18. August 2006 auch die Diskriminierungsverbote des Allgemeinen Gleichbehandlungsgesetzes (AGG) zu beachten. Das Allgemeine Gleichbehandlungsgesetz (AGG) Nach dem AGG sind Benachteiligungen von Beschäftigten und Bewerbern wegen der Rasse oder ethnischen Herkunft, der Religion oder Weltanschauung, des Geschlechts, des Alters, einer Behinderung oder der sexuellen Identität verboten. Verstößt der Arbeitgeber dagegen, können Arbeitnehmer und Bewerber Schadensersatz und Entschädigung geltend machen. Das AGG gibt den Beschäftigten und Bewerbern bei der Geltendmachung dieser Ansprüche eine Beweislasterleichterung an die Hand: gemäß 22 AGG muss der Beschäftigte bzw. Bewerber nicht voll beweisen, dass er von dem Arbeitgeber gerade wegen eines der genannten Diskriminierungsmerkmale benachteiligt wurde. Es genügt vielmehr, wenn er sogenannte Indiztatsachen hierfür nachweisen kann (z. B. verbotene Fragen in Personalfragebögen, Vorstellungs- und Mitarbeitergesprächen, diskriminierende Anforderungen in Stellenanzeigen oder Nennung von diskriminierenden

21 Erheben und Verarbeiten von Arbeitnehmerdaten 16 Gründen in Absageschreiben an abgelehnte Bewerber). Kann der Arbeitnehmer bzw. Bewerber solche Indiztatsachen nachweisen, ist es an dem Arbeitgeber, den vollen Gegenbeweis zu erbringen, dass die angegriffene Personalentscheidung nicht auf einem Diskriminierungsmerkmal beruht oder wenn das der Fall ist, dass hierfür ein Rechtfertigungsgrund vorlag. Kann der Arbeitgeber diesen Gegenbeweis nicht erbringen, muss er mit Entschädigungs- / Schadensersatzzahlungen rechnen. Daher sollte der Arbeitgeber bei seinen Personalentscheidungen insbesondere im Rahmen von Bewerbungsverfahren darauf achten, dass er keine Indiztatsachen setzt, die im Streitfall gegebenenfalls zu einer Beweislasterleichterung für potenzielle Kläger führen könnten. Die Grundsätze zum Fragerecht des Arbeitgebers gelten unabhängig von der Anwendbarkeit des BDSG denn: werden Arbeitnehmer- oder Bewerberdaten für eine nachfolgende Speicherung und weitere Verarbeitung oder Nutzung im Geltungsbereich des BDSG erhoben, gilt das generelle Verbot mit Erlaubnisvorbehalt. Soweit keine Spezialvorschriften gelten, richtet sich die Zulässigkeit der Datenerhebung nach 32 Abs. 1 S. 1 BDSG. Demnach darf der Arbeitgeber Informationen über Bewerber oder Arbeitnehmer erheben und speichern, wenn dies für die Entscheidung über die Begründung des Beschäftigungsverhältnisses erforderlich ist. Letztendlich gelten hierfür die gleichen Grundsätze, die das BAG unter dem Stichwort Fragerecht und Offenbarungspflicht festgelegt hat (siehe oben). Hinweis Das Fragerecht des Arbeitgebers kann durch Einwilligung des betroffenen Bewerbers bzw. Arbeitnehmers nicht erweitert werden Stammdaten Im laufenden Arbeitsverhältnis ist die Speicherung von Name, Adresse, Geburtsdatum und weiterer sog. Stammdaten zulässig, weil die Kenntnis dieser Daten im Verlauf des Arbeitsverhältnisses z. B. für die allgemeine Personalplanung, Zwecke der Personaleinsatzplanung (z. B. Entscheidungen über Auslandseinsätze), Personalauswahl und Sozialauswahl bei betriebsbedingten Kündigungen, erforderlich sein kann. Solche Stammdaten sind zum Beispiel: Geschlecht Familienstand (Hoch-) Schule Ausbildung im Lehr- und anderen Berufen Fachschulausbildung/Fachrichtung/Abschluss Sprachkenntnisse

22 Erheben und Verarbeiten von Arbeitnehmerdaten 17 Tipp für das Bewerbungsverfahren In Bewerbungsverfahren sollte auf die Abfrage von Geschlecht, Familienstand, Alter bzw. Geburtsdatum in Fragebögen, Vorstellungsgesprächen etc. wegen der eventuellen Indizwirkung im Rahmen der Geltendmachung von Schadensersatz- und Entschädigungsansprüchen nach dem AGG verzichtet werden. Aus dem gleichen Grund sollten Sprachkenntnisse nicht als Muttersprache verlangt werden, da dies eine Anknüpfung an die Rasse oder ethnische Herkunft impliziert. Zulässig sind insbesondere Fragen nach dem beruflichen Werdegang, Aus- und Weiterbildungszeiten, Fragen nach früheren Arbeitgebern und der jeweiligen Beschäftigungsdauer. Soweit Lohn und Gehalt unbar ausgezahlt werden, darf der Arbeitgeber zum Zwecke der Entgeltüberweisung auch die Bankverbindung des Arbeitnehmers erfragen und speichern Gesundheitsdaten Gesundheitsdaten sind besondere personenbezogene Daten im Sinne des 3 Abs. 9 BDSG. Da es sich hierbei um einen besonders sensiblen Bereich handelt, ist die Erhebung und Speicherung von Gesundheitsdaten erheblich eingeschränkt. Kapitelübersicht Krankheiten / Allgemeiner Gesundheitszustand Krankheitszeiten- und Fehlzeitendaten im laufenden Arbeitsverhältnis Alkohol- und Drogentests AIDS-Erkrankung / HIV-Infizierung Genom- / DNA-Analysen Schwerbehinderteneigenschaft Schwangerschaft Bisheriges Gehalt Vorstrafen, Ermittlungsverfahren Lohnpfändungen / -abtretungen, Vermögensverhältnisse Wettbewerbsverbote Gewerkschaftszugehörigkeit, politische und religiöse Überzeugungen Gesetzliche Aufzeichnungs- und Aufbewahrungspflichten... 22

23 Erheben und Verarbeiten von Arbeitnehmerdaten Krankheiten / Allgemeiner Gesundheitszustand Nach der Rechtsprechung des BAG sind Fragen nach dem Gesundheitszustand nur insoweit zulässig, als gezielt die Beeinträchtigungen bei der Verwendung auf dem konkreten Arbeitsplatz ermittelt werden sollen: Krankheiten bzw. Beeinträchtigungen des Gesundheitszustandes, durch die die Eignung für die vorgesehene Tätigkeit auf Dauer oder wiederkehrend eingeschränkt wird (z. B. beeinträchtigende Körperbehinderungen), ansteckende Krankheiten, die Kollegen oder Kunden gefährden können, absehbare Arbeitsunfähigkeit zum vorgesehenen Dienstantritt oder in absehbarer Zeit, z. B. durch eine geplante Operation, eine bewilligte Kur oder auch durch eine zurzeit bestehende akute Erkrankung. Hinweis Die allgemeine Frage nach dem Gesundheitszustand ist unzulässig Krankheitszeiten- und Fehlzeitendaten im laufenden Arbeitsverhältnis Das Erheben und Speichern von Krankheitszeiten- und Fehlzeitendaten im laufenden Arbeitsverhältnis ist zulässig. Zum einen unter dem Gesichtspunkt der Lohn- und Gehaltsabrechnung, zum anderen hat der Arbeitgeber auch ein berechtigtes Interesse daran festzustellen, inwiefern das arbeitsvertragliche Austauschverhältnis durch Krankheits- und Fehlzeiten gestört ist. Hinweis Werden solche Daten in einem Personalinformationssystem verarbeitet, besteht ein Mitbestimmungsrecht des Betriebsrates gemäß 87 Abs. 1 Nr. 6 BetrVG. Keine Angaben muss der Arbeitnehmer hingegen zum Krankheitsgrund machen. Tipp für die Praxis Der Krankheitsgrund kann ausnahmsweise von Bedeutung für das Arbeitsverhältnis sein, wenn es sich um eine arbeitsplatzbezogene Krankheit handelt, z. B. Rückenleiden durch die Produktionsstätte oder einen ungeeigneten Stuhl. Auch in diesen Fällen ist die Angabe des Krankheitsgrundes durch den Arbeitnehmer freiwillig. Über diese Freiwilligkeit muss der Arbeitnehmer ausdrücklich belehrt werden. Die Einwilligung des

24 Erheben und Verarbeiten von Arbeitnehmerdaten 19 Arbeitnehmers muss sich sowohl auf die Erhebung des Krankheitsgrundes als auch auf dessen Speicherung und weitere Verwendung der Information erstrecken Alkohol- und Drogentests Bei der Frage der Zulässigkeit von Alkohol- und Drogentests ist hinsichtlich des Bewerbungsverfahrens und dem nachfolgenden Arbeitnehmerverhältnis zu unterscheiden. Ohne entsprechende gesetzliche oder tarifvertragliche Verpflichtung ist ein Arbeitnehmer ohne konkrete Verdachtsmomente nicht verpflichtet, sich im laufenden Arbeitsverhältnis routinemäßig auf eine eventuelle Alkohol- oder Drogenabhängigkeit untersuchen zu lassen. Will ein Arbeitnehmer sich freiwillig einem Test unterziehen, z. B. um einen bestehenden Verdacht zu widerlegen und sich zu entlasten, so muss er diesen Wunsch äußern. Von sich aus braucht der Arbeitgeber den Test nicht anzubieten. Anders jedoch im Bewerbungsverfahren: hier ist eine Drogen- oder Alkoholabhängigkeit eine Krankheit, die die Erfüllung der Arbeitspflicht generell erheblich beeinträchtigen wird und nach der demzufolge auch gefragt werden darf AIDS-Erkrankung / HIV-Infizierung Die Frage nach einer AIDS-Erkrankung ist zulässig, da mit einer Heilung nicht gerechnet werden kann und der Bewerber deshalb zumindest in absehbarer Zeit nicht mehr in der Lage sein wird, seiner Arbeitspflicht weiter nachzukommen. Anders ist es bei einer HIV-Infizierung. Hier ist die Frage nur dann zulässig, wenn aufgrund der Tätigkeit ein erhöhtes Risiko der Ansteckung von Kollegen oder Kunden besteht Beispiele - bei Berufen im Gesundheitsdienst, - bei Küchenpersonal und - bei Berufsgruppen, die mit der Herstellung von Lebensmitteln beschäftigt sind Genom- / DNA-Analysen Die Frage nach der genetischen Veranlagung ist grundsätzlich unzulässig ebenso Genom- / DNA-Analysen. Hier gilt das Gendiagnostikgesetz.

25 Erheben und Verarbeiten von Arbeitnehmerdaten Schwerbehinderteneigenschaft Die pauschale Frage nach einer bestehenden Schwerbehinderung oder Gleichstellung im Bewerbungsverfahren ist unzulässig. Etwas anderes gilt nach getroffener Auswahlentscheidung: sobald sich der Arbeitgeber endgültig für einen Bewerber entschieden hat und das Bewerbungsverfahren abgeschlossen ist, kann der letztendlich eingestellte Bewerber nach einer bestehenden Schwerbehinderung oder Gleichstellung gefragt werden. Eine Benachteiligung wegen einer Behinderung ist dann zumindest hinsichtlich der Einstellungsentscheidung nicht mehr möglich, da die Auswahlentscheidung bereits getroffen wurde. Tipp für das Bewerbungsverfahren Um dennoch in Erfahrung zu bringen, ob ein Bewerber gesundheitlich für den konkreten Arbeitsplatz geeignet ist, darf der Arbeitgeber aber nach Krankheiten bzw. (körperlichen) Beeinträchtigungen des Gesundheitszustandes fragen, durch die die Eignung für die vorgesehene Tätigkeit auf Dauer oder wiederkehrend eingeschränkt wird Schwangerschaft Die Frage nach einer bestehenden Schwangerschaft ist unzulässig. Dies gilt auch, wenn die Bewerberin befristet eingestellt werden soll und für die vorgesehene Vertragsdauer oder wesentliche Teile davon eine Beschäftigung aus Gründen des Mutterschutzes ausscheidet. Gleiches gilt bei Rückkehr aus der Elternzeit bei erneuter Schwangerschaft Bisheriges Gehalt Die Frage nach dem bisherigen Gehalt betrifft die Einkommensverhältnisse des Bewerbers und greift daher in dessen geschützte Individualsphäre ein. Die Frage ist deshalb nur insoweit zulässig, als das bisherige Gehalt Aussagen über die Qualifikation des Bewerbers für den zu besetzenden Arbeitsplatz trifft oder Rückschlüsse auf dessen Eignung zulässt (z. B. bisherige und angestrebte Position erfordern vergleichbare Kenntnisse und Fähigkeiten oder der Bewerber hat zuvor eine leistungsabhängige Vergütung erhalten, deren Höhe für seine Einsatzbereitschaft kennzeichnend ist), es vom Bewerber selbst zur Mindestbedingung für sein zukünftiges Einkommen erhoben wird. Ansonsten ist die Frage nach dem bisherigen Gehalt unzulässig, weil sie den Bewerber bei den Gehaltsverhandlungen in eine schlechtere Position drängt.

26 Erheben und Verarbeiten von Arbeitnehmerdaten Vorstrafen, Ermittlungsverfahren Nach Vorstrafen darf nur gefragt werden, wenn und soweit die Art des zu besetzenden Arbeitsplatzes dies erfordert und dann darf auch nur nach einschlägigen Vorstrafen gefragt werden, d. h. solchen Vorstrafen, die für den zu besetzenden Arbeitsplatz relevant sind. Unter diesen Voraussetzungen darf auch nach laufenden Ermittlungsverfahren gefragt werden. Relevante Vorstrafen Beispiele - Frage nach vermögensrechtlichen Vorstrafen eines Bankkassiers - Frage nach verkehrsrechtlichen Vorstrafen eines Kraftfahrers - Frage nach Sittlichkeitsdelikten eines Erziehers Hinweis Es gelten die Löschungsfristen des Bundeszentralregistergesetzes (BZRG). Vorstrafen, die nicht mehr in dem polizeilichen Führungszeugnis genannt werden ( 51 BZRG), brauchen auch auf Befragen nicht vom Bewerber offenbart werden Lohnpfändungen / -abtretungen, Vermögensverhältnisse Die Frage nach den Vermögensverhältnissen (Überschuldung, Pfändungen, Leistung des Offenbarungseids ) und Lohnpfändungen / -abtretungen ist nur zulässig, wenn der Bewerber / Arbeitnehmer eine Position ausfüllen soll / ausfüllt, in der Seriosität, eine besondere Vertrauenswürdigkeit und finanzielle Zuverlässigkeit relevant sind, z. B. Finanzberater oder Buchhalter Wettbewerbsverbote Die Frage nach Wettbewerbsverboten, die sich auf das einzugehende Arbeitsverhältnis beziehen, ist zulässig Gewerkschaftszugehörigkeit, politische und religiöse Überzeugungen Die Frage nach der Gewerkschaftszugehörigkeit ist wegen der in Art. 9 Abs. 3 GG verfassungsrechtlich garantierten Koalitionsfreiheit unzulässig. Gleichfalls unzulässig vor Abschluss eines Arbeitsvertrages sind Fragen nach der Konfession oder sonstigen religiösen Überzeugungen, Fragen nach der Mitgliedschaft in Parteien oder politischen und philosophischen Überzeugungen.

27 Erheben und Verarbeiten von Arbeitnehmerdaten 22 Hinweis Ausnahmen bestehen unter bestimmten Voraussetzungen für sogenannte Tendenzbetriebe (z. B. Presseunternehmen, Verlage, Parteien) Gesetzliche Aufzeichnungs- und Aufbewahrungspflichten Der Arbeitgeber hat sowohl im laufenden Arbeitsverhältnis, als auch nach dessen Beendigung verschiedene Aufbewahrungs- und Aufzeichnungspflichten, die steuerrechtlicher, sozialversicherungsrechtlicher und arbeitsrechtlicher Natur sind. Das Erheben und Speichern dieser personenbezogenen Arbeitnehmerdaten ist selbstverständlich nicht nur zulässig, sondern verpflichtend. Aufzeichnungs- und Archivierungspflichten Beispiele - Überschreitung der werktäglichen Arbeitszeit von 8 Stunden - Verzeichnis der Arbeitnehmer, die in eine Verlängerung der Arbeitszeit eingewilligt haben - Verzeichnis der beschäftigten Jugendlichen - Nachweis der Beschäftigungszeiten werdender und stillender Mütter 2.2 Die Personalakte Arbeitgeber der Privatwirtschaft sind nicht verpflichtet, Personalakten zu führen. In der Regel sind sie allerdings für die Personalplanung und -verwaltung des Arbeitgebers unerlässlich. Hat der Arbeitgeber sich daher entschieden, Personalakten zu führen, muss er sich an die folgenden Grundsätze halten Inhalt der Personalakte Inhalt der Personalakte können alle Unterlagen werden, die sich unmittelbar auf das Arbeitsverhältnis beziehen und an deren Aufnahme der Arbeitgeber ein sachliches, berechtigtes Interesse hat. Das Persönlichkeitsrecht des Arbeitnehmers und sein Interesse am Schutz seiner Privatsphäre begrenzt hierbei den Umfang der Unterlagen, die der Arbeitgeber legitimerweise in die Personalakte aufnehmen darf. Jedenfalls darf der Arbeitgeber solche Unterlagen aufnehmen, nach denen er im Rahmen seines Fragerechts auch zulässigerweise fragen darf. Ferner darf der Arbeitgeber den Arbeitnehmer im laufenden Arbeitsverhältnis hinsichtlich Eignung, Befähigung und fachlicher Leistung beurteilen und diese Beurteilungen zu der Personalakte nehmen.

28 Erheben und Verarbeiten von Arbeitnehmerdaten 23 Inhalt der Personalakte Beispiele - Bewerbungsunterlagen - Personalfragebogen - Zeugnisse, Bescheinigungen - Arbeitsvertrag - Beurteilungen - Abmahnungen, Rügen - Urlaubsanträge - Krankheitsbescheinigungen - Lohn- und Gehaltsveränderungen Die in der Personalakte enthaltenen Arbeitnehmerdaten müssen inhaltlich richtig sein und ein zutreffendes Bild über den Arbeitnehmer in dienstlichen und persönlichen Beziehungen abgeben. 83 Abs. 2 BetrVG gibt dem Arbeitnehmer das Recht, seiner Personalakte eigene Erklärungen beizufügen. Ihm wird dadurch die Möglichkeit eröffnet, die Personalakte so zu vervollständigen, dass sie ein möglichst objektives Bild ergibt. Er kann zu ihn betreffenden Maßnahmen Stellung nehmen, insbesondere Gegendarstellungen zu Vorgängen, die der Arbeitgeber in die Personalakte eingebracht hat. Darüber hinaus kann der Arbeitnehmer die Aufnahme von Unterlagen verlangen, z. B. Zeugnis über eine während des Arbeitsverhältnisses erworbene Zusatzqualifikation. Das Recht des Arbeitnehmers nach 83 Abs. 2 BetrVG besteht auch im Geltungsbereich des BDSG. Der Arbeitnehmer kann die Entfernung unrichtiger, ihn zu Unrecht belastender oder unzulässig aufgenommener Unterlagen aus der Personalakte verlangen. Er kann außerdem die Entfernung einer Abmahnung verlangen, wenn der Arbeitgeber kein schutzwürdiges Interesse mehr an deren Verbleib in der Akte hat. Eine feste Frist gibt es hierfür nicht. Vielmehr muss dies anhand einer Gesamtabwägung im Einzelfall bestimmt werden. Berücksichtigt werden dabei insbesondere die Umstände des konkreten Falles, die Schwere des Vorwurfs und die Beeinträchtigung der Interessen des Arbeitnehmers. 35 BDSG enthält ausführliche Vorschriften über Berichtigung, Löschung und Sperrung von Daten, wenn sie unrichtig oder unzulässig erhoben und gespeichert worden sind Vertraulichkeit der Personalakte Der Arbeitgeber hat Personalakten sowohl innerhalb des Betriebes als auch gegenüber Externen vertraulich zu behandeln. Der Kreis der zugriffsberechtigten Personen ist

29 Erheben und Verarbeiten von Arbeitnehmerdaten 24 möglichst klein zu halten und auf die für Personalentscheidungen zuständigen Mitarbeiter zu beschränken. Hinweis Besonders sensible Daten, wie Angaben zur Gesundheit, sind vor dem Einblick Unbefugter zu sichern. Sie müssen gesondert aufbewahrt werden (z. B. in einem verschlossenen Umschlag oder verschlüsselt), damit sie nicht bei der regelmäßigen Sachbearbeitung der Personalakte ohne konkreten Anlass ins Auge fallen. Im BDSG wird das Gebot der Vertraulichkeit durch die Bedingung der Erforderlichkeit der Datenverarbeitung für die Entscheidung über die Begründung, die Durchführung oder die Beendigung von Arbeitsverhältnissen ( 32 Abs. 1 S. 1 BDSG) sichergestellt. Des Weiteren fallen die betriebsinterne und externe Weitergabe von Arbeitnehmerdaten (= Nutzen und Übermitteln) unter das Verbot mit Erlaubnisvorbehalt ( 4 Abs. 1) Einsichtsrecht der Arbeitnehmer Arbeitnehmer können jederzeit Einsicht in ihre Personalakten nehmen ( 83 Abs. 1 BetrVG, 26 Abs. 2 Sprecherausschussgesetz). Sie sind berechtigt, bei der Einsichtnahme ein Mitglied des Betriebsrats bzw. Sprecherausschusses hinzuzuziehen. Schwerbehinderte Beschäftigte können zudem die Schwerbehindertenvertretung hinzuziehen ( 95 Abs. 3 S. 1 SGB IX). Die hinzugezogenen Personen müssen über den Inhalt der Personalakte Stillschweigen bewahren, es sei denn sie wurden von dem Arbeitnehmer im Einzelfall von dieser Schweigepflicht entbunden. Im Geltungsbereich des BDSG hat der Arbeitnehmer zusätzlich das Auskunftsrecht gemäß 34 BDSG gegenüber seinem Arbeitgeber bezüglich der über ihn gespeicherten Daten. 2.3 Kontrolle der Nutzung von Telefon, und Internet Nur dienstliche oder auch private Nutzung erlaubt? Ob und inwieweit der Arbeitgeber die Arbeitnehmer bei der Nutzung bereitgestellter Kommunikationstechniken, wie z. B. Telefon, und Internet, kontrollieren und überwachen darf, hängt wesentlich davon ab, ob den Arbeitnehmern neben der dienstlichen auch die private Nutzung am Arbeitsplatz gestattet ist. Sind dem Arbeitnehmer Telefon, und Internet ausschließlich zur dienstlichen Nutzung überlassen, richtet sich die Zulässigkeit der Datenverarbeitung zu Kontroll-