Datenschutz für Arbeitnehmer: Auf welche Daten Arbeitgeber kein Recht haben zuzugreifen

In unserem digitalen Zeitalter ist Information der höchste Wert. Unsichtbare, ausgeklügelte Algorithmen verfolgen jeden unserer Klicks im Internet, um unser detailliertes Porträt für gezielte Werbung zu erstellen. Die sozialen Medien wissen und können mehr über uns verraten, als wir uns eingestehen wollen. Sogar unsere Arbeitgeber können alles verfolgen, was wir innerhalb der Bürowände tun - und manchmal auch außerhalb.

Im Jahr 2022 verlor ein amerikanischer Buchhalter seinen Job, nachdem er an der World Naked Bike Ride teilgenommen hatte. Sein Hobby hatte nichts mit seinem Beruf zu tun; er war während der Fahrt nicht im Dienst und stellte keine Fotos von sich online. Dennoch beschloss sein Chef, ihn zu entlassen, nachdem er ein bekanntes Gesicht auf dem von einem anderen Teilnehmer geposteten Bild gesehen hatte.

Dieser Fall ist kein Einzelfall. Arbeitnehmer können umfangreiche Daten über ihre Mitarbeiter sammeln, von grundlegenden Kontaktdaten und früheren Berufserfahrungen bis hin zu Gesundheitsinformationen und politischen Ansichten. Das Sammeln wichtiger Daten ist für die Gehaltsabrechnung, das Leistungsmanagement oder andere legitime Geschäftszwecke erforderlich. Das Sammeln anderer persönlicher Daten und das Treffen von Managemententscheidungen auf der Grundlage dieser Daten ist illegal und unethisch, aber wo ist die Grenze?

In diesem Artikel wird versucht, diese Grenze zu ziehen und die kritische Frage zu erörtern, auf welche Daten Arbeitgeber kein Recht haben, sie zu erhalten. Letztendlich ist es unser Ziel, einen Ausgangspunkt für das Verständnis der Grenzen zu schaffen, die Arbeitgeber bei der Erhebung von Arbeitnehmerdaten beachten müssen.

Die Grenzen der Daten, die ein Arbeitgeber sammeln darf, werden durch die Datenschutz- und Arbeitsgesetzgebung vorgegeben. Diese Gesetze können jedoch weltweit sehr unterschiedlich sein. In diesem Artikel gehen wir nur kurz auf einige wichtige Rechtsordnungen ein. Wenn Sie sich über die rechtlichen Besonderheiten in Ihrem Land informieren möchten, empfehlen wir Ihnen, Ihren Anwalt zu konsultieren.

Es ist erwähnenswert, dass die meisten Datenschutzgesetze die Datenerhebung am Arbeitsplatz nicht speziell abdecken. Stattdessen legen sie allgemeine Anforderungen für den Umgang mit personenbezogenen Daten fest, die später für die Beziehungen zwischen Arbeitgeber und Arbeitnehmer interpretiert werden sollten. Für die Zwecke dieses Artikels werden wir diese Gesetze mit den Begriffen "Arbeitgeber" und "Arbeitnehmer" beschreiben.

• Gesetz über die Übertragbarkeit und Rechenschaftspflicht von Krankenversicherungen (HIPAA) ist das wichtigste Gesetz zum Schutz der Gesundheitsdaten von Arbeitnehmern. Es schränkt den Zugang des Arbeitgebers zu den Krankenakten der Mitarbeiter ein und legt fest, dass diese nur für bestimmte Zwecke und mit Genehmigung des Patienten verwendet und weitergegeben werden dürfen.

• Gesetz für Menschen mit Behinderungen (ADA) schützt Menschen mit Behinderungen vor Diskriminierung. Dieses Gesetz schränkt auch den Zugang des Arbeitgebers zu medizinischen Informationen über den Arbeitnehmer ein. Insbesondere kann der Arbeitgeber nur dann medizinische Informationen erhalten, wenn diese mit der Arbeit in Zusammenhang stehen oder wenn der Arbeitnehmer besondere Vorkehrungen für seine Behinderung benötigt.

• Gesetz über faire Kreditauskunft (FCRA) regelt, wie Arbeitgeber Kreditinformationen von Mitarbeitern sammeln, verwenden und weitergeben. Arbeitgeber benötigen in der Regel einen zulässigen Zweck (z. B. eine Zuverlässigkeitsüberprüfung) und die schriftliche Zustimmung des Arbeitnehmers, bevor sie Kreditinformationen einholen können.

• Nationales Arbeitsbeziehungsgesetz (NLRA) schützt vor allem das Recht der Arbeitnehmer, sich untereinander über die Arbeitsbedingungen auszutauschen, auch über soziale Medien. Es garantiert jedoch keine vollständige Privatsphäre in den sozialen Medien, und Arbeitgeber haben möglicherweise einen gewissen Spielraum, um Mitarbeiter für Beiträge zu disziplinieren, die als störend oder bedrohlich für den Arbeitsplatz angesehen werden.

• Datenschutzgesetz von 1974: Dieses Gesetz gilt in erster Linie für den Umgang der Bundesbehörden mit personenbezogenen Daten, bietet aber auch einige Einblicke. Es legt Grundsätze wie "faire Informationspraktiken" fest, die von den Behörden verlangen, die Datenerfassung transparent zu gestalten und ihre Verwendung auf legitime Zwecke zu beschränken.

Dies sind nur einige der wichtigsten Vorschriften zum Datenschutz. Darüber hinaus gibt es einige einzelstaatliche Gesetze, wie das kalifornische Gesetz zum Schutz der Privatsphäre der Verbraucher (CCPA), die den Arbeitnehmern bestimmte Rechte in Bezug auf die Erhebung ihrer personenbezogenen Daten durch den Arbeitgeber einräumen.

Die Allgemeine Datenschutzverordnung (GDPR) ist die wichtigste Verordnung zum Datenschutz und zum Schutz der Privatsphäre in der EU. Sie legt die Messlatte für die Datenschutzrechte hoch, schränkt den Umfang der Daten ein, die Arbeitgeber sammeln dürfen, und gibt Arbeitnehmern eine erhebliche Kontrolle über ihre von Arbeitgebern gesammelten Daten.

Obwohl die DSGVO nicht eindeutig festlegt, welche personenbezogenen Daten erhoben werden dürfen und welche nicht, verpflichtet sie die Arbeitgeber zur Einhaltung der Grundsätze der Transparenz und der Notwendigkeit. Mit anderen Worten, sie müssen eine gültige Rechtsgrundlage für die Erhebung jeder Art von Informationen haben, z. B. vertragliche Notwendigkeit, Sicherheit am Arbeitsplatz oder Leistungsbewertung. Außerdem müssen die Arbeitgeber den Arbeitnehmern gegenüber offen darüber sein, welche Daten erhoben werden, wie sie verwendet werden und wie lange sie gespeichert werden.

Die DSGVO verlangt von den Arbeitgebern, dass sie geeignete technische und organisatorische Maßnahmen ergreifen, um Mitarbeiterdaten vor unbefugtem Zugriff, Offenlegung, Veränderung oder Zerstörung zu schützen.

Im Falle einer Datenschutzverletzung, die ein hohes Risiko für die Rechte und Freiheiten der Arbeitnehmer darstellt, müssen Arbeitgeber die zuständige Datenschutzbehörde und potenziell betroffene Personen benachrichtigen.

Das brasilianische Lei Geral de Proteção de Dados (LGPD) ist ein neues umfassendes Datenschutzgesetz, das der DSGVO nachempfunden ist und 2020 in Kraft tritt.

Ähnlich wie die Datenschutz-Grundverordnung (GDPR) enthält die LGPD keine Angaben zu Arbeitnehmerdaten, die Arbeitgeber nicht erheben dürfen. Sie legt jedoch einen Rahmen dafür fest, wie Arbeitgeber personenbezogene Daten von Arbeitnehmern erfassen, verwenden und speichern sollten. Die Arbeitgeber sind verpflichtet, die Zustimmung der Arbeitnehmer zur Erhebung ihrer Daten einzuholen. Sie dürfen nur die Daten sammeln, die für die Erfüllung des Arbeitsvertrags, die Gewährleistung der Sicherheit am Arbeitsplatz, die Untersuchung von Fehlverhalten oder andere legitime Geschäftszwecke unbedingt erforderlich sind. Sie müssen sicherstellen, dass die erhobenen Daten sicher gespeichert und vor unbefugtem Zugriff, Offenlegung, Änderung oder Zerstörung geschützt werden. Schließlich müssen Arbeitgeber im Falle einer Datenschutzverletzung, die ein hohes Risiko für die Rechte und Freiheiten der Arbeitnehmer darstellt, die brasilianische Datenschutzbehörde (ANPD) und potenziell betroffene Personen benachrichtigen.

Personenbezogene Daten werden in China durch das Gesetz zum Schutz personenbezogener Daten (Personal Information Protection Law - PIPL) geschützt. Das PIPL definiert "personenbezogene Daten" im weitesten Sinne als alle Daten, die eine Person identifizieren können, entweder allein oder in Kombination mit anderen Informationen. Zu diesen Informationen gehören Mitarbeiterdaten wie Name, Kontaktinformationen, Beschäftigungsgeschichte, Leistungsbewertungen und Gesundheitsdaten (mit zusätzlichen Einschränkungen).

Nach dem PIPL dürfen Arbeitgeber die Daten von Arbeitnehmern nur mit deren Zustimmung erheben und verarbeiten. Das Gesetz lässt auch andere Rechtsgrundlagen zu, darunter die vertragliche Notwendigkeit, die Erfüllung rechtlicher Verpflichtungen (Fälle, in denen die Datenerhebung nach chinesischem Recht erforderlich ist) und berechtigte Interessen.

Ähnlich wie die GDPR und die LGPD verpflichtet die PIPL Arbeitgeber dazu, ihre Datenerhebungspraktiken transparent zu gestalten, indem sie insbesondere eine klare und zugängliche Datenschutzrichtlinie bereitstellen und angemessene Sicherheitsmaßnahmen ergreifen, um Mitarbeiterdaten vor unbefugtem Zugriff, Offenlegung, Änderung oder Zerstörung zu schützen.

Die beschriebenen Vorschriften geben Arbeitgebern scheinbar die Freiheit, fast alle personenbezogenen Daten zu sammeln, solange sie diese mit geschäftlichen Zwecken erklären können. In der Praxis ist dies jedoch nicht der Fall.

Arbeitgeber haben kein Recht, bestimmte Daten ohne eine legitime Begründung und die Zustimmung der Arbeitnehmer zu erheben. Diese Daten fallen im Allgemeinen in die folgenden Kategorien:

Sensible Daten sind personenbezogene Informationen, die dazu verwendet werden können, eine Person zu diskriminieren oder private Aspekte ihres Lebens offenzulegen. Zu diesen Daten gehören unter anderem Rasse und ethnische Zugehörigkeit, Religion, philosophische Überzeugungen, sexuelle Orientierung, Geschlechtsidentität und politische Ansichten.

Das Sammeln und Verwenden dieser Daten kann zu Diskriminierung bei der Einstellung, Beförderung oder bei anderen Entscheidungen des Managements führen. Sie kann auch ein unangenehmes oder feindseliges Arbeitsumfeld für die Mitarbeiter schaffen.

In vielen Ländern ist der Zugang des Arbeitgebers zu den Gesundheitsdaten seiner Mitarbeiter eingeschränkt. Es gibt jedoch ein paar Ausnahmen:

• Der Arbeitnehmer gibt sein schriftliches Einverständnis.

• Die Informationen sind für die Verwaltung eines Gesundheitsplans oder aus Gründen der Sicherheit am Arbeitsplatz erforderlich (z. B. für die Beurteilung der Diensttauglichkeit oder für die Organisation besonderer Vorkehrungen für die Behinderung).

• Die Offenlegung ist gesetzlich vorgeschrieben (z. B. bei Entschädigungsansprüchen von Arbeitnehmern oder Urlaubsanträgen).

Es gibt keinen legitimen Grund für Arbeitgeber, über die grundlegenden Informationen für Lohn- und Steuerzwecke hinaus umfangreiche Finanzdaten von Arbeitnehmern zu sammeln. Zu den unzulässigen Daten gehören in diesem Fall Bankkontodaten, Kreditwürdigkeitsprüfungen und Wertpapierbestände.

Arbeitgeber können zwar ein berechtigtes Interesse daran haben, das Verhalten ihrer Mitarbeiter zu überwachen, sie können ihre Überwachung jedoch nicht auf persönliche Konten in sozialen Medien ausweiten. So können Arbeitgeber beispielsweise nicht von ihren Mitarbeitern verlangen, dass sie sich mit ihnen in sozialen Medien anfreunden oder auf private Konten zugreifen, da die Mitarbeiter ein Recht auf Privatsphäre bei der Nutzung sozialer Medien haben.

Das Recht des Arbeitnehmers auf Privatsphäre schützt ihn vor der Überwachung durch den Arbeitgeber während seiner Freizeit. Die Überwachung durch den Arbeitgeber erstreckt sich im Allgemeinen nur auf die Arbeitszeit und arbeitsbezogene Aktivitäten. Das Sammeln von Daten über die außerdienstlichen Aktivitäten von Arbeitnehmern ist in den meisten Rechtsordnungen eingeschränkt, es sei denn, es gibt eine legitime geschäftliche Rechtfertigung und es verstößt nicht gegen das Recht auf Privatsphäre.

Nach Angaben von die Harvard Business Review, 67,6 % der nordamerikanischen Unternehmen mit mehr als 500 Mitarbeitern verfolgen die Arbeitsaktivitäten ihrer Mitarbeiter mit spezieller Software. Eine weitere Untersuchung, zusammengefasst von WifiTalents stellt fest, dass fast 96 % der befragten Unternehmen irgendeine Form der Mitarbeiterüberwachungstechnologie einsetzen.

Es liegt in der Natur der Sache, dass Mitarbeiterüberwachungssoftware umfangreiche Daten über Mitarbeiter sammeln kann. Zu den häufigsten Funktionen gehören E-Mail-Überwachung, Überwachung der Internetaktivitäten, Bildschirmaufzeichnung, Verfolgung der App-Nutzung und sogar Video- und Tonüberwachung. Die Mitarbeiterüberwachung verfolgt hehre Ziele, wie die Sicherstellung einer ordnungsgemäßen Geschäftskommunikation, die Vermeidung von Sicherheitsbedrohungen und die Verbesserung der Produktivität. Es kann jedoch gelegentlich dazu kommen, dass persönliche Daten gesammelt werden, die nicht zulässig sind, wenn sie nicht unter Berücksichtigung rechtlicher und ethischer Erwägungen implementiert werden.

Die Rechtmäßigkeit von Überwachungsmaßnahmen für Mitarbeiter kann je nach Standort variieren. Einige Vorschriften, wie z. B. die GDPR, schreiben strengere Datenschutzrechte für Mitarbeiter vor und schränken den zulässigen Überwachungsumfang ein. Deshalb sollten Arbeitgeber die geltenden Gesetze in ihrem Gebiet studieren und verstehen, bevor sie irgendeine Art von Mitarbeiterüberwachung einführen.

Aus ethischer Sicht sollten die Grundsätze der Transparenz, der Verhältnismäßigkeit und der Rechtfertigung die Verwendung von Software zur Mitarbeiterüberwachung leiten. Die Arbeitgeber müssen die Datenerfassung auf die unbedingt notwendigen Aspekte beschränken und die Datenerfassung mit den Rechten der Arbeitnehmer auf Schutz der Privatsphäre in Einklang bringen. Der beste Weg, dies zu tun, ist die Wahl anpassungsfähiger Lösungen zur Mitarbeiterüberwachung, die leicht angepasst werden können, um eine übermäßige Datenerfassung zu vermeiden.

In diesem Fall können Sie unnötige Tracking-Funktionen deaktivieren, um eine übermäßige Datenerfassung zu vermeiden und die geltenden Vorschriften einzuhalten.

Ziehen Sie auch Überwachungsprogramme in Betracht, bei denen die Mitarbeiter die Überwachung manuell starten und beenden können. Mit dieser Option können die Mitarbeiter die Daten schützen, die nicht aufgezeichnet werden sollen. Dies ist besonders hilfreich für Mitarbeiter, die an einem anderen Ort arbeiten oder persönliche Geräte für die Arbeit verwenden.

Das Verständnis der Datenschutzrechte ist nicht nur für Arbeitgeber, sondern auch für Arbeitnehmer von entscheidender Bedeutung. Es gibt ihnen die Möglichkeit, die Kontrolle über ihre persönlichen Daten in allen Lebensbereichen zu übernehmen, auch am Arbeitsplatz. Die spezifischen Rechte, die Arbeitnehmern gewährt werden, und die einschlägigen Gesetze variieren je nach Standort. GDPR, LGPD und PIPL gewähren Arbeitnehmern beispielsweise mehrere wichtige Rechte in Bezug auf ihre Daten:

Das Recht auf Zugang: Arbeitnehmer können Zugang zu ihren persönlichen Daten beim Arbeitgeber beantragen.

Das Recht auf Berichtigung: Die Mitarbeiter können Korrekturen von ungenauen oder unvollständigen Daten beantragen.

Das Recht auf Löschung (auch bekannt als das "Recht auf Vergessenwerden"): Unter bestimmten Umständen können Arbeitnehmer die Löschung ihrer personenbezogenen Daten beantragen.

Das Recht auf Einschränkung der Verarbeitung: Die Mitarbeiter können die Verwendung ihrer Daten einschränken.

Das Recht auf Datenübertragbarkeit: Die Arbeitnehmer können beantragen, dass ihnen ihre personenbezogenen Daten in einem strukturierten, allgemein gebräuchlichen Format zur Verfügung gestellt und an einen anderen Arbeitgeber übermittelt werden (sofern dies technisch möglich ist).

Es ist wichtig zu beachten, dass dies nur allgemeine Beispiele sind. Wir ermutigen unsere Mitarbeiter, sich mit Rechtsberatern oder Datenschutzexperten in Verbindung zu setzen, um ihre spezifischen Rechte in Bezug auf den Datenschutz am Arbeitsplatz zu verstehen.

Das digitale Zeitalter hat die Grenzen zwischen Arbeit und Privatleben verwischt. Arbeitgeber können umfangreiche Mitarbeiterdaten sammeln und darauf zugreifen, was kritische Fragen zum Datenschutz und zu ethischen Grenzen aufwirft. Die legitimen Geschäftsinteressen des Arbeitgebers, wie Sicherheit, Produktivität und Einhaltung von Gesetzen, sollten nicht die Grenze zwischen der Notwendigkeit und dem Privatleben der Mitarbeiter überschreiten. Die Unternehmen sollten die rechtlichen Grenzen kennen und ihre Interessen mit der Achtung der Arbeitnehmerrechte in Einklang bringen.

Unternehmen empfehlen wir, einen Rechtsbeistand zu konsultieren, um sicherzustellen, dass Ihre Datenerfassungspraktiken mit den einschlägigen Gesetzen übereinstimmen. Erwägen Sie die Einführung klarer und zugänglicher Datenschutzrichtlinien, in denen die Art der von Ihnen erfassten Daten, deren Verwendung und die Rechte der Mitarbeiter in Bezug auf ihre Daten dargelegt sind.

Arbeitnehmern raten wir, sich mit ihren Datenschutzrechten am Arbeitsplatz vertraut zu machen. In vielen Ländern haben Arbeitnehmer das Recht, auf ihre personenbezogenen Daten zuzugreifen, sie zu berichtigen oder sogar zu löschen. Zögern Sie nicht, sich rechtlich beraten zu lassen oder einen Datenschutzbeauftragten zu konsultieren, wenn Sie Bedenken haben, dass Ihr Arbeitgeber Ihre Daten erfasst.