GSB 7.1 Standardlösung

Navigation und Service

FAQ Beschäftigtendatenschutz

Im Zentrum des Beschäftigtendatenschutzes steht der Schutz der Privatsphäre der Beschäftigten. Dieser Schutz muss jedoch stets mit dem Informationsinteresse des Arbeitgebers abgewogen werden.

es ist ein Laptop mit einem schwebenden virtuellen Schlosssymbol abgebildet
Quelle: Getty Images International

Beschäftigte im Sinne von § 26 Abs. 8 BDSG sind unter anderem Arbeitnehmerinnen und Arbeitnehmer sowie Beamtinnen und Beamte des Bundes. Für diese Gruppen von Beschäftigten gelten verschiedene rechtliche Vorschriften, die generell einerseits mit Arbeitsrecht und andererseits mit Dienstrecht bezeichnet werden.

Hier finden Sie Informationen und häufig gestellte Fragen zu Ihren Rechten im Beschäftigungsverhältnis oder Bewerbungsverfahren.

Für welche Beschäftigten ist der BfDI zuständig?

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist für die Datenschutzaufsicht der öffentlichen Stellen des Bundes zuständig, also auch für den Beschäftigtendatenschutz in diesen Stellen. Als Beschäftigte gelten sowohl die Tarifbeschäftigten als auch die Bundesbeamten.

Somit ist der BfDI auch für die noch verbliebenen Bundesbeamtinnen und -beamten bei der Deutschen Telekom, der Deutschen Post, der Postbank sowie der Deutschen Bahn zuständig. Auch eine Reihe bundesunmittelbarer Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts unterliegen der Datenschutzkontrolle durch den BfDI, wie z. B. Berufsgenossenschaften oder wissenschaftliche Forschungseinrichtungen.

Ebenso beaufsichtigt der BfDI privatwirtschaftliche Firmen, welche sich im Besitz des Bundes befinden. Dazu gehören beispielsweise die Bundeswehr Fuhrpark Service GmbH, die Bundesrepublik Deutschland - Finanzagentur GmbH und viele andere mehr.

Für den Beschäftigtendatenschutz in den meisten privaten Unternehmen und Betrieben sowie der Landes- und Kommunalverwaltung sind die Landesdatenschutzbeauftragten zuständig.

Wie ist die Rechtslage für den Beschäftigtendatenschutz?

Ein Beschäftigtendatenschutzgesetz gibt es nicht. Derzeit tagt ein Beirat, dem auch der BfDI angehört, um den Bedarf und den Spielraum für ein solches Gesetz zu erörtern.

Grundsätzlich findet deshalb die Datenschutz-Grundverordnung (DSGVO) Anwendung. Sie ermöglicht es den Mitgliedstaaten, spezifische Vorschriften für den Beschäftigtendatenschutz zu erlassen. Die maßgebliche – aber nicht ausschließliche – Norm, die vom deutschen Gesetzgeber erlassen wurde, ist § 26 BDSG.

Danach dürfen die Daten verarbeitet werden, die für die Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlich sind. Dabei sind Gesetze, Tarifverträge oder Betriebs- oder Dienstvereinbarungen maßgebliche Rechtsgrundlagen (§ 26 Abs. 1 BDSG). Liegen diese nicht vor, kann die Verarbeitung personenbezogener Daten auch aufgrund einer Einwilligung erfolgen. Diese muss aber freiwillig sein. An die Freiwilligkeit in einem Beschäftigungsverhältnis, in dem die beschäftigte Person in einem Abhängigkeitsverhältnis steht, werden dabei besondere Anforderungen gestellt (§ 26 Abs. 2 BDSG).

Kann eine Einwilligung im Beschäftigungsverhältnis erteilt werden?

Nach § 26 Abs. 2 BDSG kann die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis auch auf der Grundlage einer Einwilligung erfolgen. Zwingende Voraussetzung ist hier, dass die Einwilligung tatsächlich freiwillig abgegeben wird. Ob diese tatsächliche Freiwilligkeit vorliegt, muss nach den Umständen des Einzelfalles beurteilt werden. Dabei ist die grundsätzlich bestehenden Abhängigkeit im Beschäftigungsverhältnis der oder des Beschäftigten vom Arbeitgeber zu berücksichtigen. Wenn eine beschäftigte Person z. B. im Rahmen einer Teilnahme an einer Veranstaltung ihres Arbeitgebers eine Videoaufzeichnung von sich ablehnen sollte, dürfen für sie daraus keine Nachteile entstehen und ihre Teilnahme an der Veranstaltung muss weiterhin möglich sein. Für die Freiwilligkeit spricht auch ein rechtlicher oder wirtschaftlicher Vorteil, den die oder der Beschäftigte durch die Einwilligungserklärung erlangt, z. B. bei der Einführung eines betrieblichen Gesundheitssystems oder der Erlaubnis zur privaten Nutzung von betrieblichen IT-Systemen.

Die Einwilligung muss zudem schriftlich oder elektronisch abgegeben werden, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Der Arbeitgeber ist verpflichtet, über den Zweck der Datenverarbeitung und den jederzeit möglichen Widerruf der Einwilligung zu informieren.

Was ist beim Umgang mit Bewerbungsunterlagen zu beachten?

Bewerbungen gehören zur Anbahnung eines Beschäftigungsverhältnisses. Bewerberinnen und Bewerber gelten gemäß § 26 Abs. 8 Satz 2 BDSG als Beschäftigte. Kommt nach einer Bewerbung ein Beschäftigungsverhältnis zustande, werden die erforderlichen Bewerbungsunterlagen zur Personalakte genommen.

Bewerbung per E-Mail oder online

Bewerbungen werden sowohl konventionell per Post als auch per E-Mail beziehungsweise auf elektronischen Wegen verschickt.

Bei einem Versand per E-Mail ist zu beachten, dass die Datenübertragung oftmals nicht geschützt ist und deshalb eine Verschlüsselung erfolgen sollte. Falls eine Bewerbung per E-Mail möglich ist, muss der Arbeitgeber eine gleichrangige, z.B. eine postalische Bewerbung, zulassen. Die Möglichkeit, sich nur per E-Mail bewerben zu können, reicht damit nicht aus.

Bietet der Arbeitgeber Bewerbungen über Internetplattformen mit Online-Eingabemasken an, muss die Verarbeitung durch geeignete technische und organisatorische Maßnahmen geschützt werden.

Bewerberinterview per Videoübertragung

Bei Live-Interviews ist zu beachten, dass je nach eingesetzter Technik die Chat-Protokolle auf den Servern des Anbieters zwischengespeichert werden. Es ist die freiwillige Einwilligung nicht nur der Bewerberinnen und Bewerbern, sondern auch der behördlichen Gesprächspartner erforderlich. Für die Bewerberinnen und Bewerber ist die Einwilligung nur dann freiwillig, wenn ihnen auch ein persönliches Gespräch oder ein Telefongespräch als Alternative angeboten werden.

Bei zeitversetzten Interviews werden die Antworten auf eingeblendete Fragen aufgezeichnet und später ausgewertet. Diese Art des Interviews ermöglicht auch die Auswertung non-verbalen Verhaltens oder den Einsatz von Sprachanalyseverfahren. Bei diesen Methoden stellt sich datenschutzrechtlich die Frage der Erforderlichkeit und damit der Verhältnismäßigkeit.

Datenschutzrechtlich zulässige Fragen im Bewerbungsverfahren

Im Bewerbungsverfahren dürfen Bewerberinnen und Bewerbern nur solche Fragen gestellt werden, die für den jeweiligen konkreten Arbeitsplatz von Bedeutung sind.

Soweit dabei der Gesundheitszustand angesprochen wird, muss sich der Arbeitgeber auf Fragen nach wesentlichen Beeinträchtigungen der Leistungsfähigkeit beschränken. Die Fragen sind nur zulässig, wenn die Beantwortung für die Begründung des Beschäftigungsverhältnisses erforderlich ist.

Schwangerschaft

Die Frage nach einer vorliegenden Schwangerschaft ist unzulässig. Dies ergibt sich gesetzlich bereits aus § 7 Absatz 1 in Verbindung mit § 1 Allgemeines Gleichbehandlungsgesetz (AGG). Aus datenschutzrechtlicher Sicht fehlt somit immer die erforderliche Erhebungsbefugnis.

Bestehende Behinderung

Die Frage nach einer bestehenden Behinderung ist ausschließlich dann zulässig, wenn die konkret auszuübende Tätigkeit durch eine Behinderung unmöglich wäre. Der Arbeitgeber darf im Bewerbungsverfahren auch nicht danach fragen, ob die Eigenschaft als schwerbehinderter Mensch festgestellt worden ist. Diese Frage hätte diskriminierenden Charakter.

Einsatz von Künstlicher Intelligenz (KI)

Der Einsatz von Künstlicher Intelligenz (KI) bzw. Automated Decision Making (ADM) im Bewerbungsverfahren ist aus Sicht des Datenschutzes kritisch zu bewerten. So ist beim Einsatz solcher Systeme die Erforderlichkeit fraglich. Darüber hinaus sind die Systeme den Bewerberinnen und Bewerbern gegenüber transparent auszugestalten. Ebenso zu beachten ist das Recht auf eine nicht-automatisierte Entscheidung im Sinne des Art. 22 Abs. 1 DSGVO. Das System darf also keine vollautomatischen und autonomen Letztentscheidungen treffen.

Rückgabe bzw. Löschung der Bewerbungsunterlagen

Nach einer erfolglosen Bewerbung müssen Bewerbungsunterlagen grundsätzlich gelöscht beziehungsweise an die Bewerberin oder den Bewerber zurückgegeben werden. Der Arbeitgeber darf die Unterlagen und eine Dokumentation über das Bewerbungsverfahren jedoch für einen gewissen Zeitraum aufbewahren, um sich gegen einen etwaigen Verstoß gegen das Benachteiligungsverbot nach dem AGG verteidigen zu können. Das AGG verbietet Diskriminierungen wegen bestimmter persönlicher Merkmale. Dieser Schutz vor Diskriminierungen erstreckt sich auf das gesamte Arbeitsleben und damit auch auf das Bewerbungsverfahren. Nach dem AGG müssen Schadensersatz- oder Entschädigungsansprüche innerhalb einer Zweimonatsfrist geltend gemacht werden. Unter Berücksichtigung von Verzögerungen wird eine Aufbewahrung der Bewerbungsunterlagen für maximal sechs Monate für zulässig erachtet.

Die Bewerbungsunterlagen sind deshalb bei einer erfolglosen Bewerbung nach sechs Monaten ab Rücknahme der Bewerbung oder ab Zugang der Ablehnung an die Bewerberin oder den Bewerber zurückzugeben oder aber zu vernichten.

Für einige Behörden bzw. Laufbahnen wie z.B. die Piloten - oder Kriminalkommissarausbildung gelten bestimmte Zugangsvoraussetzungen, u.a. maximal zwei zulässige Bewerbungen. In diesen Fällen dürfen sogenannte Kopf- oder Rumpfdaten solange aufbewahrt werden, bis z.B. aus Altersgründen eine Bewerbung nicht mehr zulässig ist, um Wiederbewerbungen erkennen zu können.

Umgang mit Bewerbungsdaten in besonderen Fällen

Das Institut für Luft- und Raumfahrtmedizin des Deutschen Luft- und Raumfahrtzentrums (DLR) in Hamburg führt für verschiedene Arbeitgeber aus dem Bereich Luftfahrt psychologische Auswahluntersuchungen durch.

Sogenannte Kopfdaten (Name, Geburtsdatum, Untersuchungsdatum, Untersuchungsanlass und Gesamtergebnis) von Bewerberinnen und Bewerbern speichert das DLR bis zum Erreichen des Renteneintrittsalters. Dies ist datenschutzrechtlich zulässig, da die Kopfdaten auch nach dem Auswahlverfahren benötigt werden, um erneute Bewerbungen erkennen und Auswahluntersuchungen sodann auf etwaige Trainingseffekte kontrollieren zu können. Das DLR schützt hiermit das Interesse der gesamten Bevölkerung an der Luftverkehrssicherheit und damit an einem hohen Ausbildungsstand von beispielsweise Luftfahrzeugführenden und Flugsicherungspersonal. Das Recht auf informationelle Selbstbestimmung der Bewerberinnen und Bewerber muss hinter diesem allgemeinen Interesse zurückstehen.

Das Institut für Luft- und Raumfahrtmedizin des DLR erteilt auch keine umfassenden schriftlichen Auskünfte zu den Testergebnissen. Die Nichtherausgabe der Testergebnisse schützt das öffentliche Interesse an einem hohen Ausbildungsstand für Berufe in der Luftfahrt und der Flugsicherung und damit die Luftverkehrssicherheit. Denn mit der Herausgabe der Testergebnisse geht eine Offenbarung des Testverfahrens einher, sodass Testergebnisse durch eine gezielte Vorbereitung verfälscht und damit zu einer Gefahr für die Sicherheit des Luftverkehres werden. Ziel des Testverfahrens ist es nämlich auch, das Verhalten der Bewerberinnen und Bewerber in unvorhergesehenen Situationen zu beurteilen. Dieses Ziel könnte bei Bekanntwerden der Testverfahren nicht mehr erreicht werden. Dementsprechend müssen Bewerberinnen und Bewerber, die sich der flugpsychologischen Untersuchung für Luftfahrzeugführende oder Flugsicherungspersonal unterziehen, Vertraulichkeitsvereinbarungen mit dem DLR unterzeichnen, in denen sie sich zur Geheimhaltung aller Informationen über das Testverfahren verpflichten. Der Geheimhaltungszweck überwiegt damit das Interesse der Bewerberinnen und Bewerber an einer schriftlichen Auskunft über die Testergebnisse. Das DLR bietet Bewerberinnen und Bewerbern jedoch eine mündliche Erörterung der Einzeltestergebnisse an.

Das Auskunftsrecht der DSGVO gilt also nicht uneingeschränkt.

Darf Skype for Business eingesetzt werden?

Bei der Übermittlung personenbezogener Daten an ein Unternehmen in den USA bestehen aktuell grundsätzliche Bedenken hinsichtlich der Nutzung von Skype for Business. Dies insbesondere wegen des potenziellen Abflusses von Daten an den Mutterkonzern Microsoft sowie der damit verbundenen Verarbeitung an Orten außerhalb des Geltungsbereichs der DSGVO.

In Einzelfällen und unter Anwendung umfangreicher technisch-organisatorischer Maßnahmen kann die Nutzung von Skype for Business möglich sein. Hierzu zählen beispielsweise das Hosting von Skype for Business auf eigenen Servern ohne die Möglichkeit des Zugriffs von außerhalb des Netzwerkes und die Verhinderung des Abflusses von Daten an Microsoft. Die Verhinderung des Abflusses von Daten ist technisch-organisatorisch sicherzustellen und nachvollziehbar darzulegen.

Weitere Informationen zur Nutzung von Messenger- und Videokonferenzdiensten, darunter auch eine Orientierungshilfe der Datenschutzkonferenz(DSK), finden Sie hier.

Was ist beim Umgang mit Personalakten zu beachten?

Für die Beschäftigten im öffentlichen Dienst sind Personalakten zu führen. Zur Personalakte gehören alle Daten, welche die Beschäftigten betreffen, soweit sie mit dem Beschäftigungsverhältnis unmittelbar zusammenhängen (Personalaktendaten). Regelungen über den datenschutzgerechten Umgang mit Personalaktendaten finden sich vor allem in §§ 106 ff Bundesbeamtengesetz (BBG). Soweit in Tarifverträgen keine speziellen Vorschriften enthalten sind, werden die beamtenrechtlichen Regelungen auch für Tarifbeschäftigte angewendet. Für Soldatinnen und Soldaten gelten §§ 29 ff des Gesetzes über die Rechtsstellung der Soldaten (Soldatengesetz - SG). Die gesetzlichen Bestimmungen werden in Personalaktenrichtlinien z.B. des Bundesministeriums des Innern, für Bau und Heimat konkretisiert.

Zu den Personalaktendaten gehören auch die Daten, die in Dateien (z.B. in einem Personalinformationssystem ) gespeichert sind.

Grundsätze

Beim Umgang mit Personalakten sind insbesondere folgende Grundsätze zu beachten:

  • Die Personalakten müssen vollständig sein.
  • Für jeden Beschäftigten darf nur eine Personalakte geführt werden, die aus mehreren Teilakten bestehen kann. Inoffizielle Akten, wie sie häufig durch Vorgesetzte geführt werden, sind unzulässig!
  • Personalaktendaten dürfen nur für Zwecke der Personalverwaltung oder der Personalwirtschaft verwendet werden.
  • Die Personalakten sind so aufzubewahren, dass ein Zugang durch Unberechtigte ausgeschlossen wird.
  • Zugang zu Personalakten dürfen nur solche Beschäftigte haben, die im Rahmen der Personalverwaltung mit der Bearbeitung von Personalangelegenheiten befasst sind.
  • Beschäftigte haben einen Anspruch auf Einsicht in ihre vollständige Personalakte. Es dürfen Auszüge, Abschriften oder Ablichtungen gefertigt werden. Ausdrucke aus Personalinformationssystemen sind gleichfalls möglich. Das Einsichtsrecht ist Teil des umfassenderen Auskunftsrechts gemäß Art. DSGVO.
  • Personalakten dürfen nur mit Einwilligung der bzw. des Beschäftigten an andere Behörden übersandt werden. Ausnahmen hiervon sind gesetzlich geregelt (z.B. § 111 Abs. 1 BBG, § 29 Abs. 1 BDG).

Was ist beim Einsatz von Personalinformations- und Personalverwaltungssystemen zu beachten?

In der Personalverwaltung werden elektronische oder IT-gestützte Personalinformations-/ Personalverwaltungssysteme eingesetzt. In solchen Systemen ist eine Fülle von Informationen über die Beschäftigten hinterlegt. Je nach Einzelfall können oder müssen einige der Daten aufgrund entsprechender gesetzlicher Regelungen vom Arbeitgeber an andere Stellen – beispielsweise an Sozialversicherungsträger – weitergegeben werden.

Zugriffsberechtigungen

Die Zugriffsberechtigung für die in einem Personalinformations-/Personalverwaltungssystem gespeicherten personenbezogenen Daten ist streng reglementiert.

Grundsätzlich dürfen nur die mit der Bearbeitung von Personalangelegenheiten beauftragten Beschäftigten Zugriff nehmen und zwar nur, soweit dies zu Zwecken der Personalverwaltung oder Personalwirtschaft erforderlich ist.

Den Gleichstellungsbeauftragten hat der Gesetzgeber den Zugang zu entscheidungsrelevanten Teilen der Personalakte und damit auch auf die automatisiert gespeicherten Personalaktendaten eingeräumt. Dies gilt jedoch nur, soweit der Zugang zur Wahrnehmung von Aufgaben nach dem Bundesgleichstellungsgesetz erforderlich ist. Welche Personalaktendaten hiervon konkret betroffen sind, muss - gegebenenfalls im Einzelfall - nachvollziehbar dargelegt werden. Losgelöst vom jeweiligen Einzelvorgang kann es zur Aufgabenerfüllung der Gleichstellungsbeauftragten erforderlich sein, dieser einen eingeschränkten Lesezugriff auf den Stammdatensatz in einem Personalverwaltungs-/ Personalinformationssystem einzuräumen. Dies setzt jedoch eine konkrete Festlegung der einzelnen Datenfelder voraus und sollte auch entsprechend dokumentiert werden.

Für die Personalvertretung gibt es kein eigenes Recht auf Zugang zur Personalakte oder auf automatisiert gespeicherte Beschäftigtendaten. Nach Rechtsauffassung des BfDI können dem Personalrat jedoch ebenfalls bestimmte Grunddaten zur Verfügung gestellt werden, die dieser im Rahmen seines generellen Informationsanspruchs und zur sachgemäßen Aufgabenerfüllung, insbesondere zur Wahrnehmung seiner Beteiligungsrechte nach dem Bundespersonalvertretungsgesetz benötigt.

Löschfristen

Für Personalaktendaten gelten unterschiedliche Löschfristen. Sie ergeben sich aus den einschlägigen Rechtsvorschriften und sind insbesondere bei der Erstellung von Personalaktenrichtlinien und bei der Programmierung elektronischer Personalinformationssysteme zu berücksichtigen.

Was muss der Arbeitgeber im Umgang mit Gesundheitsdaten beachten?

Gesundheitsdaten gehören zu den Daten besonderer Kategorie gem. Art. 9 DSGVO. Ihre Verarbeitung ist nur unter bestimmten Bedingungen erlaubt. Im Zusammenhang mit einem Beschäftigungsverhältnis sind dies vor allem Fälle, in denen die Verarbeitung von Gesundheitsdaten zur Ausübung von Rechten und Pflichten, die aus einer Erkrankung bzw. auch aus einer Schwerbehinderung entstehen, erforderlich ist. Dies können Rechte und Pflichten sowohl der Beschäftigten als auch des Arbeitgebers sein.

Zu den Gesundheitsdaten gehören z.B. Gesundheitszeugnisse und ärztliche Stellungnahmen zur gesundheitlichen Eignung. Das Ergebnis wird in einem gesonderten und versiegelten Umschlag übersandt und versiegelt zur Personalakte genommen.

Krankheit und Krankmeldung

Die Erfassung einer Dienst- oder Arbeitsunfähigkeit wegen Krankheit hat verschiedene Aspekte.

Erforderlich und damit datenschutzrechtlich zulässig ist sie zur Erfüllung gesetzlicher Vorschriften, z.B. zur Errechnung der Dauer der Lohnfortzahlung oder zur Unterbreitung eines Angebots für eine Maßnahme des betrieblichen Eingliederungsmanagements (BEM). Diese Aufgaben obliegen dem Arbeitgeber, so dass ausschließlich die Personalverwaltung die Datenverarbeitung zu diesem Zweck vornehmen darf und muss.

Die ärztlichen Bescheinigungen über eine Arbeitsunfähigkeit wegen Erkrankung sollten grundsätzlich unmittelbar der Personalverwaltung zugeleitet werden. Dasselbe gilt für kurzzeitige Krankmeldungen ohne ärztliches Attest.

Dem stehen allerdings häufig die Interessen der vorgesetzten Person und ggf. des Teams entgegen, dem die erkrankte Person angehört. Die Abwesenheit muss z.B. durch Umverteilung der Arbeit auf anwesende Beschäftigte oder eine andere Prioritätensetzung aufgefangen werden. Insoweit hält der BfDI es datenschutzrechtlich für zulässig, wenn eine Mitteilung über die Abwesenheit an den Arbeitsbereich erfolgt, um dort die Aufgabenerledigung zu planen. Für die Einsatzplanung ist die Kenntnis über die Abwesenheit erforderlich. Die Angabe eines Abwesenheitsgrunds ist hingegen nicht erforderlich.

Wenn die krankheitsbedingte Abwesenheit in eine Abwesenheitsliste eingetragen werden soll, hält der BfDI es für zulässig und ausreichend, wenn z.B. ein Kürzel wie „p.a.“ = „persönlich abwesend“ in den Übersichten erfasst wird.

Die Übersichten sind zu löschen, wenn sie nicht mehr erforderlich sind. Hierbei betrachtet der BfDI grundsätzlich einen Zeitraum von einem Jahr nach Ablauf des Kalenderjahres, für das die Abwesenheiten notiert wurden, als angemessen.

Für unzulässig erachtet der BfDI außerdem Aufzeichnungen innerhalb der Arbeitseinheit, die einen Überblick über die Dauer der krankheitsbedingten Abwesenheit (auch wegen Mutterschutz) in der Vergangenheit erlauben.

Krankenstatistik

Auch für übergreifende statistische Auswertungen ist die Verarbeitung von Fehlzeiten wegen Krankheit durch die Personalverwaltung von Bedeutung. Aus datenschutzrechtlicher Sicht geht es – wie bei jeder Veröffentlichung von Beschäftigtendaten - darum, das Persönlichkeitsrecht der ein-zelnen Beschäftigten zu wahren. Für die Statistik bedeutet dies vor allem, dass weder einzelne Beschäftigte namentlich genannt werden, noch dass aufgrund besonderer Umstände oder wegen zu geringer Fallzahlen Rückschlüsse auf einzelne Personen möglich sind.

Was ist bei der Befreiung von der Maskenpflicht zu beachten?

Soweit in Dienststellen eine Pflicht zum Tragen einer Mund-Nase-Bedeckung (Maskenpflicht) eingeführt wurde, sind gleichzeitig Ausnahmen von dieser Pflicht möglich. Um von der Ausnahme Gebrauch machen zu können, wird regelmäßig ein ärztliches Attest verlangt. Fraglich ist, welche Angaben dieses Attest enthalten muss bzw. darf und wie mit den so verarbeiteten Daten seitens der Dienststelle umzugehen ist.

Zur Beantwortung dieser Frage ist zunächst zu prüfen, ob die Rechtsgrundlage für die Maskenpflicht und für die Ausnahmegenehmigung bereits eine Regelung trifft. Solche Regelungen finden sich häufig in Landesverordnungen oder auch in Hausanordnungen der Dienststelle. Wegen der Unterschiedlichkeit der Regelungen können an dieser Stelle nur allgemeine, von datenschutzrechtlichen Grundsätzen geleitete Hinweise gegeben werden.

Bei den Attesten zur Befreiung von einer Maskenpflicht liegt eine etwas andere Sach- und Rechtslage vor als bei Attesten zur Bescheinigung einer Arbeitsunfähigkeit. Denn die aktuellen Regelungen zur Maskenpflicht sollen die weitere Ausbreitung des Covid 19-Erregers verhindern. Die Gesundheit und körperliche Unversehrtheit aller Personen, die sich in einem Bürogebäude aufhalten, sollen durch die Maskenpflicht geschützt werden. Das geht deutlich über die Bescheinigung einer Arbeitsunfähigkeit hinaus, die „nur“ das Verhältnis zwischen Beschäftigten und Arbeitgeberin/Arbeitgeber betrifft.

Deshalb ist es auch gerechtfertigt, dass an das ärztliche Attest zur Befreiung von der Maskenpflicht höhere Anforderungen gestellt werden. Es muss die gesundheitlichen Beeinträchtigungen so konkret benennen, dass sich die Arbeitgeberin /der Arbeitgeber als sog. Verantwortlicher einen eigenen Eindruck von den Auswirkungen des Tragens einer Mund-Nase-Bedeckung auf die Gesundheit der/des Betroffenen machen kann. Dabei kann es erforderlich sein, relevante Symptome und Befundtatsachen von Vorerkrankungen oder derzeitigen Erkrankungen zu benennen.

Datenschutzrechtlich erscheinen die erhöhte Darlegungspflicht für die Gründe zur Befreiung von der Maskenpflicht und der damit verbundene tiefe Eingriff in das informationelle Selbstbestimmungsrecht gerechtfertigt.

Anders als bei der Bescheinigung über die Arbeitsunfähigkeit trifft nicht die Ärztin/der Arzt die Ent-scheidung über die Befreiung von der Maskenpflicht. Sie/er bescheinigt mit dem Attest das Vorliegen gesundheitlicher Beeinträchtigungen. Die Entscheidung, ob diese Beeinträchtigungen eine Befreiung von der Maskenpflicht rechtfertigen, trifft der sog. Verantwortliche, also der Dienstherr bzw. die Arbeitgeberin / der Arbeitgeber.

Wer innerhalb dieser verantwortlichen Stelle konkret zuständig ist, muss jeweils festgelegt werden. In Bundesdienststellen bieten sich hierfür die Personalverwaltung, vielleicht auch die Dienststellenleitung oder eine Betriebsärztin / ein Betriebsarzt an. Die Bearbeitung der Anträge auf Befreiung von der Maskenpflicht sollte auf einen kleinen Personenkreis beschränkt werden. Zum weiteren Umgang mit dem ärztlichen Attest ist § 113 Abs. 2 Satz 3 Bundesbeamtengesetz zu beachten. Danach sind Unterlagen, aus denen die Art einer Erkrankung ersichtlich ist, unverzüglich zurückzugeben oder zu vernichten, wenn sie für den Zweck, zu dem sie vorgelegt worden sind, nicht mehr benötigt werden.

Vorgänge (ohne das ärztliche Attest), die im Zusammenhang mit einer Befreiung von der Maskenpflicht entstehen, sollten so aufbewahrt werden, dass sie vernichtet bzw. gelöscht werden können, sobald die Maskenpflicht und damit auch die entsprechenden Befreiungen entfallen.

Wie ist mit der Eigenschaft als schwerbehinderter Mensch umzugehen?

Bei der Schwerbehinderteneigenschaft muss differenziert werden. Grundsätzlich muss die/der Beschäftigte ihre/seine Anerkennung als schwerbehinderter Mensch oder eine Gleichstellung nicht offenbaren.

Im Bewerbungsverfahren können die Betroffenen frei entscheiden, ob sie ihre Eigenschaft als schwerbehinderter Mensch angeben. Im Personalfragebogen ist die Beantwortung entsprechender Fragen ausdrücklich als freiwillig zu kennzeichnen. Zu beachten ist hier aber, dass eine Behinderung ggf. ungefragt anzugeben ist, wenn sie ihrer Art nach die Ausübung der angestrebten Tätigkeit beeinträchtigt.

Im Beschäftigungsverhältnis können die Betroffenen ebenfalls entscheiden, ob sie dem Arbeitgeber eine Anerkennung als schwerbehinderter Mensch offenbaren. Nachteilsausgleiche aufgrund der Schwerbehinderung wie z.B. der Zusatzurlaub können jedoch nur bei entsprechendem Nachweis gewährt werden.

In einem bestehenden Beschäftigungsverhältnis wird eine Frage des Arbeitgebers nach der Schwerbehinderteneigenschaft für zulässig erachtet, wenn die Zeit bis zum Erreichen des besonderen Kündigungsschutzes abgelaufen ist. Denn mit dem Schwerbehindertenstatus treten besondere Rechtsfolgen für das Arbeitsverhältnis ein.

Was ist bei der Weitergabe und Veröffentlichung von Beschäftigtendaten zu beachten?

Bei Veröffentlichungen in Hausmitteilungen oder im Intranet von Behörden müssen das Personalaktengeheimnis und der Beschäftigtendatenschutz beachtet werden.

Gegen eine Veröffentlichung von personenbezogenen Beschäftigtendaten bestehen keine Bedenken, soweit die Bekanntgabe zur Durchführung des Dienstbetriebes notwendig ist. Hierzu zählen sogenannte Organisations- und Funktionsangaben wie beispielsweise Name, Dienstzimmer, Funktionsbezeichnungen bzw. -übertragungen und Organisationseinheit.

Gehaltslisten

Listen über das Gehalt namentlich genannter Beschäftigter dürfen nicht veröffentlicht werden. Personalvertretungen haben jedoch im Rahmen ihrer Überwachungsaufgabe sowie nach dem Entgelttransparenzgesetz einen Informationsanspruch.

Prämienzahlungen

Eine personenbezogene Veröffentlichung von Entscheidungen im Rahmen der Leistungsbezahlung darf in Hausmitteilungen oder im Intranet nur mit Einwilligung der betroffenen Beschäftigten erfolgen.

Dürfen Beurteilungsnoten als Notenspiegel im Intranet veröffentlicht werden?

Beurteilungsnoten sind Personalaktendaten. Personalaktendaten unterliegen dem Personalaktengeheimnis und dürfen grundsätzlich nur für Zwecke der Personalverwaltung oder Personalwirtschaft verwendet werden. Eine Bekanntgabe von Beurteilungsnoten, die Rückschlüsse auf eine Beamtin oder einen Beamten zulassen, verstößt gegen das Personalaktengeheimnis. Deshalb lässt § 50 Abs. 4 Bundeslaufbahnverordnung (BLV) die Bekanntgabe der Beurteilungsnoten in Form eines Notenspiegels aufgeschlüsselt nach dem Anteil der Frauen, Männer, Teilzeit- und Telearbeitskräfte nur dann zu, wenn die Anonymität der Beurteilten gewahrt bleibt.

Geburtstagslisten/Altersangaben

Der Geburtstag oder das Alter mag zwar im Kollegenkreis oft genug bekannt sein. Das rechtfertigt jedoch nicht, das Personalaktendatum „Geburtstag“ durch den Arbeitgeber öffentlich zu machen. Im Zusammenhang mit Veröffentlichungen zu Jubiläen, Ehrungen und Auszeichnungen müssen die Betroffenen um ihre Einwilligung gebeten werden. Geburtstagslisten sollten auch nicht durch die Kolleginnen und Kollegen z.B. durch Aushang in allgemein genutzten Räumen veröffentlicht werden.

Fotos

Fotos mögen u.a. für die Ausstellung von Dienstausweisen, insoweit also für die Durchführung des Beschäftigungsverhältnisses, erforderlich sein. Dies trifft aber auf eine Veröffentlichung z.B. im Intranet einer Behörde nicht zu und ist deshalb nur mit Einwilligung der Betroffenen zulässig. Bei der Veröffentlichung von Fotos ist neben dem Datenschutz auch das im Kunsturheberrechtsgesetz verankerte „Recht am eigenen Bild“ zu beachten.

Private Adressen/Telefonnummern

Die Personalverwaltung darf die private Adresse oder – soweit bekannt – Telefonnummer einer/eines Beschäftigten nicht an Vorgesetzte oder Kolleginnen und Kollegen herausgeben. Wollen diese Glückwunschkarten oder Genesungsschreiben an eine abwesende Kollegin oder einen abwesenden Kollegen verschicken empfehle ich, das Schreiben der Personalverwaltung zu geben und sie zu bitten, es mit der Anschrift zu versehen und abzuschicken.

Ist Videoüberwachung am Arbeitsplatz zulässig?

Die Videoüberwachung von Beschäftigten durch den Arbeitgeber stellt einen schwerwiegenden Eingriff in das allgemeine Persönlichkeitsrecht dar. Eine anlasslose Videoüberwachung „ins Blaue hinein“ ist in aller Regel unzulässig. Grundsätzlich unzulässig ist auch eine Videoüberwachung im Sinne einer Leistungskontrolle der Beschäftigten.

Eine Videoüberwachung von Beschäftigten ist nur in streng begrenztem Rahmen zulässig. Entsprechend der Schwere des Eingriffs müssen einer Videoüberwachung erhebliche schutzwürdige Interessen des Arbeitgebers gegenüberstehen, z.B. wenn ein konkreter Verdacht einer strafbaren Handlung vorliegt.

Bei einer Videoüberwachung – beispielsweise zum Schutze der Beschäftigten oder zum Schutz von Gebäuden und Grundstücken – muss auf diese Überwachung sichtbar hingewiesen werden. Falls die Aufnahmen gespeichert werden, ist der Hinweis entsprechend zu ergänzen. Insofern gelten die allgemeinen Transparenz- und Informationspflichten der DSGVO.

Rechtmäßig aufgezeichnete Daten dürfen solange gespeichert werden, wie eine Rechtsverfolgung durch den Arbeitgeber noch möglich ist. Diese Speicherdauer wird eingeräumt, weil anderenfalls der Arbeitgeber gehalten wäre, das gesamte Material umgehend, vollständig und vor allem anlasslos auszuwerten. Eine solche anlasslose Auswertung stellt dagegen im Ergebnis einen schwerwiegenderen Eingriff in die Rechte der Beschäftigten dar als eine Speicherung für längere Zeit. Grundvoraussetzung ist allerdings, dass die ursprüngliche Aufzeichnung zulässig war. Andernfalls kann auch die nachfolgende Speicherung bzw. Verwertung nicht zulässig sein.

Was ist bei Befragungen der Beschäftigten zu beachten?

Eine Befragung der Beschäftigten ist ein beliebtes Instrument, um an Informationen über Betriebsklima und Arbeitszufriedenheit zu gelangen. Dabei muss die Anonymität gewährleistet werden. Eine nachträgliche Zuordnung der Antworten zu einzelnen Beschäftigten verbietet sich.

Eine Befragung von Beschäftigten ist nur auf freiwilliger Basis (Einwilligung) möglich. Die Freiwilligkeit ist in die Fragebögen selbst aufzunehmen und sollte dort hervorgehoben werden.

Es besteht keine Verpflichtung zur Teilnahme. Im Vorfeld sollte der Arbeitgeber deshalb über die folgenden Punkte informieren:

  • Gegenstand, Zweck und Ablauf der Befragung,
  • durch wen und für wen die Daten erhoben werden,
  • welche Auswertungen konkret vorgesehen sind.

Die Planung und Durchführung einer Befragung von Beschäftigten sollte unter Einbindung der oder des behördlichen Datenschutzbeauftragten erfolgen.

Welchen Zugriff haben Vorgesetzte auf Beschäftigtendaten?

Die Führung von Unterlagen zu einzelnen Beschäftigten – unabhängig davon, ob dies in automatisierter oder in manueller Form erfolgt – ist grundsätzlich Aufgabe der Personalabteilung. Demnach haben Fachvorgesetzte keinen Zugang zu Personalaktendaten ihrer Mitarbeiterinnen und Mitarbeiter. Ebenso dürfen in den Fachabteilungen keine Personalteil- oder Personalnebenakten geführt werden.

Jedoch dürfen Vorgesetzte im Rahmen ihrer Führungsaufgabe personenbezogene Daten ihrer Mitarbeiterinnen und Mitarbeiter verarbeiten, wenn dies für die folgenden Zwecke erforderlich ist:

Arbeitsorganisation und personelle Führung

Aus datenschutzrechtlicher Sicht bestehen keine Bedenken dagegen, wenn Vorgesetzte personenbezogene Angaben zu ihren Mitarbeiterinnen und Mitarbeitern nutzen, soweit dies für die organisatorische und personelle Führung der jeweiligen Organisationseinheit erforderlich ist. So kann die Leitung einer Organisationseinheit im Hinblick auf die Steuerung der Aufgabenerledigung beispielsweise die einer Mitarbeiterin oder einem Mitarbeiter erteilten Arbeitsaufträge und terminliche Vorgaben schriftlich festhalten.

Abwesenheitslisten

Zu den organisatorischen Aufgaben einer bzw. eines Vorgesetzten gehört auch die Führung eines Abwesenheits- und Urlaubsplanes. Es bestehen keine datenschutzrechtlichen Bedenken dagegen, wenn sich Fachvorgesetzte Angaben über geplante Abwesenheitszeiten für einen gewissen Zeitraum - zum Beispiel das Urlaubsjahr - notieren, um so die Funktionsfähigkeit ihrer Organisations-einheit im Hinblick auf Abwesenheitszeiten von Beschäftigten steuern und sicherstellen zu können.

Wichtig: Die zur Arbeitsorganisation und zur personellen Führung genutzten Beschäftigtendaten bei den Vorgesetzten sind zu löschen, wenn sie für deren konkrete Aufgabenerfüllung nicht mehr erforderlich sind.

Insbesondere wenn der An- oder Abwesenheitsplan innerhalb einer Organisationseinheit auch von den Kolleginnen und Kollegen eingesehen werden kann, ist darauf zu achten, dass die Abwesenheitsgründe, insbesondere krankheitsbedingte, nicht als solche erkennbar sind. Persönlich bedingte Abwesenheit (neben Krankheit auch Urlaub, Gleittage, Freistellung u. ä.) sollte ohne Angabe des Grundes z.B. mit „persönlich abwesend“ ausgewiesen werden. Diese Daten sollten regelmäßig ein Jahr nach Ablauf des vorherigen Kalenderjahres gelöscht werden.

Beurteilungsdaten

Außer Frage steht, dass Vorgesetzte im Entwurfsstadium von Beurteilungen Daten der Beschäftigten nutzen und entsprechende Entwürfe – allerdings ohne einen Rückgriff auf frühere Beurteilungen – erstellen dürfen.

Ebenso ist es zulässig, im Hinblick auf die künftige Beurteilung von Beschäftigten hierfür erforderliche Angaben als Gedächtnisstütze aufzuschreiben. Dies erstreckt sich jedoch ausschließlich auf persönliche Notizen. Im Falle einer innerdienstlichen Weitergabe sind diese Notizen als dienstliche Aufzeichnungen anzusehen und zumindest bis nach Abschluss des Beurteilungsverfahrens ordnungsgemäß zu verakten. Nach Abschluss des Beurteilungsverfahrens sind die eröffneten Beurteilungen in die Personalakte aufzunehmen. Diese unterliegen dem Personalaktengeheimnis und dürfen – auch in Ablichtungen – bei Fachvorgesetzten nicht weiter aufbewahrt werden. Dasselbe gilt für etwaige Entwurfsfassungen – sei es in elektronischer oder in Papierform. Dementsprechend sind Entwürfe und vorbereitende Notizen zu löschen.

Welcher Datenschutz gilt im Personalratsbüro?

Für den Datenschutz im Personalrat finden die Regelungen der DSGVO i. V. m. § 26 Abs. 1 S. 1 BDSG Anwendung. Danach darf die Personalvertretung personenbezogene Daten verarbeiten, wenn dies zur Ausübung oder Erfüllung von Rechten und Pflichten der Interessenvertretung erforderlich ist, soweit sie sich aus einem Gesetz, einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung ergeben.

Verantwortlichkeit

Von Bedeutung ist die Frage nach der Verantwortlichkeit des Personalrats für die bei ihm stattfindende Datenverarbeitung. Die in Art. 4 Nr. 7 DSGVO enthaltene Definition für den „Verantwortlichen“ hat die Frage aufgeworfen, ob der Personalrat selbst ein solcher Verantwortlicher ist oder ob diese Verantwortlichkeit doch bei der Dienststelle bleibt, bei der er gebildet wurde. Im Rahmen der Novellierung des Bundespersonalvertretungsgesetzes soll klar gestellt werden, dass die Dienststelle Verantwortlicher im Sinne der DSGVO bleibt und Personalrat und Dienststelle sich bei der Wahrung des Datenschutzes gegenseitig unterstützen. Gleichwohl trifft den Personalrat als unabhängige Institution des Personalvertretungsrechts innerhalb der Dienststelle eine Verantwortung für eine rechtmäßige Verarbeitung der bei ihm aufkommenden personenbezogenen Daten.

Kontrolle durch den behördlichen Datenschutzbeauftragten

Anders als vor Anwendung der DSGVO wird jetzt überwiegend auch ein Kontrollrecht der oder des behördlichen Datenschutzbeauftragten bejaht. Denn es kann nach der DSGVO keine kontrollfreien Räume mehr geben.

Datenverarbeitung im Personalrat

Die eigenständige Sicherstellung einer rechtmäßigen Datenverarbeitung trifft den Personalrat sowohl als Gremium wie auch seine Mitglieder.

Im Personalrat dürfen die personenbezogenen Daten der Beschäftigten solange verarbeitet werden, wie dies für die konkrete Ausübung des Beteiligungsrechts erforderlich ist. Ist der Beteiligungsfall (Einstellung, Eingruppierung, Beförderung usw.) erledigt, ist auch die Datenverarbeitung zu beenden. Die Daten sind also zu löschen. Ist z. B. ein Bewerbungsverfahren abgeschlossen, in dessen Rahmen dem Personalrat die Daten der Bewerberinnen und Bewerber übermittelt wurden, ist die Verarbeitung nicht mehr zulässig.

Neben dem Prinzip der Erforderlichkeit ist auch das Gebot der Datenminimierung zu beachten. So kann z. B. die Aufbewahrung von Beteiligungsvorlagen zu einer unzulässigen doppelten Aktenführung führen.

Längere Fristen können gerechtfertigt sein, wenn sich aus Gesetzen längere Aufbewahrungsfristen ergeben oder ein Vorgang rechtliche Folgewirkungen hat. Das gilt in der Regel für die Niederschriften/Protokolle der Personalratssitzungen. Sie haben den Charakter von Privaturkunden im Sinne des § 426 ZPO und sind über die Amtszeit eines Personalrates hinaus aufzubewahren. Im Sinne der Datensparsamkeit sollten die Protokolle nur die unabdingbar notwendigen personenbezogenen Daten enthalten.

Auch Personallisten mit Stammdaten, die der Personalrat dauerhaft benötigt und die ihm regelmäßig von der Dienststelle zur Verfügung gestellt werden, müssen nicht sofort nach Einsichtnahme gelöscht werden. Vielmehr muss der Personalrat in eigener Zuständigkeit prüfen, wie lange die Liste erforderlich ist und wann, z. B. nach Zweckerfüllung und/oder Aktualisierung durch die Dienststelle, sie zu löschen ist.

Welcher Datenschutz gilt in der Schwerbehindertenvertretung?

Die Schwerbehindertenvertretung ist eng mit dem Beschäftigungsverhältnis verbunden, denn die Wahl einer Vertrauensperson hängt von der Anzahl schwerbehinderter Menschen in einem Betrieb oder einer Dienststelle ab. Die Aufgaben der Schwerbehindertenvertretung werden in § 178 Sozialgesetzbuch Neuntes Buch (SGB IX) beschrieben und können als Vertretung der Interessen der schwerbehinderten Menschen zusammengefasst werden. Für den Datenschutz im Sozialrecht gelten spezielle Regelungen, die sich in §§ 67 ff Zehntes Buch Sozialgesetzbuch (SGB X) finden.

Generell gilt auch für die Schwerbehindertenvertretung, dass eine Rechtsgrundlage für die Datenverarbeitung erforderlich ist. Rechtsgrundlagen können gesetzliche Vorschriften sein aber auch Dienst- oder Betriebsvereinbarungen . Liegt keine Rechtsgrundlage vor, muss eine Einwilligung der betroffenen Person für die Datenverarbeitung eingeholt werden.

Die Verantwortlichkeit für eine rechtmäßige Datenverarbeitung in der Schwerbehindertenvertretung ist nicht spezialgesetzlich geregelt. Nach Auffassung des BfDI ist sie nicht Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO. Das bleibt die Dienststelle. Aufgrund der besonderen Stellung der Schwerbehindertenvertretung muss sie aber dafür Sorge tragen, mit den ihr anvertrauten Daten rechtmäßig umzugehen.

Es dürfen nur Daten verarbeitet, d.h. erhoben, gespeichert und übermittelt, werden, die für die Erfüllung der gesetzlichen Aufgaben der Schwerbehindertenvertretung erforderlich sind. Die Daten müssen vor unbefugtem Zugriff gesichert sein.

Welche Rolle spielen Dienst- und Betriebsvereinbarungen beim Beschäftigtendatenschutz?

Dienst- bzw. Betriebsvereinbarungen sind schriftliche Übereinkünfte zwischen Betriebs-/Personalrat und Arbeitgeber. Sie sind Kollektivvereinbarungen im Sinne von Art. 88 DSGVO und dürfen – solange sie das Schutzniveau der DSGVO nicht unterschreiten – auch datenschutzrelevante Regelungen treffen. Dementsprechend regelt auch § 26 Absatz 4 BDSG, dass die Verarbeitung personenbezogener Daten auf der Grundlage von Kollektivvereinbarungen zulässig ist. Dies gilt auch für besondere Kategorien personenbezogener Daten.

Bei der Verhandlung oder vor dem Abschluss sollte die/der behördliche Datenschutzbeauftragte eingebunden werden.

Datenschutzrechtlich sind Dienst- oder Betriebsvereinbarungen von Bedeutung, weil sie eine Erlaubnis- oder Verbotsnorm für die geregelte Datenverarbeitung darstellen können, aus der sich unmittelbare Rechte der Beschäftigten ergeben können.

In der Praxis spielen Kollektivvereinbarungen zum Beispiel bei Zeiterfassungssystemen, Videokameras, Personalinformationssystemen, Telefonanlagen oder Aktenverwaltungssystemen eine Rolle. Auch Dienstvereinbarungen zur privaten Nutzung von Internet und E-Mail am Arbeitsplatz können die Verarbeitung von Beschäftigtendaten regeln.

Was ist bei der Nutzung des Internets am Arbeitsplatz zu beachten?

Was im Falle einer dienstlichen und/oder privaten Nutzung des Internets am Arbeitsplatz zu beachten ist und was mit Ihren Daten passiert, erfahren Sie in unserem Flyer „Surfen am Arbeitsplatz“.