Von:
GÖHMANN
RECHTSANWÄLTE · NOTARE
Das Thema „Datenschutz“ bewegt seit Inkrafttreten der EU-Datenschutzgrundverordnung nach mittlerweile rund zwei Jahren noch immer das Arbeitsrecht. Insbesondere die Zulässigkeit von Datenverarbeitungen und Datenspeicherungen, etwaige Auskunfts- und Löschungsansprüche sowie Aufbewahrungspflichten sind für Arbeitgeber relevant. Dieser Beitrag versucht in gebotener Kürze einen Überblick über die rechtlichen Vorgaben der vorgenannten Themen zu schaffen. Dabei sollen die zeitlichen Bereiche des Recruiting, des Beschäftigungsverhältnisses und dessen Beendigung betrachtet werden.
- Erhebung und Speicherung
Datenverarbeitungen sind im Personalbereich jedes Arbeitgebers ein zentraler Bestandteil. Deren rechtliche Grenzen sind zunächst anhand des maßgeblichen Zeitraums zu beurteilen. Als zentrale Norm zur Datenverarbeitung ist § 26 BDSG anzusehen. Dessen Anwendungsbereich erstreckt sich sowohl auf den Bewerbungsprozess, auf die Zeit während des Beschäftigungsverhältnisses, als auch auf den Zeitraum nach Beendigung des Beschäftigungsverhältnisses.
a. Recruiting
Informationen über einen Bewerber hat der Arbeitgeber zunächst direkt bei dem Bewerber einzuholen. Art. 5 Abs. 1 a) DS-GVO schreibt eine rechtmäßige Datenverarbeitung nach Treu und Glauben vor, die für den Betroffenen in nachvollziehbarer Weise erfolgt. Eine Einwilligung des Betroffenen kann und sollte in der Regel im Bewerbungsverfahren eingeholt werden. Insbesondere im Bereich des Recruitings unter Nutzung von berufsorientierten und sozialen Medien bestehen Möglichkeiten weiterer Datenverarbeitungen abseits des herkömmlichen Bewerbungsprozesses. Diesbezüglich sind die rechtlichen Grenzen zu beachten.[1]
Grundsätzlich wird davon ausgegangen, dass durch das bloße Hinzufügen personenbezogener Daten in ein als öffentlich eingestelltes Profil auf sozialen Netzwerken keine automatische Einwilligung in die Erhebung, Verarbeitung und Nutzung der eingestellten Daten besteht. So könnte zwar überlegt werden, ob eine Einwilligung nach Art. 6 Abs. 1a) DS-GVO vorliegt, indem der Betroffene seine Daten freiwillig zugänglich eingestellt hat. Allerdings sieht Art. 6 Abs. 1a) DS-GVO einschränkend vor, dass die Einwilligung zu der Verarbeitung zu einem bestimmten Zweck erteilt wird.
Dies setzt voraus, dass dem User bekannt ist, welchem Zweck die Datenverarbeitung dient. Da insoweit keine Kenntnis über eine mögliche Nutzung für Recruiting- oder sonstige geschäftliche Zwecke besteht, liegt regelmäßig keine Einwilligung des Users vor.
Liegt bereits keine Einwilligung vor, kann eine rechtmäßige Verwertung nur dann möglich sein, wenn eine Erlaubnisnorm besteht. In Betracht kommt etwa der in Art. 6 Abs. 1b) DS-GVO geregelte Grundsatz, nachdem Daten zur Vertragsdurchführung oder bei vorvertraglichen Maßnahmen erhoben werden können. Bei den vorvertraglichen Maßnahmen erfolgt jedoch bereits die Einschränkung, dass diese auf Anfrage der betroffenen Person erfolgen. Die DS-GVO sieht keine spezifischen Regelungen zum Arbeitnehmerdatenschutz, der grundsätzlich auch den Schutz von Bewerberdaten umfasst, vor.[2]
Ergänzend ist daher auf die Regelungen des Bundesdatenschutzgesetzes (BDSG) abzustellen. Nach § 26 Abs. 1 BDSG dürfen personenbezogene Daten von Beschäftigten u.a. für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.
Die Durchführung des Arbeitsverhältnisses ist bereits deshalb nicht betroffen, weil hierunter nach allgemeiner Auffassung nur Datenerhebungen im Rahmen der Zweckbestimmung des Arbeitsverhältnisses erfasst werden.[3] Ein Beschäftigungsverhältnis kann naturgemäß nur begründet werden, wenn auf der einen Seite ein Bewerber steht und auf der anderen Seite ein potentieller Arbeitgeber. Soweit daher im Bereich des Recruiting auf die Bewerberdaten zugegriffen wird, wäre eine Rechtfertigung über § 26 BDSG abzulehnen, da ohne vorherigen Kontakt noch nicht von einem Bewerberverhältnis gesprochen werden kann.
b. Während des Angestelltenverhältnisses
Unter welchen Umständen während des Angestelltenverhältnisses eine Datenverarbeitung im Sinne des § 26 Abs.1 BDSG „erforderlich“ und somit zulässig ist, bestimmt das Gesetz nicht näher. Letztlich bedarf es einer für das Arbeitsrecht typischen Verhältnismäßigkeitsprüfung unter Abwägung der widerstreitenden Interessen des Arbeitgebers und des Betroffenen.[4]
Bei den personenbezogenen Daten für die Durchführung des Arbeitsverhältnisses handelt es sich zum Beispiel um die Bewerbungsunterlagen, die Angaben im Personalfragebogen und die Ergebnisse des Bewerbungsgesprächs. Des Weiteren sind die Zwecke der Lohnabrechnung, des Personalcontrollings und des optimalen Mitarbeitereinsatzes unter die Durchführung des Arbeitsverhältnisses zu fassen.[5]
Gemäß § 26 Abs. 2 BDSG können schriftliche Einwilligungen der Betroffenen eingeholt werden, allerdings richtet der Gesetzgeber aufgrund des Über-/Unterordnungsverhältnisses ein erhöhtes Augenmaß auf die Freiwilligkeit der Betroffenen.[6] Zu berücksichtigen ist dabei neben der Eingriffsintensität der Datenerhebung, insbesondere der Zeitpunkt der Einwilligungserteilung, da die Drucksituation für den Betroffenen bei Abschluss eines Arbeitsvertrages regelmäßig erheblich sein dürfte.[7]
Nach § 26 Abs. 2 S. 2 BDSG kann die Freiwilligkeit vorliegen, wenn für den Betroffenen ein rechtlicher oder wirtschaftlicher Vorteil aus der Datenerhebung erreicht wird. Insofern ist das Einholen pauschaler Einwilligungserklärungen kritisch zu betrachten.
Der Arbeitgeber hat dabei zwingend über den Zweck der Datenverarbeitung und den jederzeit möglichen Widerruf der Einwilligung zu informieren.
- Auskunftsansprüche
Auskunftsansprüche des Bewerbers und des Arbeitnehmers resultieren aus Art. 15 DS-GVO.
Art. 15 DS-GVO stellt eine Ausformung des datenschutzrechtlichen Gebots der Transparenz dar und enthält einen Katalog über auskunftspflichtige Tatsachen.
Danach hat der Arbeitnehmer ein Recht auf Auskunft gegenüber dem Arbeitgeber, welche personenbezogenen Daten zu welchem Verarbeitungszweck und zu welcher Speicherdauer verarbeitet werden.[8] Der Arbeitnehmer ist über seine Beschwerderechte sowie über die Rechte der Berichtigung und Löschung zu informieren.
Neben der Auskunft als solcher kann der Arbeitnehmer eine Kopie seiner personenbezogenen Daten verlangen. Diesem Verlangen hat der Arbeitgeber unverzüglich, spätestens innerhalb eines Monats nachzukommen. Eine Verlängerungsfrist um zwei Monate gewährt Art. 12 Abs. 2 S. 2 DS-GVO ausschließlich für Situationen einer Vielzahl von eingehenden Anträgen und erhöhter Komplexität der Auskunftsansprüche. Der sehr weit gefasste Auskunftsanspruch aus Art. 15 DS-GVO wird jedoch durch § 34 BDSG begrenzt. Danach kann der Arbeitgeber die Auskunft verweigern, wenn und soweit durch die Auskunft Geschäftszwecke oder Ziele erheblich gefährdet werden. Die Verweigerung und deren Begründung sind schriftlich festzuhalten.
- Aufbewahrungs- und Löschungspflichten
Relevante Löschungspflichten resultieren für Arbeitgeber insbesondere aus Art. 17 Abs. 1 S. 2 d) DS-GVO und § 35 Abs. 2 S. 2 Nr. 1 BDSG, soweit bereits die Datenerhebung und -speicherung unzulässig erfolgt ist.
Art. 17 DS-GVO statuiert das sog. „Recht auf Vergessenwerden“, welches umfassende Löschungspflichten für Arbeitgeber vorschreibt. Der Wegfall einer Zweckbestimmung der Datenerhebung löst nach Art. 17 Abs. 1 S. 2 a) DS-GVO und § 35 Abs. 2 S. 2 Nr. 3 BDSG ebenfalls eine Löschungspflicht des Arbeitgebers aus. Typischerweise ist dies mit Beendigung des Beschäftigungsverhältnisses anzunehmen.
a. Recruiting
Im Falle einer Ablehnung des Bewerbers sind die über ihn erhobenen und verarbeiteten Daten zum Selbstschutz des Arbeitgebers mindestens zwei Monate aufzubewahren. Innerhalb einer zweimonatigen Frist hat ein abgelehnter Bewerber etwaige Entschädigungsansprüche nach § 15 AGG geltend zu machen. In der Praxis dürfte eine längere Speicherungszeit von zwei bis sechs Monaten geboten sein, um Verzögerungen in der Post- und Klagezustellung zu berücksichtigen.
Anders ist dies bei sog. „Talent Pools“ zu beurteilen. In diesen hält der Arbeitgeber eine Vielzahl an Daten potenzieller Arbeitnehmer vorrätig, um auf diese für zukünftig vakante Stellen zurückzugreifen. Soweit ein solcher „Talent Pool“ aus Arbeitgebersicht sinnvoll sein mag, so ist der Zweck der Datenerhebung und –verarbeitung mit Absage an den jeweiligen Bewerber beendet und eine weitergehende Speicherung der personenbezogenen Daten nur mit Einverständnis des Betroffenen zulässig. Dieses ist schriftlich, unter Hinweis auf die Möglichkeit eines Widerrufs und des Ausschlusses etwaiger Benachteiligungen im Falle des Widerrufs, einzuholen.
b. Während des Anstellungsverhältnisses
Im laufenden Anstellungsverhältnis gelten verschiedene Aufbewahrungspflichten, insbesondere hinsichtlich Arbeitszeiten der Arbeitnehmer. Zudem ist der Arbeitgeber als datenschutzrechtlich Verantwortlicher gehalten, stetig seine Berechtigung zur weiteren Datenspeicherung und –verarbeitung zu prüfen, um etwaigen Löschungspflichten unverzüglich nachkommen zu können.[9]In der Praxis bieten sich dazu automatisierte Löschkonzept an, um die Prüfpflichten auch bei großen Beständen personenbezogener Daten effizient befolgen zu können.[10]
Weitere Aufbewahrungsfristen aus dem Zivil-, Arbeits-, Handels-, Steuer- und Sozialversicherungsrecht bleiben neben den datenschutzrechtlichen Vorschriften bestehen.[11]
c. Nach Beendigung des Anstellungsverhältnisses
Arbeitgeber dürfen die Daten ehemaliger Mitarbeiter nur solange speichern, wie sie ein berechtigtes Interesse an dem Erhalt haben. Liegt dieses nicht vor, müssen die Daten gelöscht werden. Ein solches berechtigtes Interesse kann etwa vorliegen, wenn der Mitarbeiter noch eine Betriebsrente bekommt, einen Anspruch auch Vergütung für nicht genommenen Urlaub hat oder noch eine Vergütung für Überstunden bekommt.[12]
Grundsätzlich ist davon auszugehen, dass die Einwilligung des Arbeitnehmers in die Nutzung seiner personenbezogenen Daten durch den Arbeitgeber auf den Zeitraum des Beschäftigungsverhältnisses beschränkt ist.[13] Dies bedeutet, dass spätestens dann, wenn der Arbeitnehmer um die Löschung seiner Daten gebeten hat, von einer unzulässigen Bereithaltung ausgegangen werden muss.[14] Auch wenn der ehemalige Arbeitnehmer die Einwilligung nicht widerruft sollte der Arbeitgeber von sich aus tätig werden und öffentlich zugängliche Daten, wie etwa die Daten und das Foto aus dem Mitarbeiterprofil der Unternehmenshomepage entfernen. Weitere Rechtsverstöße sollten durch Entfernung der Mitarbeiterdaten aus dem Impressum der Homepage und von diversen Social-Media Plattformen vermieden werden.[15] In dieser Hinsicht treten verschiedene Überschneidungen mit dem „Compliance“-Bereich auf.
Einige Daten dürfen durch den ehemaligen Arbeitgeber nicht unmittelbar gelöscht werden. So sieht Art. 20 DSGVO nunmehr das Recht auf Datenübertragbarkeit vor. Dieses Recht gibt den Betroffenen die Möglichkeit ihre Daten zu einem anderen Arbeitgeber „mitzunehmen“.
Auch empfiehlt es sich, das E-Mail Konto des ehemaligen Mitarbeiters nicht unmittelbar zu löschen, wenn dieses auch privat genutzt werden durfte und der Mitarbeiter noch ein Interesse an der Sicherung seiner privaten Daten haben könnte.[16]
Die Arbeitgeber müssen weiterhin Aufbewahrungspflichten einhalten, wie z.B. Gehaltsunterlagen sechs bis zehn Jahre aufzubewahren oder Arbeitszeitdokumentationen sechs Jahre aufzubewahren.[17]
Fazit
Die vielschichtigen Aspekte von Datenverarbeitungen im Arbeitsrecht verhindern regelmäßig pauschal gültige Aussagen zu der datenschutzrechtlichen Zulässigkeit. Allerdings lassen sich mit eine Augenmerk auf die zuvor dargestellten Themen schwerwiegende Fehler vermeiden.
Checklisten können als Grundlage für einen automatisierten Prozess eine große Hilfe leisten. Wie stets gilt jedoch, dass es einer Prüfung im Einzelfall bedarf, sobald Besonderheiten auftreten.
[1] Eingehend dazu bereits Dr. Rauls/ Haberland, E-Recruiting und Headhunting im digitalen Zeitalter“, AuA 264 ff.
[2] Dannhäuser/Ulbricht, Praxishandbuch Social Media Recruiting, 3. Auflage, 2018, S. 344.
[3] ErfK/Franzen BDSG § 26 Rn. 21.
[4] Gola/Heckmann/Gola BDSG § 26 Rn. 16
[5] Reiserer/Christ/Heinz, DStR 2018, 1501 (1504).
[6] Reiserer/Christ/Heinz, DStR 2018, 1501 (1504).
[7] BT-Drs. 18/11325 v. 24.2.2017, 98; Gola/Heckmann/Gola BDSG § 26 Rn. 131, 132
[8] Fuhlrott, GWR 2019, 157(158).
[9] Faas/Henseler, BB 2018, 2292(2294).
[10] Faas/Henseler, BB 2018, 2292(2294).
[11] Faas/Henseler, BB 2018, 2292(2294).
[12] FAArbR Nathalie Oberthür, https://www.handwerk.com/dsgvo-und-kuendigung-wann-muessen-welche-daten-geloescht-werden.
[13] Fischer, in: NZA 2018, 8 ff.
[14] Fischer, in: NZA 2018, 8 ff.
[15] Fischer, in: NZA 2018, 8 ff.
[16] Fischer, in: NZA 2018, 8 ff.
[17] FAArbR Nathalie Oberthür, https://www.handwerk.com/dsgvo-und-kuendigung-wann-muessen-welche-daten-geloescht-werden.