Einzelner Blogtitel

Dies ist eine einzelne Blog-Bildunterschrift

Schutz personenbezogener Daten von Mitarbeitern: Pflichten der Arbeitgeber gemäß DSGVO

Eingang

Arbeitgeber verarbeiten eine große Menge personenbezogener Daten ihrer Mitarbeiter vom Eintritt in das Unternehmen bis zum Ausscheiden aus dem Arbeitsverhältnis. Dazu gehören Lebensläufe aus Bewerbungen, Identitäts- und Kontaktdaten, Zeugnisse und Zertifikate, Referenzen, Strafregisterauszüge, Gesundheitsberichte, Bankverbindungsdaten, Sozialversicherungsdaten, Gehaltsabrechnungen, Aufnahmen von Überwachungskameras, Anwesenheitslisten, Leistungsbeurteilungen, Disziplinarakten, E-Mail-Korrespondenz am Arbeitsplatz, Fahrzeugortungsdaten und Anwesenheitslisten.

Der Schutz personenbezogener Daten von Mitarbeitern ist für Arbeitgeber nicht nur eine administrative Formalität. Das Gesetz Nr. 6698 zum Schutz personenbezogener Daten verpflichtet Arbeitgeber als Datenverantwortliche zu erheblichen Maßnahmen. Sie müssen Mitarbeiterdaten rechtmäßig verarbeiten, die Mitarbeiter informieren, die Datensicherheit gewährleisten, die Erhebung unnötiger Daten vermeiden, strengere Maßnahmen für sensible personenbezogene Daten ergreifen und die Datenverarbeitung maßvoll durchführen.

Gemäß dem KVKK (Gesetz zum Schutz personenbezogener Daten) sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn mindestens eine der in Artikel 5 des Gesetzes genannten Verarbeitungsbedingungen erfüllt ist, wie beispielsweise eine ausdrückliche Einwilligung, eine ausdrückliche gesetzliche Bestimmung, die Begründung oder Erfüllung eines Vertrags, eine rechtliche Verpflichtung, die Geltendmachung oder der Schutz von Rechtsansprüchen oder ein berechtigtes Interesse.

Die grundlegende Frage im Verhältnis zwischen Arbeitgeber und Arbeitnehmer lautet: Der Arbeitgeber hat das Recht, den Arbeitsplatz zu leiten, zu beaufsichtigen und zu organisieren; dieses Recht schränkt jedoch nicht das Recht des Arbeitnehmers auf Privatsphäre und den Schutz seiner personenbezogenen Daten ein. Auch am Arbeitsplatz kann der Arbeitnehmer die Achtung seines Privatlebens, seiner Persönlichkeit und seiner personenbezogenen Daten einfordern. Daher muss jeder Verarbeitungsschritt, der Mitarbeiterdaten betrifft, hinsichtlich Zweck, Rechtsgrundlage, Verhältnismäßigkeit, Offenlegung, Speicherdauer und Datensicherheit einzeln bewertet werden.

Was sind personenbezogene Daten von Mitarbeitern?

Personenbezogene Daten von Mitarbeitern sind alle Informationen, die sich auf einen Mitarbeiter im Rahmen des Beschäftigungsverhältnisses beziehen und den Mitarbeiter direkt oder indirekt identifizieren. Beispiele für personenbezogene Daten von Mitarbeitern sind Name, Vorname, türkische Personenkennziffer, Adresse, Telefonnummer, E-Mail-Adresse, Geburtsdatum, Familienstand, Bankverbindung, Gehaltsinformationen, Sozialversicherungsnummer, Beschäftigungsbeginn und -ende, Urlaubsdaten, Leistungsbeurteilungen, Disziplinarmaßnahmen, Videoaufnahmen, Computerprotokolle am Arbeitsplatz und GPS-Daten von Firmenfahrzeugen.

Darüber hinaus gelten bestimmte Mitarbeiterdaten als besondere Kategorien personenbezogener Daten. Dazu zählen Gesundheitsberichte, Informationen über Behinderungen, Aufzeichnungen über Arbeitsunfälle und Berufskrankheiten, Ergebnisse von Vorsorgeuntersuchungen, biometrische Daten, Informationen über strafrechtliche Verurteilungen und Sicherheitsmaßnahmen, Gewerkschaftszugehörigkeit sowie Daten zu religiösen Überzeugungen. Da die Kenntnis dieser Daten zu Diskriminierung oder anderen Schäden führen kann, sind sie strenger geschützt und dürfen nur in den gesetzlich festgelegten Ausnahmefällen verarbeitet werden.

Daher ist es für einen Arbeitgeber falsch, anzunehmen: „Das sind Mitarbeiterdaten, die ich in meiner Personalakte aufbewahren kann.“ Für jedes einzelne Datum sollte sich der Arbeitgeber folgende Fragen stellen: Warum erhebe ich diese Daten? Auf welcher Rechtsgrundlage befinde ich mich? Sind diese Daten wirklich notwendig? Kann ich denselben Zweck mit weniger Daten erreichen? Wie lange muss ich die Daten aufbewahren? Wer hat Zugriff darauf? Habe ich den Mitarbeiter informiert?

Auf welcher Rechtsgrundlage darf ein Arbeitgeber Mitarbeiterdaten verarbeiten?

Die Verarbeitung von Mitarbeiterdaten durch Arbeitgeber erfolgt nicht immer auf Grundlage einer ausdrücklichen Einwilligung. Tatsächlich basieren viele Datenverarbeitungsvorgänge im Zusammenhang mit dem Arbeitsverhältnis auf anderen Rechtsgrundlagen als der ausdrücklichen Einwilligung. Beispielsweise beruht die Verarbeitung von Identitätsdaten, Sozialversicherungsdaten, Gehaltsabrechnungen und Personalakten eines Mitarbeiters durch den Arbeitgeber häufig auf einer rechtlichen Verpflichtung, der Erfüllung des Arbeitsvertrags oder ausdrücklich gesetzlich festgelegten Gründen.

Artikel 75 des Arbeitsgesetzes Nr. 4857 schreibt vor, dass Arbeitgeber für jeden Arbeitnehmer eine Personalakte führen und darin die Identitätsdaten sowie weitere gesetzlich vorgeschriebene Dokumente und Aufzeichnungen aufbewahren müssen. Die Datenschutzbehörde führt in ihren Erläuterungen zu den Bedingungen für die Verarbeitung personenbezogener Daten beispielsweise an, dass Arbeitgeber gemäß Artikel 75 des Arbeitsgesetzes Identitätsdaten von Arbeitnehmern verarbeiten dürfen, sofern dies „ausdrücklich gesetzlich vorgesehen“ ist.

In seinem Beschluss Nr. 2022/896 kam der Datenschutzbeauftragte außerdem zu dem Schluss, dass Arbeitgeber Identitätsdaten in Personalakten gemäß Artikel 75 des Arbeitsgesetzes verarbeiten dürfen, sofern dies „ausdrücklich gesetzlich vorgesehen“ ist; und dass andere personenbezogene Daten, die in Personalakten aufgenommen werden sollten, nur dann verarbeitet werden dürfen, wenn dies „für den Verantwortlichen zur Erfüllung seiner gesetzlichen Verpflichtungen erforderlich ist“.

Dies bedeutet jedoch nicht, dass ein Arbeitgeber beliebige Daten über einen Mitarbeiter erheben darf. Die Erhebung von Daten, die für die Personalakte nicht erforderlich, für die Tätigkeit irrelevant, übermäßig oder unnötig sind, kann gegen die Grundsätze der Verhältnismäßigkeit und Datenminimierung des französischen Datenschutzgesetzes (KVKK) verstoßen. Beispielsweise birgt die Anforderung detaillierter Informationen über alle Familienmitglieder, die Krankengeschichte, Details zum Privatleben oder Vorstrafen, die nicht mit der Tätigkeit in Zusammenhang stehen, ebenfalls rechtliche Risiken.

Wann ist eine ausdrückliche Einwilligung im Verhältnis zwischen Arbeitgeber und Arbeitnehmer gültig?

Die ausdrückliche Einwilligung ist die informierte und freiwillige Zustimmung eines Mitarbeiters zu einer bestimmten Angelegenheit. Ihre Gültigkeit im Arbeitsverhältnis ist jedoch nicht immer unumstritten. Ein Mitarbeiter kann sich aus Angst vor Arbeitsplatzverlust oder Benachteiligung zur Einwilligung gezwungen fühlen. Daher muss der Aspekt der freien Willensentscheidung bei der Einholung der ausdrücklichen Einwilligung von Mitarbeitern sorgfältig geprüft werden.

In seinem Beschluss Nr. 2020/404 prüfte der Ausschuss für den Schutz personenbezogener Daten die von Arbeitgebern eingeholten Einwilligungsformulare und ausdrücklichen Zustimmungserklärungen von Arbeitnehmern. Die Praxis, Personalakten als unvollständig zu betrachten, wenn Arbeitnehmer ihre Einwilligung nicht erteilen, wurde im Hinblick auf das Machtverhältnis zwischen Arbeitgeber und Arbeitnehmer bewertet. Der Beschluss befasste sich außerdem mit der Verarbeitung von Daten wie Fingerabdrücken, der Informationspflicht und der Rechtmäßigkeit besonderer Kategorien personenbezogener Daten.

Arbeitgeber sollten daher nicht unnötigerweise eine ausdrückliche Einwilligung für Daten einholen, deren Verarbeitung im Rahmen gesetzlicher Verpflichtungen oder der Vertragserfüllung erfolgt. Eine ausdrückliche Einwilligung sollte nur dann erfolgen, wenn sie für bestimmte Datenverarbeitungstätigkeiten zwingend erforderlich ist. Beispielsweise kann die Veröffentlichung von Mitarbeiterfotos in den sozialen Medien des Unternehmens zu Werbezwecken, die Verwendung von Mitarbeiterdaten für Marketingaktivitäten oder bestimmte Datenverarbeitungstätigkeiten, für die keine andere Rechtsgrundlage als die ausdrückliche Einwilligung besteht, eine solche Einwilligung erfordern.

Auch bei ausdrücklicher Einwilligung muss die Datenverarbeitung verhältnismäßig, notwendig und zweckdienlich sein. Ein Arbeitgeber darf Daten nicht uneingeschränkt verarbeiten, nur weil ein Arbeitnehmer seine Einwilligung erteilt hat. Die ausdrückliche Einwilligung hebt die allgemeinen Grundsätze des französischen Datenschutzgesetzes (KVKK) nicht auf.

Wie sollte eine Datenschutzerklärung für Mitarbeiter erstellt werden?

Arbeitgeber sind verpflichtet, ihre Beschäftigten über die Verarbeitung ihrer Daten zu informieren. Die Informationsmitteilung muss die Identität des Verantwortlichen, die Art und den Zweck der Verarbeitung personenbezogener Daten, die Empfänger und den Zweck der Datenweitergabe, die Datenerhebungsmethode, die Rechtsgrundlage sowie die Rechte der Beschäftigten gemäß dem französischen Datenschutzgesetz (KVKK) klar darlegen.

Mitarbeiterinformationen sollten nicht als standardisierter, kopierter Text vorliegen. Personalprozesse, Lohn- und Gehaltsabrechnung, Sozialversicherungs- und Steuererklärungen, Arbeitsschutz, Leistungsbeurteilung, Überwachungskameraaufnahmen, Anwesenheitserfassung, Sozialleistungen, Disziplinarmaßnahmen, Schulungen und Kündigungsverfahren sollten jeweils gesondert betrachtet werden.

Beispielsweise könnte folgende Logik auf eine Mitarbeiterinformation angewendet werden: Ihre Identitäts- und Kontaktdaten werden zum Zweck der Begründung und Durchführung des Arbeitsvertrags verarbeitet; dies erfolgt auf Grundlage der Rechtsgrundlage der Vertragserfüllung und der Erfüllung gesetzlicher Verpflichtungen. Ihre Bankverbindung wird zum Zweck der Lohnzahlung verarbeitet; dies erfolgt ebenfalls auf Grundlage der Rechtsgrundlage der Vertragserfüllung. Ihre Gesundheitsdaten werden zum Zweck der Erfüllung der arbeitsschutzrechtlichen Verpflichtungen verarbeitet; dies erfolgt im Rahmen der einschlägigen Gesetze und der Bedingungen für die Verarbeitung besonderer Kategorien personenbezogener Daten.

Die Beweislast dafür, dass die Informationspflicht erfüllt wurde, liegt beim Arbeitgeber. In der Entscheidung der Behörde mit der Nummer 2022/896 wurde auch die Unfähigkeit des Arbeitgebers berücksichtigt, Belege für die mündliche Erfüllung der Pflicht vorzulegen. Daher ist es wichtig, dass Arbeitgeber die Mitarbeiterinformationen durch Unterschriften, elektronische Genehmigungen, Einträge im Personalportal oder ähnliche Verfahren nachweisbar machen.

Personalakte und Mitarbeiterdaten

Der Arbeitgeber ist verpflichtet, für jeden Mitarbeiter eine Personalakte zu führen. Diese Akte kann die Identifikationsdaten des Mitarbeiters, den Arbeitsvertrag, Sozialversicherungserklärungen, Lohn- und Gehaltsabrechnungen, Urlaubsunterlagen, Schulungsnachweise, Dokumente zum Arbeitsschutz und zur Sicherheit am Arbeitsplatz sowie alle weiteren erforderlichen Dokumente und gesetzlich vorgeschriebenen Unterlagen enthalten. Eine Personalakte ist jedoch kein Archiv, in dem unbegrenzt Informationen über einen Mitarbeiter gespeichert werden können.

Die in Personalakten enthaltenen Daten müssen gemäß den Grundsätzen der Ehrlichkeit und des Gesetzes verwendet werden. Informationen, deren Vertraulichkeit der Arbeitnehmer aufgrund eines berechtigten Interesses zu wahren hat, dürfen nicht weitergegeben werden. In seinem Beschluss Nr. 2022/896 bekräftigte der Ausschuss für den Schutz personenbezogener Daten diese Verpflichtung gemäß Artikel 75 des Arbeitsgesetzbuches ausdrücklich und erörterte die Rechtsgrundlagen, auf denen ein Arbeitgeber Mitarbeiterdaten im Rahmen von Personalakten verarbeiten darf.

Arbeitgeber müssen den Zugriff auf Personalakten beschränken. Unbefugten Mitarbeitern außerhalb der Personal-, Buchhaltungs- und Managementabteilungen den Zugriff auf Personalakten zu gestatten, stellt ein erhebliches Datensicherheitsrisiko dar. Physische Akten sollten in verschlossenen Schränken oder gesicherten Archiven aufbewahrt werden; elektronische Dateien müssen durch Autorisierung, Passwörter, Protokolle und Zugriffsbeschränkungen geschützt werden.

Daten in Personalakten können auch nach Beendigung des Arbeitsverhältnisses für bestimmte Zeiträume aufbewahrt werden. Die Aufbewahrungsfrist muss jedoch für jeden einzelnen Datensatz individuell festgelegt werden. Dabei sind arbeitsrechtliche Bestimmungen, sozialversicherungsrechtliche Vorschriften, Steuerbestimmungen, Entschädigungsregelungen, Bestimmungen zu Arbeitsunfällen und Verjährungsfristen zu berücksichtigen. Daten, deren Aufbewahrungsfrist abgelaufen ist, sind zu löschen, zu vernichten oder zu anonymisieren.

Verarbeitung von Mitarbeitergesundheitsdaten

Gesundheitsdaten von Mitarbeitern gelten als besondere Kategorien personenbezogener Daten. Dazu gehören Einstellungsuntersuchungsberichte, Aufzeichnungen regelmäßiger Untersuchungen, Berichte über Arbeitsunfähigkeit, Informationen über Arbeitsunfähigkeit, Informationen über Schwangerschaft, Arbeitsunfallberichte, Informationen über Berufskrankheiten und Berichte von Betriebsärzten.

Arbeitgeber dürfen bestimmte Gesundheitsdaten verarbeiten, um ihren arbeitsschutzrechtlichen Verpflichtungen nachzukommen. Diese Datenverarbeitung sollte sich jedoch auf das für die jeweilige Tätigkeit Notwendige beschränken. Beispielsweise kann die Einholung eines Gutachtens zur Arbeitsfähigkeit für einen Beschäftigten in einem Gefahrenbereich erforderlich sein; die Anforderung einer detaillierten Krankengeschichte von einem Büroangestellten, die in keinem Zusammenhang mit der Art seiner Tätigkeit steht, kann hingegen als übermäßig angesehen werden.

Besondere Kategorien personenbezogener Daten dürfen nur in den gesetzlich festgelegten Ausnahmefällen verarbeitet werden. Werden Gesundheitsdaten im Rahmen des Arbeitsschutzes, arbeitsrechtlicher Verpflichtungen oder einschlägiger Rechtsvorschriften verarbeitet, ist dies in der Datenschutzerklärung klar anzugeben. Darüber hinaus sind für besondere Kategorien personenbezogener Daten strengere technische und organisatorische Maßnahmen zu treffen.

Die Weitergabe von Gesundheitsdaten am Arbeitsplatz, insbesondere die unnötige Weitergabe an Vorgesetzte oder andere Mitarbeiter, die Verbreitung in WhatsApp-Gruppen oder die unkontrollierte Aufbewahrung in Personalakten, kann einen schwerwiegenden Verstoß gegen das türkische Datenschutzgesetz (KVKK) darstellen. Arbeitgeber dürfen Gesundheitsdaten ihrer Mitarbeiter nur an diejenigen weitergeben, die diese für ihre Tätigkeit benötigen, und zwar nur im erforderlichen Umfang.

Videoaufzeichnung am Arbeitsplatz und Datenschutz der Mitarbeiter

Die Videoaufzeichnung am Arbeitsplatz stellt die Verarbeitung personenbezogener Daten von Mitarbeitern dar. Arbeitgeber dürfen Kameras für legitime Zwecke wie Arbeitssicherheit, Kriminalprävention, Gesundheitsschutz und Sicherheit am Arbeitsplatz oder Gebäudesicherheit einsetzen. Das Kamerasystem darf jedoch nicht dazu führen, dass Mitarbeiter ständig überwacht werden und ihre Privatsphäre unverhältnismäßig verletzt wird.

In ihrer Ankündigung von 2026 zum Einsatz von Sicherheitskameras am Arbeitsplatz betonte die Datenschutzbehörde, dass der Zweck der Kamerainstallation klar definiert sein müsse und abstrakte Zwecke wie „allgemeine Kontrolle“, „Erhöhung der Disziplin“ oder „kontinuierliche Überwachung der Mitarbeiter“ vermieden werden sollten. Die Behörde stellte außerdem ausdrücklich klar, dass Kameras nicht in privaten Bereichen wie Toiletten, Umkleideräumen, Gebetsräumen und Aufenthaltsräumen angebracht werden sollten.

Bei Videoaufzeichnungen ist Verhältnismäßigkeit entscheidend. Der Einsatz von Kameras lässt sich leichter in Bereichen wie Ein- und Ausgängen, Lagerräumen, Kassen oder anderen sicherheitsgefährdeten Bereichen rechtfertigen. Systeme, die hingegen die Arbeitsplätze der Mitarbeiter engmaschig überwachen, Gesichtszüge kontinuierlich aufzeichnen oder den gesamten Arbeitsbereich uneingeschränkt überwachen, können rechtliche Risiken bergen.

Kamerasysteme müssen auch Beleuchtungsanforderungen erfüllen. Am Arbeitsplatz müssen gut sichtbare Warnschilder für Kameras angebracht sein; detaillierte Informationen zur Kamerabeleuchtung müssen zugänglich sein; und der Zweck der Kameraaufzeichnungen, die Aufbewahrungsdauer, die Zugriffsberechtigungen und die Rechte der Beschäftigten müssen klar angegeben sein. Kameraaufzeichnungen sollten so kurz wie möglich gespeichert und nur von autorisiertem Personal eingesehen werden. Die Einrichtung weist darauf hin, dass eine übermäßige Aufbewahrung von Aufzeichnungen einen Verstoß gegen das französische Datenschutzgesetz (KVKK) darstellen kann und dass ein automatischer Datenlöschmechanismus vorhanden sein muss.

Arbeitszeiterfassung mit biometrischen Daten

Eine der riskantesten Praktiken für Arbeitgeber ist die Zeiterfassung mithilfe biometrischer Systeme wie Fingerabdrücke, Gesichtserkennung, Iris-Scans, Retina-Scans oder Handabdrücke. Da biometrische Daten als sensible personenbezogene Daten gelten, unterliegen sie deutlich strengeren rechtlichen Bestimmungen.

In ihrer Bekanntmachung zum Grundsatzbeschluss des Datenschutzbeirats vom 29. April 2026 (Nr. 2026/921) wurde festgestellt, dass die Verarbeitung biometrischer Daten zur Arbeitszeiterfassung keine der in Artikel 6 des Gesetzes festgelegten Verarbeitungsbedingungen erfüllt und selbst bei Vorliegen einer gültigen ausdrücklichen Einwilligung dem Verhältnismäßigkeitsgrundsatz nicht genügt. Der Beirat erklärte, dass die Arbeitszeiterfassung stattdessen durch alternative Methoden wie verschlüsselte Karten, PIN-basierte Systeme, herkömmliche Unterschriftenformulare, RFID-/NFC-Karten oder manuelle Eingabe unter Aufsicht eines Prüfers erfolgen sollte.

Diese Entscheidung ist für Arbeitgeber von größter Bedeutung. Die Erfassung von Fingerabdrücken, Gesichtserkennung oder Irisdaten kann nicht als einfache Methode der Personalüberwachung angesehen werden. Lässt sich der gleiche Zweck mit weniger eingreifenden Methoden erreichen, kann die Verarbeitung biometrischer Daten als unverhältnismäßig gelten. Die Einholung einer ausdrücklichen Einwilligung beseitigt dieses Risiko nicht vollständig, da die Frage, ob eine solche Einwilligung im Arbeitsverhältnis auf freiem Willen beruht, ebenfalls umstritten ist.

Daher sollten Arbeitgeber vor der Implementierung biometrischer Zeiterfassungssysteme eine gründliche rechtliche Risikoanalyse durchführen, ihre bestehenden Systeme überprüfen und nach Möglichkeit auf weniger aufdringliche Alternativsysteme umsteigen.

Überwachung der Nutzung von Arbeits-E-Mails, Computer und Internet

Arbeitgeber können in gewissem Maße Kontrolle über Computer, geschäftliche E-Mail-Konten, Internetzugang, Softwaresysteme und die ihnen zur Verfügung gestellte Firmenausrüstung ausüben. Zweck dieser Kontrolle kann der Schutz von Geschäftsgeheimnissen, die Gewährleistung der Informationssicherheit, die Verwaltung von Geschäftsprozessen, die Verhinderung unrechtmäßiger Nutzung oder der Schutz der Rechte des Arbeitgebers sein.

Die Überwachung ist jedoch nicht unbegrenzt. Arbeitgeber dürfen nicht übermäßig in das Privatleben ihrer Angestellten eingreifen. Richtlinien für die Nutzung von E-Mails und Computern im Unternehmen sollten im Voraus festgelegt und den Mitarbeitern mitgeteilt werden. Mitarbeiter sollten wissen, welche Systeme überwacht werden können, ob die private Nutzung untersagt ist, unter welchen Umständen E-Mail-Inhalte eingesehen werden dürfen und zu welchem ​​Zweck Protokolle geführt werden.

Wenn ein Mitarbeiter beispielsweise Firmen-E-Mails nutzt, um Geschäftsgeheimnisse an Dritte weiterzugeben, kann der Arbeitgeber unter Umständen eine eingeschränkte Untersuchung durchführen, um seine Rechte festzustellen, auszuüben oder zu schützen. Es kann jedoch rechtswidrig sein, wenn der Arbeitgeber die gesamte private Korrespondenz des Mitarbeiters ständig überwacht, versucht, auf dessen private Konten zuzugreifen oder dessen private Dateien aus reiner Neugierde einsieht.

In diesem Bereich müssen Arbeitgeber schriftliche Richtlinien für die Nutzung von Informationssystemen, Richtlinien für die E-Mail-Kommunikation im Unternehmen und Richtlinien zur Informationssicherheit erstellen; die Mitarbeiter mit diesen Dokumenten informieren; und Audits in angemessener Weise durchführen.

Fahrzeugortungssystem und Standortdaten

Der Einsatz von GPS-Ortungssystemen in Firmenfahrzeugen ist weit verbreitet, insbesondere für Außendienstmitarbeiter, Vertriebsteams, den technischen Service, die Logistik und die Frachtabwicklung. Standortdaten können als personenbezogene Daten gelten. Daher ist bei der Verwendung von Fahrzeugortungssystemen eine Analyse der Einhaltung des türkischen Datenschutzgesetzes (KVKK) erforderlich.

Arbeitgeber können Fahrzeugortungssysteme für Zwecke wie Fahrzeugsicherheit, Routenplanung, Kundenservice, Kraftstoffüberwachung oder Arbeitsorganisation nutzen. Das System sollte jedoch nicht dazu missbraucht werden, das Privatleben eines Mitarbeiters außerhalb der Arbeitszeit zu überwachen. Wird das dem Mitarbeiter zugewiesene Fahrzeug auch privat genutzt, kann die fortgesetzte Standortverfolgung außerhalb der Arbeitszeit einen schwerwiegenden Eingriff in die Privatsphäre darstellen.

Mitarbeiter, die mit Fahrzeugortungssystemen arbeiten, müssen umfassend informiert werden. Es muss klar dargelegt werden, welche Daten erfasst werden, zu welchem ​​Zweck sie verarbeitet werden, wer Zugriff darauf hat, wie lange die Daten gespeichert werden und ob die Ortung auch außerhalb der Arbeitszeit erfolgt. Die Annahme des Arbeitgebers, dass das Fahrzeug dem Unternehmen gehört und er es nach Belieben orten kann, ist im Sinne des französischen Datenschutzgesetzes (KVKK) nicht ausreichend.

Datensicherheit und technische und administrative Maßnahmen des Arbeitgebers

Arbeitgeber sind verpflichtet, die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz von Mitarbeiterdaten zu ergreifen. Gemäß Artikel 12 des französischen Datenschutzgesetzes (KVKK) ist der Verantwortliche für die Datenverarbeitung dafür zuständig, die unrechtmäßige Verarbeitung personenbezogener Daten, den unrechtmäßigen Zugriff auf personenbezogene Daten und deren Aufbewahrung zu verhindern. Die Aufsichtsbehörde stellt fest, dass der Verantwortliche alle notwendigen technischen und organisatorischen Maßnahmen ergreifen muss, um ein angemessenes Sicherheitsniveau zu gewährleisten.

Zu den administrativen Maßnahmen, die im Zusammenhang mit Mitarbeiterdaten ergriffen werden können, gehören die Erstellung von DSGVO-Richtlinien, die Ausarbeitung von Mitarbeiterinformationstexten, Vertraulichkeitsvereinbarungen, Berechtigungsmatrizen, Personalschulungen, Disziplinarverfahren, Aufbewahrungs- und Vernichtungsrichtlinien sowie Notfallpläne für Datenschutzverletzungen.

Zu den technischen Maßnahmen gehören Zugriffsberechtigungen, strenge Passwortrichtlinien, Zwei-Faktor-Authentifizierung, Verschlüsselung, Protokollierung, Datensicherungen, Antivirensoftware, Firewalls, Systeme zur Verhinderung von Datenverlusten, Netzwerksicherheit, Cloud-Zugriffskontrollen und die Beschränkung des Systemzugriffs für ehemalige Mitarbeiter.

Der Arbeitgeber ist nicht gänzlich von seiner Verantwortung befreit, selbst wenn ein anderes Unternehmen Mitarbeiterdaten in seinem Auftrag verarbeitet. Bei der Zusammenarbeit mit einem Lohnabrechnungsunternehmen, einem Steuerberater, einem Arbeitsschutzunternehmen, einem Softwareanbieter, einem Cloud-Service-Anbieter, einem Sicherheitsunternehmen oder einem Personalberater müssen Verträge mit Datenschutzbestimmungen mit diesen Parteien abgeschlossen und die Datenverarbeitungsprozesse überwacht werden. Die Institution stellt fest, dass der Datenverantwortliche gemeinsam mit anderen Parteien für die notwendigen Sicherheitsvorkehrungen verantwortlich ist, wenn personenbezogene Daten in seinem Auftrag verarbeitet werden.

Arbeitnehmerrechte gemäß dem Datenschutzgesetz

Der/Die Beschäftigte ist die betroffene Person, deren personenbezogene Daten verarbeitet werden. Daher kann der/die Beschäftigte durch Kontaktaufnahme mit dem Arbeitgeber Auskunft darüber verlangen, ob seine/ihre personenbezogenen Daten verarbeitet werden, gegebenenfalls Informationen über diese Verarbeitung anfordern, den Zweck der Verarbeitung und deren Angemessenheit erfahren, nachfragen, an wen die Daten im In- oder Ausland übermittelt wurden, die Berichtigung unvollständiger oder unrichtiger Daten verlangen, die Löschung oder Vernichtung der Daten unter bestimmten Voraussetzungen verlangen und Schadensersatz für entstandene Schäden fordern.

Der Arbeitgeber muss den Antrag des Arbeitnehmers gemäß DSGVO so schnell wie möglich, spätestens jedoch innerhalb von dreißig Tagen, abschließen. Wird der Antrag abgelehnt, die Antwort als unzureichend erachtet oder erfolgt innerhalb der vorgegebenen Frist keine Antwort, kann der Arbeitnehmer innerhalb von dreißig Tagen nach Kenntnisnahme der Antwort des Verantwortlichen, in jedem Fall jedoch innerhalb von sechzig Tagen nach Antragstellung, eine Beschwerde bei der Datenschutzbehörde einreichen.

Daher müssen Arbeitgeber Bewerbungen von ehemaligen Mitarbeitern sorgfältig prüfen. Eine Haltung wie „Wir antworten nicht, da es sich um ehemalige Mitarbeiter handelt“ oder „Wir bewahren alle Informationen aus ihren Personalakten auf“ birgt rechtliche Risiken. Selbst nach Beendigung des Arbeitsverhältnisses behalten ehemalige Mitarbeiter ihre Rechte gemäß dem Datenschutzgesetz in Bezug auf ihre personenbezogenen Daten.

Die häufigsten Fehler von Arbeitgebern bei der Einhaltung der DSGVO

Der häufigste Fehler von Arbeitgebern besteht darin, unnötige und weitreichende ausdrückliche Einwilligungen von Mitarbeitern einzuholen. Die Einholung einer ausdrücklichen Einwilligung für Daten, die der Arbeitgeber aufgrund gesetzlicher Verpflichtungen verarbeiten darf, kann die Rechtsgrundlage für die Datenverarbeitung verschleiern. Wo eine ausdrückliche Einwilligung erforderlich ist, muss der Text präzise, ​​klar und auf freiem Willen beruhend sein.

Der zweite Fehler liegt in der allgemeinen und unzureichenden Aufbereitung des Mitarbeiterinformationsdokuments. Personalprozesse, Videoaufzeichnungen, Fahrzeugortungssysteme, Gesundheitsdaten und E-Mail-Überwachung dürfen nicht mit vagen Formulierungen im selben Dokument abgetan werden.

Der dritte Fehler besteht darin, jedem Zugriff auf die Daten in Personalakten zu gewähren. Mitarbeiterakten, Gehaltsabrechnungen, medizinische Berichte und Disziplinarakten sollten nur für diejenigen einsehbar sein, die diese im Rahmen ihrer Tätigkeit benötigen.

Der vierte Fehler ist der übermäßige Einsatz von Kameras und Überwachungssystemen. Die kontinuierliche Überwachung von Mitarbeitern, Audioaufzeichnungen, die Anbringung von Kameras in privaten Bereichen oder die GPS-Ortung außerhalb der Arbeitszeiten bergen erhebliche Risiken im Zusammenhang mit der DSGVO.

Der fünfte Fehler liegt in der Verarbeitung biometrischer Daten aus Bequemlichkeitsgründen. Gemäß dem Ansatz des Gremiums aus dem Jahr 2026 bergen Systeme wie Fingerabdruck- und Gesichtserkennung zur Anwesenheitserfassung erhebliche rechtliche Risiken.

Der sechste Fehler besteht darin, die Daten ehemaliger Mitarbeiter unbegrenzt aufzubewahren. Arbeitgeber sollten Aufbewahrungsfristen festlegen und die Daten nach Ablauf dieser Frist löschen, vernichten oder anonymisieren.

Der siebte Fehler besteht darin, nicht zeitnah auf Mitarbeiteranträge zu reagieren. Das Fehlen eines internen Verfahrens für Anträge gemäß DSGVO erhöht das Risiko von Beschwerden beim Vorstand und von Disziplinarmaßnahmen.

Abschluss

Der Schutz personenbezogener Daten von Mitarbeitern ist ein Bereich der DSGVO-Konformität, der von Arbeitgebern mit größter Sorgfalt behandelt werden muss. Die Verarbeitung von Mitarbeiterdaten ist aufgrund der Art des Arbeitsverhältnisses häufig notwendig; diese Notwendigkeit berechtigt den Arbeitgeber jedoch nicht zu uneingeschränkter Datenverarbeitung. Jede Datenverarbeitung muss auf einem bestimmten Zweck, einer gültigen Rechtsgrundlage und dem Grundsatz der Verhältnismäßigkeit beruhen.

Arbeitgeber müssen die Arbeitnehmer klar und verständlich informieren, Personalakten gesetzeskonform führen, strengere Maßnahmen hinsichtlich Gesundheits- und biometrischer Daten ergreifen, Kameras und Personenortungssysteme umsichtig einsetzen, die E-Mail- und Computerüberwachung durch vorher festgelegte Richtlinien einschränken und technische und administrative Maßnahmen zur Gewährleistung der Datensicherheit umsetzen.

Insbesondere die Bekanntmachungen des Gremiums aus dem Jahr 2026 deuten darauf hin, dass Arbeitgeber beim Einsatz von Kameras am Arbeitsplatz und biometrischer Zeiterfassung vorsichtiger sein müssen. Das Sicherheitsbedürfnis am Arbeitsplatz mag berechtigt sein; es rechtfertigt jedoch nicht die ständige und übermäßige Überwachung von Mitarbeitern. Biometrische Systeme wie Fingerabdruck- oder Gesichtserkennung dürfen nicht allein aufgrund ihrer Praktikabilität bevorzugt werden.

Zusammenfassend lässt sich sagen, dass ein ordnungsgemäßer Prozess zur Einhaltung der DSGVO für Arbeitgeber die Erstellung eines Mitarbeiterdatenverzeichnisses, die Ausarbeitung von Mitarbeiterinformationstexten, die Trennung von Prozessen, die eine ausdrückliche Einwilligung erfordern, die Sicherung von Personalakten und Gesundheitsdaten, die Überprüfung von Kamera- und Überwachungssystemen, die Festlegung von Aufbewahrungs- und Löschfristen für Daten sowie die Einrichtung eines Mechanismus zur Beantwortung von Mitarbeiteranfragen umfasst. Wird dieser Prozess korrekt durchgeführt, reduziert er das Risiko von Bußgeldern und Verwaltungsstrafen für den Arbeitgeber und schützt wirksam die Privatsphäre und die personenbezogenen Daten der Mitarbeiter.

Antwort hinterlassen

Jetzt anrufen-Button