Bei der Rechtmäßigkeit der Datenverarbeitung gelten daneben die allgemeinen Anforderungen der DSGVO weiterhin. Dies betrifft insbesondere die Erlaubnistatbestände nach Art. 6 Abs. 1 DSGVO und die Regelungen zur Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO.
Hauptanwendungsfall des § 26 BDSG ist die Datenverarbeitung, die zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses erforderlich ist. Sofern nicht anders festgelegt, führt dies wiederum zur Zweckbestimmung der Datenverarbeitung. Gemäß Art. 5 Abs. 1 lit. b DSGVO müssen personenbezogene Daten für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden. Anknüpfungspunkt im Beschäftigtenverhältnis wird bei der Zweckbestimmung regelmäßig der Arbeitsvertrag sein. So ist z.B. die Nutzung von Personaldaten zur Erstellung der Gehaltsabrechnung regelmäßig zulässig.
Was ist jedoch mit anderen Verarbeitungen, die nicht (mehr) vom Arbeitsvertrag abgedeckt sind? Beispielsweise der Versand eines Magazins des Arbeitgebers an seine Arbeitnehmer, die Auskunft an Gläubiger mit Forderungstitel, oder die Veröffentlichung von Besten- und Rennlisten (oberer Bereich). Wie oben schon erwähnt, bleibt Art. 6 DSGVO, insbesondere Abs. 1 lit. f und Abs. 4 (kompatible Weiterverarbeitung - Prüfung, ob der ursprüngliche Zweck mit dem anderen Zweck vereinbar ist), weiterhin anwendbar. Daher können die genannten Verarbeitungen im Einzelfall auch weiterhin in Betracht kommen.
Wenn wir einen Blick auf die zwei Stadien - Begründung und Durchführung des Beschäftigtenverhältnisses - werfen, sind weitere Dinge zu beachten. So ist z.B. bei einem Bewerberfragebogen/Bewerbungsgespräch auf die schon erwähnte Erforderlichkeit zu achten. Hierbei sind die Wertungen des Allgemeinen Gleichbehandlungsgesetzes (AGG) heranzuziehen. So sind beispielsweise Fragen zum Geschlecht, zur Religion, oder zu einer Behinderung, die für die konkrete Arbeit nicht relevant ist, regelmäßig unzulässig. Auch ein Bewerbungsfoto birgt eine entsprechende Diskriminierungsgefahr und kann nicht verpflichtend gefordert werden.
Weiterhin wird es spannend, wenn während des Beschäftigungsverhältnisses die private E-Mail-Nutzung erlaubt ist. Hier greift dann das Fernmeldegeheimnis und eine Kenntnisnahme der E-Mails ist durch den Arbeitgeber dann nur noch zulässig, wenn das Telekommunikationsgesetz (TKG) dies gestattet oder der Arbeitnehmer einwilligt. Es empfiehlt sich daher eine entsprechende Nutzungsvereinbarung mit den Beschäftigten zu schließen.
Ist das Beschäftigungsverhältnis beendet und (sofern einschlägig) die Aufbewahrungsfrist verstrichen, so entfällt auch der Zweck zur Verarbeitung der Daten. Dementsprechend sind die Daten durch den Arbeitgeber zu löschen. Ein Löschkonzept sollte die entsprechenden Aufbewahrungsfristen berücksichtigen. Dies gilt insbesondere auch für die Personalakte. Die Zweckbestimmung des Beschäftigungsverhältnisses wirkt dabei auch auf die sog. elektronische Personalakte. Zugriffsrechte müssen festgelegt und kontrolliert werden. Die Erstellung von weiteren Ausfertigungen ist generell zu untersagen. Ein Zugriff durch unbefugte muss mit geeigneten Mitteln verhindert werden, etc.
Alles in allem ist der Umgang mit Beschäftigtendaten ein facettenreiches Unterfangen. Bei Fragen hilft Ihnen NNW Consulting gerne weiter.
