Beschäftigtendatenschutz: Alle Fakten zu Datenschutz am Arbeitsplatz

Unternehmen müssen die Daten ihrer Beschäftigten schützen, doch konkrete Regeln dafür fehlen bislang. Aktuell finden sich die Regelungen zum Beschäftigtendatenschutz im Bundesdatenschutzgesetz (BDSG) und in der Datenschutzgrundverordnung (DSGVO) wieder, die jedoch teilweise die immer komplexer werdende Arbeitswelt und die technologischen Entwicklungen in Unternehmen nur schwer widerspiegeln können. Was bisher gilt und warum der Beschäftigtendatenschutz verbessert werden muss, fassen wir im Folgenden zusammen. 

Was versteht man unter Beschäftigtendatenschutz?

Mit dem Begriff Beschäftigtendatenschutz – man spricht auch von Arbeitnehmerdatenschutz, Mitarbeiterdatenschutz oder Betriebsdatenschutz – verbindet man vorwiegend den Schutz des allgemeinen Persönlichkeitsrechts und speziell das Recht auf informationelle Selbstbestimmung von Beschäftigten im Rahmen eines Arbeitsverhältnisses.

Erste Ansätze zu einem geregelten Datenschutz in Unternehmen bzw. Arbeitnehmerdatenschutz gab es bereits Mitte der 1980er Jahre. Zwischenzeitlich musste der Mitarbeiterdatenschutz immer wieder den neuen technischen Möglichkeiten angepasst werden und ist nun überwiegend im BDSG geregelt. 

Das Thema Datenschutz ist insbesondere im Hinblick auf die neue Mobilität im Arbeitsleben und den Schutz betrieblicher Daten hochaktuell – das gilt nicht nur für Unternehmen, die sehr häufig mit vielen Arbeitnehmern:innen zu tun haben, wie es etwa bei Personalberatungen der Fall ist, sondern für alle Arbeitgeber in Deutschland.

Gibt es in Deutschland ein Gesetz für den Beschäftigtendatenschutz? 

Ein eigenes Gesetz für den Beschäftigtendatenschutz existiert in Deutschland bisher nicht. Allerdings gab es in den letzten Jahren immer wieder Bemühungen, den Umgang mit personenbezogenen Daten im Arbeitsleben in einem speziellen Gesetz zu regeln. Anfang 2023 wurde das Thema wieder aktuell:

• Zum einen hatte der Europäische Gerichtshof Ende März 2023 (Az. C-34/21) festgestellt, dass die Regelungen für den Beschäftigtendatenschutz hierzulande teilweise nicht konkret genug sind. 
• Zum anderen gibt es immer wieder Streit, wenn es um den Datenschutz am Arbeitsplatz geht. So hatte das Verwaltungsgericht Hannover im Februar 2023 (Az. 10 A 6199/20) entschieden, dass der E-Commerce-Konzern Amazon seine Beschäftigten in Logistikzentren per Handscanner überwachen darf, da dieses Vorgehen datenschutzrechtlich im überwiegenden berechtigten Interesse von Amazon liegt.

Unter anderem deshalb erarbeitet die Regierung derzeit einen Entwurf für ein spezielles Datenschutzgesetz für Beschäftigte.

Welche Grundsätze gelten bisher im Arbeitnehmerdatenschutz?

Arbeitnehmerdatenschutz lässt sich prinzipiell in drei Bereiche aufteilen, die sich teilweise überlappen. Die folgenden drei Punkte gehören dabei zu den fehleranfälligsten:

• Erstens geht es um die rechtlichen Grundlagen für die Verarbeitung personenbezogener Daten der Arbeitnehmer:innen durch den Arbeitgeber.
• Zweitens beschäftigen sich Gerichte, Behörden und Rechtsexperten:innen immer wieder mit dem Thema Datenschutz im Zusammenhang mit Überwachungs- und Kontrollmaßnahmen, die Arbeitgeber gegenüber ihren Beschäftigten ausüben, um betriebliche Belange zu schützen.
• Drittens berührt der Arbeitnehmerdatenschutz auch den betrieblichen Datenschutz nach außen, bei dem es vor allem um die Wahrung betrieblicher Geheimnisse geht.

Typische Stichworte beim Thema Kontrollen am Arbeitsplatz sind etwa Telefonnutzung, E-Mail-Verkehr, Internetzugang, Videoüberwachung und die Nutzung geschäftlicher Geräte im privaten Bereich – diese Themen werden wir gegen Ende des Artikels beleuchten.

Dreh- und Angelpunkt im Arbeitnehmerdatenschutz sowohl für den Umgang mit personenbezogenen Daten als auch für entsprechende Kontrollmaßnahmen ist stets eine entsprechende Rechtsgrundlage, die Arbeitgebern die Verarbeitung der personenbezogenen Daten von Beschäftigten erlaubt. 

Gerade, wenn es um Überwachungs- und Kontrollmaßnahmen geht, fehlen solche klaren Rechtsgrundlagen oder Vereinbarungen jedoch häufig. Das führt oft zu ernsthaften Konflikten im Arbeitsverhältnis und zu arbeitsgerichtlichen Auseinandersetzungen oder datenschutzrechtlichen Bußgeldverfahren.

Regelungen zum Arbeitnehmerdatenschutz nach DSGVO und Bundesdatenschutzgesetz

Das BDSG greift in § 26 BDSG den Grundsatz des § 32 BDSG (alt) auf, nach dem die Verarbeitung von personenbezogenen Beschäftigungsdaten unter bestimmten Voraussetzungen erlaubt ist. Insbesondere dürfen personenbezogene Beschäftigungsdaten erhoben und verarbeitet werden, wenn dies 

• zur Erfüllung gesetzlicher Pflichten, 
• in einem Bewerbungsverfahren für einen Arbeitsplatz oder 
• für die Durchführung, beziehungsweise die Beendigung des Arbeitsverhältnisses 

notwendig ist.

Das BDSG schafft Klarheit über die Rechtsgrundlagen für die Datenverarbeitung personenbezogener Arbeitnehmerdaten, weil auch explizit Tarifverträge, Betriebs- oder Dienstvereinbarungen gültige Rechtsgrundlagen für die Datenverarbeitung sein können. Dabei ist bei allen Vereinbarungen und Verträgen das Spannungsverhältnis zwischen den Grundrechten und Persönlichkeitsrechten von Arbeitnehmenden gegenüber den entsprechenden Interessen des Arbeitgebers zu beachten.

Das BDSG beinhaltet ein Schriftformerfordernis für die Einwilligungserklärung von Arbeitnehmern:innen zur Verarbeitung ihrer personenbezogenen Daten, um dem Machtgefälle zwischen Arbeitgeber und Arbeitnehmenden Rechnung zu tragen. Damit geht es sogar teilweise über die Anforderungen der DSGVO hinaus. Wie alle Betroffenen profitieren Angestellte von zusätzlichen Informationspflichten des datenverarbeitenden Arbeitgebers im Hinblick auf Art. 13 und Art. 14 DSGVO sowie vom Auskunftsrecht aus Art. 15 DSGVO.

Was regelt der Beschäftigtendatenschutz?

Der Beschäftigtendatenschutz fasst wichtige Regelungen zusammen, die sich auf personenbezogene Arbeitnehmerdaten und deren Verarbeitung und Speicherung beziehen. Allerdings existiert kein konkretes Beschäftigtendatenschutzgesetz. Die Regelungen finden sich stattdessen im BDSG und der DSGVO. 

Arbeitnehmerdaten dürfen nur unter folgenden Gesichtspunkten erhoben werden:

• Es gibt eine konkrete gesetzliche Rechtsgrundlage.
• Es ist eine Zweckbindung gegeben.
• Es werden Betroffenenrechte wie Recht auf Löschung, Auskunft, Berichtigung und Widerruf gewährleistet.
• Auch besondere personenbezogene Daten dürfen grundsätzlich nach einer Einwilligung der Arbeitnehmer:innen verarbeitet und gespeichert werden. 

Für Ihren Arbeitnehmerdatenschutz: Muster zur Datenschutzinformation

Wenn Sie Ihre Arbeitnehmer:innen bestmöglich informieren und die datenschutzrechtlichen Anforderungen einhalten wollen, sollten Sie Ihrer Belegschaft eine Information zum Datenschutz aushändigen.  Nutzen Sie unsere kostenlose Mustervorlage zur Datenschutzinformation für Mitarbeiter. Wenige Anpassungen genügen und das Muster ist einsatzbereit.

Warum braucht Deutschland ein Beschäftigtendatenschutzgesetz?

Das Fehlen eines speziellen Gesetzes für den Beschäftigtendatenschutz bringt in der Praxis mehrere Probleme mit sich. Besonders kritische Problemfelder sind Telefonnutzung, E-Mail-Verkehr und Videoüberwachung. Was diese Themen betrifft, ändern die DSGVO und das BDSG hier zunächst einmal nichts, was der Fall Amazon noch einmal unterstrichen hat. 

Im Folgenden beleuchten wir den Status quo und gehen anschließend darauf ein, welche Lösungen im Arbeitnehmerdatenschutz der neue Gesetzesentwurf vorsieht.

Telefonnutzung im Arbeitsverhältnis

Die private Nutzung des Telefons durch die Beschäftigten führt im Zusammenhang mit dem Datenschutz immer wieder zu Auseinandersetzungen zwischen Arbeitgebern und Angestellten. 

Das Problem: Bei der privaten Nutzung geschäftlicher Telefone ist das sogenannte Fernmeldegeheimnis aus Art. 10 Abs. 1 Grundgesetz (GG) betroffen. Insoweit werden auch private Telefongespräche am Arbeitsplatz vollumfänglich vom Fernmeldegeheimnis gedeckt. Ein Arbeitgeber darf sich folglich prinzipiell keine Informationen über den Inhalt privater Telefongespräche am Arbeitsplatz und die näheren Umstände solcher Gespräche verschaffen. Das umfasst auch die Identität der Personen, die am Telefongespräch beteiligt sind.

Kompliziert wird die Angelegenheit deshalb, weil der Arbeitgeber zumindest stichprobenartig überwachen darf, was ein:e Arbeitnehmer:in dienstlich am geschäftlich genutzten Telefon macht – insbesondere im Rahmen der Kostenüberwachung. Außerdem dürfen Arbeitgeber die private Telefonnutzung grundsätzlich im Unternehmen untersagen.

Empfehlung: Da die Grenzen einer zulässigen Kontrolle im Telefonbereich schnell erreicht sind und Arbeitgeber deshalb mit Schadenersatzklagen oder sogar Strafanzeigen durch Arbeitnehmer:innen rechnen müssen, empfiehlt sich eine sorgfältige Ausarbeitung entsprechender Vereinbarungen, Richtlinien und Weisungen unter Einbeziehung des betrieblichen Datenschutzbeauftragten. Keinesfalls ohne Weiteres zulässig ist eine Telefonüberwachung zum Zwecke der Leistungsüberprüfung durch den Arbeitgeber.

Arbeitnehmerdatenschutz und Mitarbeiterkontrolle

Besonders heikel ist aus datenschutzrechtlicher Sicht das Thema Videoüberwachung. 

Das Problem: Hier trifft der teilweise berechtigte Kontrollanspruch des Arbeitgebers insbesondere zur Vermeidung von Vermögensdelikten auf das allgemeine Persönlichkeitsrecht der Arbeitnehmer:innen aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG. Aufgrund dieses Spannungsverhältnisses ist die Einführung entsprechender Videokontrollmaßnahmen nur in engen Grenzen rechtlich zulässig.

Die entsprechende Begrenzung gilt auch deshalb, weil einseitige Arbeitgebermaßnahmen hier zusätzlich das Mitbestimmungsrecht des Betriebsrates nach § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz verletzen können.

Daraus folgt, dass Videoüberwachungsmaßnahmen entweder einvernehmlich im Arbeitsvertrag geregelt werden oder aber durch eine Betriebsvereinbarung, respektiv auf Basis eines Tarifvertrages, zugelassen werden müssen. Auch dann bestehen allerdings Grenzen, die einer Verhältnismäßigkeitsprüfung standhalten müssen.

Empfehlung: Da eine andauernde Videoüberwachung, die verdachtsunabhängig durchgeführt wird, einen besonders intensiven Eingriff in das allgemeine Persönlichkeitsrecht der einzelnen Arbeitnehmer:innen darstellt, wird eine solche Maßnahme entsprechend kritisch gesehen. Auch hier sind die Grenzen zwischen zulässigen und nicht mehr zulässigen Maßnahmen fließend, sodass bei entsprechenden Regelungen im Unternehmen immer ein:e Datenschutzbeauftragte:r einbezogen werden sollte.

Überwachung des E-Mail-Verkehrs und der Internetnutzung

Bei der privaten Nutzung des geschäftlichen E-Mail-Accounts muss ebenfalls für eine eindeutige und klare Vereinbarung, beziehungsweise Weisung durch den Arbeitgeber gesorgt werden. 

Unternehmen können die private Nutzung des geschäftlichen Internetzuganges und der geschäftlichen E-Mail-Funktion grundsätzlich untersagen. Unter dieser Voraussetzung sind stichprobenartige Kontrollen möglich. Jedenfalls dann, wenn konkrete Verdachtsmomente auf Verstöße bestehen. Jedoch muss auch an dieser Stelle erneut darauf hingewiesen werden, dass solche Maßnahmen schnell rechtliche Grenzen überschreiten und unverhältnismäßig sein können.

Arbeitnehmerdatenschutz: Private Nutzung betrieblicher Geräte

Neben dem Bring Your Own Device-Ansatz gibt es auch den umgekehrten Trend, Arbeitshardware privat nutzen zu dürfen. 

Das Problem: Bei der Privatnutzung betrieblicher Geräte wie Smartphones und Tablets können sich datenschutzrechtliche Probleme aus verschiedenen Richtungen ergeben. 

• Zum einen geht es darum, ob Arbeitgeber die private Nutzung grundsätzlich erlauben oder untersagen und um die Zulässigkeit entsprechender Kontrollmaßnahmen.
• Auf der anderen Seite kann die private Nutzung von betrieblichen Geräten durch Arbeitnehmer:innen erhebliche Datenschutzlücken nach außen öffnen, die betriebliche Interna und Betriebsgeheimnisse gefährden können. Gerade die zunehmende Mobilität im Arbeitsleben, mit der Nutzung entsprechender Geräte von verschiedenen Orten, erfordert vielfach gesteigerte Sicherheitsmaßnahmen beim Zugriff auf betriebliche Daten. 

Empfehlung: Unternehmen sollten ein spezielles betriebliches Datenschutzmanagement (z. B. in Form verschlüsselter Daten) und technisches Zugangsmanagement in Bezug auf die Nutzung betrieblicher Geräte aufbauen.

Was plant die Regierung für den Beschäftigtendatenschutz?

Unternehmen stehen datenschutzrechtlich vor großen Herausforderungen. Der Hype um ChatGPT oder die geplanten Regelungen für die Erfassung der Arbeitszeit werfen neue Fragen rund um den Beschäftigtendatenschutz auf. Datenschützer:innen begrüßen deshalb das Vorstoßen der Politik mit einem Entwurf für ein Beschäftigtendatenschutzgesetz.

Geplant sind unter anderem strengere Regeln für die offene Videoüberwachung oder die Ortung von Beschäftigten. Hierfür soll es klare Rahmenbedingungen geben, die unter anderem sicherstellen, dass Arbeitgeber beobachtungsfreie Orte und Zeiten vorsehen. Zudem soll die Freiwilligkeit der Einwilligung von Beschäftigten in die Überwachung oder Verarbeitung von Daten durch den Arbeitgeber konkreter gefasst werden. 

Der Entwurf sieht darüber hinaus genaue Regelungen dafür vor, welche Fragen und Tests im Bewerbungsgespräch erlaubt sind. Offen ist dagegen noch, wie private Daten bei der dienstlichen Nutzung privater Handys und Laptops geschützt werden sollen.

Mitarbeiterdaten managen mittels Software

Beim Arbeitnehmerdatenschutz geht es nicht nur um die Rechte der Arbeitnehmer:innen im Hinblick auf ihre personenbezogenen Daten, sondern auch um die Sicherheit von betrieblichen Daten. Arbeitnehmerdatenschutz gehört deshalb ganz oben auf die Agenda Datenschutzmanagement, gerade da es bei vielen Fragen keine 100% konkreten gesetzlichen Vorschriften gibt. 

Beratung vereinbaren und auf Nummer sicher gehen

Wir beraten Sie gern zu entsprechenden technischen und rechtlichen Möglichkeiten, um den Arbeitnehmerdatenschutz in Ihrem Sinne zu gestalten.

Jetzt Beraten lassen

Schon gewusst? Unternehmen können die Daten ihrer Mitarbeitenden mittels Software nach den Vorgaben des BSDG und der DSGVO managen. Eine Datenschutzsoftware wie Proliance 360 hilft bei der digitalen Verwaltung von Mitarbeiterdaten: In einem digitalen Assessment werden sämtliche Verarbeitungstätigkeiten im Unternehmen, die sich auf Mitarbeiterdaten beziehen, abgefragt und geprüft. Daraufhin werden sowohl Handlungsempfehlungen abgeleitet als auch Hilfestellungen gegeben für den korrekten Umgang mit Mitarbeiterdaten im Unternehmen. Das ist vor allem für HR-Teams interessant, weil sie so mittels Software mit sämtlichen Mitarbeiterdaten datenschutzkonform verfahren können.

Fazit zum Beschäftigtendatenschutz

Es kommt Bewegung in den Beschäftigtendatenschutz. Die rechtlichen Grundlagen sollen erweitert und verbessert und an die Realität der Arbeitswelt angepasst werden. Fest steht bisher: Überwachungsmöglichkeiten werden künftig stärker reglementiert und die Daten von Angestellten besser geschützt. Mit einem Datenschutzbeauftragten an Ihrer Seite sind Sie auf alle Veränderungen vorbereitet und gehen auch in Zukunft sicher mit den Daten Ihres Teams um.

FAQ zum Beschäftigtendatenschutz

Wie können Daten von Arbeitnehmer:innen erhoben werden? 

Wenn Arbeitgeber Daten von ihren Angestellten erheben wollen, müssen sie dabei die Grundsätze der DSGVO und verschiedene andere Gesetze berücksichtigen. Ein spezielles Gesetz, welches die Regelungen zum Beschäftigtendatenschutz zusammenführt, fehlt jedoch aktuell. Der Gesetzgeber hat deshalb einen Entwurf für ein Beschäftigtendatenschutzgesetz vorgelegt, der Klarheit bringen soll.

Welche Daten dürfen vom Arbeitgeber nicht ohne weiteres erhoben werden? 

Das BDSG und die DSGVO definieren keine Arbeitnehmerrechte im Einzelnen. Die Rechte ergeben sich aus den Pflichten und Vorgaben für die Arbeitgeber:innen, welche aus Gesetzen wie der DSGVO, dem BDSG, dem Telekommunikationsgesetz, Betriebsverfassungsgesetz und vielen weiteren hervorgehen.

Für Mitarbeiterdaten gelten grundsätzlich dieselben Bestimmungen wie für andere personenbezogene Daten. Im Folgenden haben wir die wichtigsten Punkte im Bereich Datenschutz am Arbeitsplatz aufgelistet:

• Das Recht auf informationelle Selbstbestimmung gilt auch am Arbeitsplatz. Arbeitgeber dürfen personenbezogene Daten nur dann verarbeiten, wenn Rechtsvorschriften die Verarbeitung erlauben (z. B. zur Aufnahme, Durchführung und Beendigung eines Beschäftigungsverhältnisses) oder soweit Beschäftigte in die Verarbeitung einwilligen.
• Arbeitnehmer:innen besitzen ein allgemeines Recht auf Auskunft. Über die personenbezogenen Daten, die Arbeitgeber von ihren Beschäftigten verarbeiten, dürfen die Betroffenen jederzeit Auskunft verlangen.
• Falls falsche oder veraltete Daten von Beschäftigten gespeichert sind, haben diese das Recht auf Berichtigung: Sie dürfen diese Daten berichtigen lassen oder einen Antrag auf Löschung dieser falschen oder veralteten personenbezogenen Daten stellen.Falls Angestellte aufgrund einer Erkrankung vorübergehend arbeitsunfähig sind, dürfen Unternehmen keine Informationen über die genauen Gründe der Arbeitsunfähigkeit verlangen.