Datenschutzerklärung für Beschäftigte: Interne Auskunftspflicht gemäß DSGVO
Viele Unternehmen nehmen die Auskunftspflicht gegenüber externen Betroffenen sehr ernst, doch der gleiche Aufwand sollte auch in die Information der eigenen Beschäftigten gesteckt werden. Denn die DSGVO unterscheidet in Art. 15 nicht, ob die betroffene Person innerhalb oder außerhalb des Unternehmens steht. Auch die eigene Belegschaft hat ein Recht auf Auskunft über die Verarbeitung ihrer personenbezogenen Daten.
Warum eine Datenschutzerklärung für Beschäftigte wichtig ist:
- Sie beugt dem „Missbrauch“ des Datenschutzes durch Beschäftigte in Streitigkeiten mit dem Arbeitgeber vor.
- Sie bezieht die Beschäftigten in das ganzheitliche Datenschutzkonzept ein und bietet somit keine unnötige Angriffsfläche.
- Sie erfüllt die Informationspflichten gemäß Art. 13 DSGVO gegenüber den Beschäftigten.
- Sie schafft Transparenz und ein gutes Gefühl bei der Belegschaft, dass der Schutz ihrer Daten einen hohen Stellenwert hat.
Inhalt einer Datenschutzerklärung für Beschäftigte:
Grundsätzlich gehören in eine Datenschutzerklärung für die Belegschaft dieselben Informationen wie in eine Datenschutzerklärung für Kunden. Sie muss sich auf die personenbezogenen Daten beziehen, die das Unternehmen zu seinen Beschäftigten verarbeitet. Dabei sind insbesondere folgende Punkte zu untersuchen:
- Welche personenbezogenen Daten der Beschäftigten werden verarbeitet?
- Welche Zugriffsberechtigungen bestehen auf diese Daten?
- Wie sehen die Aufbewahrungsfristen aus?
- Name und Kontaktdaten des Verantwortlichen
- Kontaktdaten des Datenschutzbeauftragten (DSB)
- Zwecke der Datenverarbeitung
- Berechtigte Interessen der Datenverarbeitung, falls diese auf Art. 6 Abs. 1 Buchst. f DSGVO beruht
- Empfänger der personenbezogenen Daten
- Eine etwaige Datenübermittlung in ein Drittland
- Dauer der Datenverarbeitung
- Informationen über die Rechte der betroffenen Person (Löschung, Berichtigung, Auskunft etc.)
- Informationen zu einem etwaigen Widerrufsrecht
- Informationen bzgl. Beschwerderecht bei einer Aufsichtsbehörde
Zur Kontrolle der Vollständigkeit empfiehlt es sich, die Datenverarbeitung in folgenden Bereichen zu prüfen:
- Regulärer und interner Bewerbungsprozess
- Beschäftigungsverhältnis
- Austritt aus dem Unternehmen
- Personalgespräche (Gehalt, Bonus, Performance etc.)
- „Mitarbeiter werben Mitarbeiter“
- Unternehmensinterne Veranstaltungen (Weihnachtsfeiern, Firmenevents etc.)
- Mitarbeiterrabatte (Fitnessstudios, Restaurants etc.)
- Hybrides Arbeiten (ggf. Verweis auf Betriebsvereinbarungen)
- Arbeitszeiterfassung
- Nutzung von Fotos und Videoaufnahmen der Belegschaft
Kommunikation der Datenschutzerklärung:
Die Information muss den Arbeitskräften zum Zeitpunkt der Erhebung der personenbezogenen Daten gemäß Art. 13 DSGVO zur Verfügung stehen.
- Im Rahmen eines neuen Bewerbungsverfahrens kann dies z.B. durch einen Link in der Stellenbeschreibung erfolgen.
- Für alle anderen Verfahren kann auf eine Seite im unternehmenseigenen Intranet verlinkt werden. Wichtig ist, dass alle zu informierenden Beschäftigten Zugriff auf diese Seite haben.
- Auch im Onboarding-Prozess neuer Mitarbeiter sollte auf die Datenschutzerklärung hingewiesen werden.
Beispiele für die Kommunikation:
- Bei der Einladung zum Firmenjubiläum kann ein kurzer Hinweis mit Link auf die Datenschutzerklärung im Intranet erfolgen.
- Im internen Stellenportal kann ebenfalls auf die Datenschutzerklärung für Beschäftigte verlinkt werden.
Es ist empfehlenswert, die Datenschutzerklärung für Beschäftigte analog zur „normalen“ Datenschutzerklärung aufzubauen. Ein gepflegtes, aktuelles Verzeichnis von Verarbeitungstätigkeiten kann dabei sehr hilfreich sein. Wichtig ist, die Datenschutzerklärung für Beschäftigte immer aktuell zu halten.
