Management
shape UP Business 2/2021

Datenschutz im Arbeitsverhältnis

So machst du es im Studio richtig

Neben dem Schutz der Mitgliederdaten bist du als Studioinhaber auch verpflichtet, die Daten deiner Mitarbeiter zu schützen. Darüber hinaus musst du Sorge dafür tragen, dass deine Mitarbeiter den Datenschutz ernst nehmen und im Studio umsetzen.

Julia Ruch
Lesezeit: ca. 5 Minuten
Omelchenko / shutterstock.com

Der Mitarbeiterdatenschutz umfasst sämtliche personenbezogenen Daten. Das sind alle Informationen über eine natürliche Person, die sich der Person unmittelbar, z. B. Name und Geburtsdatum, oder mittelbar, z. B. Personalnummer, zuordnen lassen.

Pflichten als Arbeitgeber

Als Arbeitgeber darfst du diese personenbezogenen Daten nicht beliebig erheben, verarbeiten und weitergeben. Dazu bist du nur berechtigt, wenn der Mitarbeiter eingewilligt hat oder ein Gesetz es dir erlaubt.

Die Einwilligungdes Mitarbeiters muss schriftlich erfolgen, wobei jedoch eine E-Mail ausreichend ist. Auch muss sie freiwillig und ohne Druck abgegeben werden. Wird der Mitarbeiter also zur Abgabe der Einwilligung gedrängt, ist diese unwirksam.

Der Mitarbeiter hat jedoch ein Widerrufsrecht. Über die Möglichkeit, seine Einwilligung widerrufen zu können, muss der Mitarbeiter ausdrücklich informiert werden.

Die gesetzliche Grundlage für die Verarbeitung von Mitarbeiterdaten ist § 26 Abs. 1 S. 1 Bundesdatenschutzgesetz (BDSG). Danach ist die Datenverarbeitung zulässig, wenn sie „für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses, (…) für dessen Durchführung oder Beendigung erforderlich ist“. Beispiele dafür sind die Datenverarbeitung im Rahmen der Gehaltsabrechnung oder die Weitergabe von Mitarbeiterdaten an den Steuerberater. Als weitere gesetzliche Grundlage ist Art. 6 Abs. 1 Buchstaben c-f DSGVO denkbar. Hier kommen zum Beispiel rechtliche Verpflichtungen zur Datenweitergabe oder ein individuelles Interesse des Arbeitgebers in Betracht, das im Einzelfall die Interessen des Mitarbeiters überwiegt.

Weiter darfst du die Daten nur zu den vorab festgelegten Zwecken, z. B. Durchführung des Arbeitsverhältnisses, Gehaltsabrechnung etc., verwenden (sogenannte Zweckgebundenheit).

Zudem muss der Mitarbeiter ausreichend informiert werden. Die Informationspflichtendes Arbeitgebers sind vielfältig und sind in Art. 13 und Art. 14 DSGVO (Datenschutzgrundverordnung) aufgelistet. Zusammenfassend muss der Mitarbeiter darüber informiert werden, welche Daten, in welchem Umfang, von wem, zu welchen Zwecken und wie lange vom Arbeitgeber verarbeitet werden. Die Informationen sind bei der Erhebung der Daten zu erteilen. Erhält der Arbeitgeber die Daten nicht unmittelbar vom Mitarbeiter, zum Beispiel bei einer Bewerbung oder aus dem Personalfragebogen, ist der Mitarbeiter spätestens einen Monat nach Erhebung zu informieren. Du kannst deinen Informationspflichten in Form eines separaten Informationsblatts oder mit einem allgemein zugänglichen Aushang nachkommen oder die Informationen direkt an den Arbeitsvertrag anhängen.

Wie beim Datenschutz für die Mitgliederdaten müssen auch bei den Mitarbeiterdaten Sicherheitsvorkehrungen getroffen werden, damit die Daten nicht unberechtigt gespeichert, genutzt oder übermittelt werden können. So bist du verpflichtet, den Zugriff auf die Personalakten zu beschränken und zu sichern (z. B. verschließbarer Aktenschrank) sowie die digitalen Akten bzw. Dokumente mit verlässlicher Sicherheitssoftware und Passwortschutz zu sichern.

Sollte ein Mitarbeiter Auskunftdarüber begehren, welche Daten du als Arbeitgeber von ihm verarbeitest, musst du ihm diese Auskunft innerhalb von einem Monat auch erteilen. Beachte: Dieses Auskunftsrecht steht auch ehemaligen Mitarbeitern zu.

Verstößt ein Arbeitgeber gegen seine Pflichten aus der DSGVO oder dem BDSG oder einer anderen datenschutzrechtlichen Vorschrift, kann der Landesdatenschutzbeauftragte Bußgeldergegen ihn verhängen. Die Zahlung erfolgt jedoch nicht an den Mitarbeiter, sondern an den Staat. Der Mitarbeiter kann nur dann Schadensersatzverlangen, wenn ihm durch den Verstoß ein Schaden entstanden ist, zum Beispiel soziale Diskriminierung durch Veröffentlichung von Gesundheitsdaten.

Ebenso wichtig wie die Erfüllung der vorbenannten Pflichten ist es, den Mitarbeitern die Wichtigkeit des Datenschutzes zu vermitteln.

Je mehr Gesundheitsdaten erhoben werden, je mehr Herausforderungen ergeben sich auch für den Datenschutz. Alexey Boldin / shutterstock.com

Wissensaufbau

Laut dem BDSG müssen Mitarbeiter, die mit Personendaten und insbesondere Gesundheitsdaten in Berührung kommen, einmal pro Jahr im Bereich Datenschutz geschult werden. Hierbei ist darauf zu achten, dass auch nachgewiesen werden kann, dass diese Schulungen regelmäßig erfolgen. Gesetzliche Anforderungen für diese Schulungen gibt es jedoch nicht. Sie können persönlich durch einen Experten für Datenschutz oder mittels Online-Schulungen durchgeführt werden.

Verpflichtung auf das Datengeheimnis

Auch wenn es keine direkte gesetzliche Verpflichtung mehr gibt, solltest du trotzdem alle Mitarbeiter und Verantwortlichen, die Zugang zu personenbezogenen Daten haben, auf die Vertraulichkeit und den Datenschutz verpflichten. Der Art. 32 Abs. 4 DSGVO verpflichtet dich als Arbeitgeber, „sicherzustellen, dass dir unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten (…)“. Weitere Erklärungen und ein Muster für eine schriftliche Unterrichtung und Verpflichtung für Mitarbeiter ist im Kurzpapier Nr. 19 der Datenschutzkonferenz enthalten. Dieses ist im Internet abrufbar auf der Seite der Datenschutzkonferenz unter Infothek und Kurzpapier: su.rpv.media/2g2.

Brauchst du einen Datenschutzbeauftragten?

Dein Studio benötigt gemäß § 38 Abs. 1 S.1 BDSG einen offiziellen Datenschutzbeauftragten, wenn bei dir in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Hast du in der Summe weniger als zwanzig Mitarbeiter (auch freie Trainer und Servicemitarbeiter) und externe Beauftragte, welche die Mitarbeiterdaten verarbeiten, trifft die Verpflichtung aus dem BDSG auf dein Studio nicht zu.

Allerdings kann sich die Verpflichtung auch aus der DSGVO ergeben. Nach Art. 37 Abs. 1 lit. c DSGVO musst du als Studioinhaber auf jeden Fall einen Datenschutzbeauftragten benennen, wenn die Kerntätigkeit des Studios in der umfangreichen Verarbeitung besonderer Kategorien von Daten, beispielsweise in Form von Gesundheitsdaten, besteht.

Entscheidend dabei ist, ob die Gesundheitsdaten im Studio „umfangreich“ verarbeitet werden.

Bei einem Studio für Reha-Sport oder einem Studio mit „smarten“ Geräten, die eine Vielzahl von Daten über den trainierenden Sportler erheben und selbst oder auf einer Chipkarte speichern, spricht viel dafür, dass ein offizieller Datenschutzbeauftragter bestellt werden muss. Wer die Gesundheitsdaten jedoch lediglich für die Trainingsplanung benutzt und keinerlei Tracking betreibt, für den reicht auch die Benennung eines Verantwortlichen für Datenschutz.

Der offizielle Datenschutzbeauftragte kann sowohl ein Mitarbeiter mit Fachkenntnissen als auch ein externer Berater sein. Ein Mitarbeiter als Datenschutzbeauftragter muss ausreichend Fachwissen im Datenschutzrecht besitzen, um die Aufgaben ausreichend erfüllen zu können. Eine zusätzliche Ausbildung zum Datenschutzbeauftragten wird unbedingt angeraten.

Wer jedoch keinen Datenschutzbeauftragten benötigt, sollte dennoch einen Verantwortlichen für Datenschutz für das Studio benennen. Dieser agiert dann als Ansprechpartner für Mitarbeiter und Mitglieder zu allen Themen rund um den Datenschutz, überwacht Löschfristen, aktualisiert die Verzeichnisse von Verarbeitungstätigkeiten (VVT) und arbeitet gegebenenfalls mit den Behörden zusammen. Andernfalls musst du als Studioinhaber diese Aufgaben übernehmen.

Der erste Schritt ist also, zu ermitteln, ob man einen Datenschutzbeauftragten benötigt oder nicht. Sollte ein Verantwortlicher für Datenschutz ausreichen, empfiehlt es sich, zusammen mit einem Rechtsanwalt bzw. einer Rechtsanwältin, die Pflichten aus der DSGVO und dem BDSG im Studio zu etablieren. Dazu gehört eine Dateninventur, genauso wie das Erstellen von VVT, die Dokumentation von technisch organisatorischen Maßnahmen, das Einholen von Einwilligungen, ein Löschkonzept sowie ein Notfall- und Sicherheitsplan. Tipp: Frage nach einem Rundum-Paket, damit du alle Verpflichtungen im Bereich Datenschutz erfüllst und rundum abgesichert bist. Mit einem Handgriff hast du danach alles parat, was du brauchst, wenn das Studio geprüft wird oder eine Auskunft über seine Datenverarbeitung geben muss. Damit gehörst du zu den ca. 37 Prozent der Unternehmen, die abgesichert sind.

Quelle

Umfrage: Stand der Umsetzung der DSGVO durch Unternehmen in Deutschland im September 2020. Zugriff am 25.01.2020 su.rpv.media/2g1

Dieser Artikel ist erschienen in