Namen, Adressen, Kontonummern, AU-Bescheinigungen oder Abmahnungen – Arbeitgeber haben jede Menge personenbezogene Daten ihrer Mitarbeiter gespeichert. Datenschutzrechtlich ist das im laufenden Arbeitsverhältnis unproblematisch. Das sieht schnell anders aus, wenn Mitarbeiter den Betrieb verlassen.
„Wegen der Datenschutz-Grundverordnung (DSGVO) dürfen Betriebe personenbezogene Daten nur speichern, solange sie ein berechtigtes Interesse haben“, sagt Nathalie Oberthür, Fachanwältin für Arbeitsrecht in Köln und Vorsitzende des Arbeitsrechtsausschusses im Deutschen Anwaltverein.
Speichern Betriebe die Daten trotzdem weiter, kann es unangenehm werden: „Die DSGVO wird von Arbeitnehmern zunehmend als Druckmittel gegen Arbeitgeber verwendet“, sagt die Juristin. „Zum Beispiel, um Schadenersatz zu fordern oder die Position in der Abfindungsverhandlung zu verbessern.“
1. Mitarbeiterfotos im Netz nicht vollständig gelöscht
Jobportal pflegen-online.de empfiehlt:
Viele Betriebe verwenden Fotos von ihren Mitarbeitern auf der Website. Dafür benötigen sie laut Arbeitsrechtlerin Oberthür in der Regel eine Einwilligung gemäß Artikel 6 Abs. 1 lit.a, Art 7 DSGVO in Verbindung mit § 26 Abs. 2 BDSG: „Die gilt bis zum Widerruf und endet nicht automatisch mit dem Ende des Beschäftigungsverhältnisses.“ Doch der Juristin zufolge müssen Arbeitgeber die Bilder schnell löschen, sobald ein Mitarbeiter sein Einverständnis widerruft.
Zudem kann die konkrete Art der Darstellung – etwa eines Mitarbeiters als Ansprechpartner für Patienten. Pflegebedürftige et cetera – nach dem Ende des Beschäftigungsverhältnisses von der Einwilligung nicht mehr gedeckt sein. Deshalb kann es sinnvoll sein, die Bilder zu löschen, bevor es der ehemalige Mitarbeiter verlangt.
Oberthür rät Arbeitgebers, wirklich alle Fotos löschen – „auch in Broschüren oder weitergehend verlinkte Medien“. Taucht trotz Widerruf später noch ein Bild des betroffenen Mitarbeiters im Netz auf, könnten auf Arbeitgeber sonst neben dem Imageschaden auch Schadenersatzforderungen zukommen.
2. Personalisierte E-Mail-Adresse weiter verwenden
Online-Bewerbungen sind heute in vielen Betrieben Standard. Stellenausschreibungen enthalten daher meist eine E-Mail-Adresse. Das sollte laut Oberthür auf keinen Fall eine personalisierte E-Mail-Adresse sein, die einem ehemaligen Mitarbeiter gehört: „Arbeitgeber verarbeiten sonst personenbezogene Daten, die nicht mehr aktuell sind und die sie wegen § 26 Abs. 1 Satz 1 BDSG nicht mehr verwenden dürfen“, warnt die Juristin. Wenn sich der Ex-Mitarbeiter bei der Datenschutzbehörde beschwert, könnte ein Bußgeld die Folge sein.
3. Mitarbeitern eine Grußkarte schicken
Einem ehemaligen Mitarbeiter zum Geburtstag zu gratulieren, mag eine nette Geste sein. Doch datenschutzrechtlich ist es heikel, wenn Sie Name, Adresse und Geburtsdatum ehemaliger Mitarbeiter für solche Zwecke speichern. „Das ist eine von Artikel 6 DSGVO nicht gedeckte unberechtigte Datenverarbeitung, die ebenfalls Schadenersatzforderungen oder ein Bußgeld zur Folge haben können“, sagt Oberthür.
Unternehmern, die nicht auf Grußkarten zum Geburtstag oder zu Weihnachten verzichten wollen, sollten dazu vorher die Einwilligung der ehemaligen Mitarbeiter einholen, rät die Juristin.
4. Mitarbeiter nicht aus der Whatsapp-Gruppe löschen
Whatsapp hat in Sachen Datenschutz keinen guten Ruf. Trotzdem nutzen viele den zum Facebook-Konzern gehörenden Dienst. Auch in Betrieben ist der Messenger im Einsatz – zum Beispiel, um im Team zu kommunizieren. Nach Einschätzung von Oberthür ist dabei äußerste Vorsicht geboten: Sobald ein Mitarbeiter aus dem Betrieb ausscheidet, habe dessen Telefonnummer nichts mehr im Handy des Chefs und auch nicht in der Whatsapp-Gruppe zu suchen, betont die Juristin. Sonst könnten ebenfalls Schadensersatzforderungen oder ein Bußgeld die Folge sein.
5. Mitarbeiterdaten nicht rechtzeitig löschen
Wer Daten verarbeitet, braucht nach Artikel 30 DSGVO ein Verzeichnis von Verarbeitungstätigkeiten. „Das muss immer ein Löschkonzept enthalten, wann Sie welche Daten löschen“, erläutert Nathalie Oberthür. „Das gilt auch für Daten, die in Personalakten gespeichert werden.“
Verlässt ein Mitarbeiter den Betrieb, besteht der Arbeitsrechtlerin zufolge meist Handlungsbedarf. Betriebe fehlt dann bei einigen Daten das berechtigte Interesse an der weiteren Datenspeicherung: „Bei einem unstreitig beendeten Arbeitsverhältnissen brauchen Sie zum Beispiel AU-Bescheinigungen und Abmahnungen nicht mehr.“
Speichern Arbeitgeber diese Daten weiterhin, kann das auffliegen. Denn laut Oberthür haben Mitarbeiter auch nach dem Ausscheiden aus dem Betrieb gemäß Artikel 15 DSGVO Anspruch auf Auskunft, welche ihrer Daten gespeichert sind. Mögliche Folge seien – wie bei allen Datenschutzverstößen – Schadensersatzansprüche oder ein Bußgeld.
[Was bedeutet die DSGVO für freiberufliche Pflegekräfte? Lesen Sie dazu unseren Artikel 7 Tipps zur neuen DSGVO für Pflegekräfte]
Nicht alle Daten dürfen gelöscht werden, wenn ein Mitarbeiter geht
Nach dem Ausscheiden eines Mitarbeiters sollten Sie nicht alle Daten aus der Personalakte löschen. Der Juristin zufolge gibt es Daten, die Unternehmen aufbewahren müssen beziehungsweise sollten. Dazu zählen:
- Steuerrelevante Gehaltsunterlagen müssen Sie wegen der gesetzlichen Aufbewahrungsfristen bis zu 10 Jahre aufbewahren.
- Information über frühere Tätigkeiten im Betrieb: Bei Neueinstellungen mit Befristung muss der Juristin zufolge überprüfbar sein, ob der Mitarbeiter schon einmal im Betrieb gearbeitet hat. Wenn ja, dann sei keine sachgrundlose Befristung mehr möglich.
- Unterlagen, die Sie für Rechtsstreitigkeiten brauchen, dürfen Sie ebenfalls speichern. „Hat der Arbeitgeber dem Mitarbeiter gekündigt, sollte er Abmahnungen und AU-Bescheinigungen aufbewahren, sofern diese für den Kündigungsgrund von Bedeutung sind“ erläutert Oberthür. „Und wenn er mit der Krankenkasse um Lohnfortzahlung streitet, dann sollte er die AU-Bescheinigungen aufbewahren.“
Autorin: Anna-Maja Leupold