Praxiswissen Datenschutz Basics Externer DSB

3 Min

Anleitung zu Einwilligungen im Arbeitsverhältnis

Malte Rowe
Malte Rowe

Senior Privacy Consultant

Was dürfen Arbeitgeber? Welche personenbezogenen Daten dürfen sie über Angestellte erheben?

Gerade Deutschland ist bekannt ist für starke Arbeitnehmerrechte. Kündigungsschutz, Mindesturlaub und festgelegte Ruhezeiten sind nur einige der Beispiele, die Arbeitnehmern rechtlich den Rücken stärken.

Und auch die informationelle Selbstbestimmung und Privatsphäre von Arbeitnehmern sind geschützt ­­­– besonders durch die Datenschutz-Grundverordnung (DSGVO) und das Bundesdatenschutzgesetz. Diese regeln, dass Unternehmen und Organisationen ihre Mitarbeiter beispielsweise nicht einfach so für Marketing-Fotos ablichten dürfen.

Was Sie beim Umgang mit Arbeitnehmerdaten beachten müssen, wie Ihnen Einwilligungen im Arbeitsverhältnis weiterhelfen und ob Sie für überhaupt eine Einwilligung brauchen, erfahren Sie hier.

 

Das Wichtigste in Kürze

  • Einwilligungen sind eher wacklige Angelegenheit. Sie müssen dokumentiert, korrekt formuliert und freiwillig sein. Zudem besteht bei Einwilligungen immer die Möglichkeit, dass Mitarbeiter diese widerrufen.
  • Daher sollten Sie genau prüfen, ob Sie sich bei der Verarbeitung nicht auf eine andere Rechtsgrundlage stützen können.
  • Alle Datenverarbeitungsvorgänge, die für die Erfüllung oder Anbahnung eines Vertrags erforderlich sind, sind rechtmäßig und es wird grundsätzlich keine Einwilligung benötigt.
  • Doch Vorsicht: Dies gilt nur für solche personenbezogenen Daten, die für den das Arbeitsverhältnis bzw. dessen Anbahnung (den Bewerbungsprozess) auch nötig sind.
  • Eine weitere mögliche Rechtsgrundlage zur Datenverarbeitung im Arbeitsverhältnis ist das berechtigte Interesse. Wird diese Rechtsgrundlage bedient, muss immer eine Interessenabwägung durchgeführt und dokumentiert werden.
  • Prinzipiell gilt eine Einwilligung so lange, bis sie widerrufen wird. Sie erlischt also nicht in jedem Fall automatisch mit dem Beschäftigungsende.

Holen Sie Einwilligungen von Arbeitnehmern und Bewerbern nur da ein, wo es keine andere Rechtsgrundlage gibt

„Hiermit willige ich ein, dass meine Daten im Rahmen des Bewerbungsverfahrens gespeichert und verarbeitet werden.“ Checkboxen mit dieser oder ähnlichen Formulierungen finden sich auf so mancher Karriereseite. Unternehmen wollen sichergehen, dass sie Bewerberdaten DSGVO-konform verarbeiten.

Doch Einwilligungen da einzuholen, wo es andere Rechtsgrundlagen zur Datenverarbeitung gibt, ist kontraproduktiv. Zum einen können Einwilligungen jederzeit widerrufen werden. Zum anderen stiften sie rechtlich Verwirrung.

Alle Datenverarbeitungsvorgänge, die für die Erfüllung oder Anbahnung eines Vertrags erforderlich sind, sind rechtmäßig und es wird grundsätzlich keine Einwilligung benötigt. Der Bewerbungsprozess gilt als Anbahnung eines Arbeitsvertrags und erlaubt somit die Verarbeitung von Bewerberdaten. Doch Vorsicht: Dies gilt nur für solche personenbezogenen Daten, die für den Bewerbungsprozess auch nötig sind.

Die Erhebung bzw. das aktive Erfragen von z. B. Familienstand, Alter oder Geschlecht widerspricht dem Prinzip der Datensparsamkeit, da sie für die Entscheidung über eine Einstellung des Bewerbers nicht relevant sind bzw. sein sollten.

Ist die Bewerbung erfolgreich und der Bewerber wird eingestellt, ist es für die Durchführung des Arbeitsverhältnisses nötig, weitere Daten zu verarbeiten. Aber auch hier ist für die Verarbeitung dieser Daten keine Einwilligung erforderlich, da sie z. B. aus steuerrechtlichen Gründen erhoben und verarbeitet werden müssen.

Beispiele für Datenverarbeitungsvorgänge im Arbeitsverhältnis, die keiner Einwilligung bedürfen, sind:

  • Erhebung von Kranken- und Sozialversicherungsdaten (z. B. zuständige Krankenkasse, Sozialversicherungsnummer)
  • Weitergabe von Krankmeldungen an die Krankenkasse
  • Abfrage einer Bankverbindung, auf die das Gehalt überwiesen werden soll
  • Erhebung von Familienstand und Kinderanzahl
  • Kirchensteuermerkmal
  • Lohnsteuerklasse

Eine weitere mögliche Rechtsgrundlage zur Datenverarbeitung im Arbeitsverhältnis ist das berechtigte Interesse. Wird diese Rechtsgrundlage bedient, muss immer eine Interessenabwägung durchgeführt und dokumentiert werden. Berechtigtes Interesse kann zum Beispiel an der Videoüberwachung bestimmter Bereiche im Betrieb oder dem GPS-Tracking von Lieferfahrzeugen bestehen.

Wichtig ist: Die Einwilligung sollte auch bei Datenverarbeitung von Arbeitnehmern das letzte Mittel sein.

Für diese Datenverarbeitungsvorgänge brauchen Arbeitgeber Einwilligungen

Kurz gesagt: immer dann, wenn keine andere Rechtsgrundlage greift. Ein typisches Beispiel ist die Verwendung von Mitarbeiterfotos auf der Unternehmenswebsite oder für Marketing-Material (Flyer, Broschüren, etc.).

Auch der Überwachung von Arbeitslaptop oder Firmenhandy während der privaten Nutzung müssen Mitarbeiter zustimmen. Das kann allerdings dadurch vermieden werden, dass Mitarbeiter darauf hingewiesen werden, Fimenhard- und software nur für die Arbeit zu verwenden.
 

 

Einwilligungen müssen auch im Arbeitsverhältnis freiwillig sein

Werden Einwilligungen unter Druck oder in einer Zwangssituation abgegeben, sind sie null und nichtig. Nun stellt sich im Arbeitsverhältnis eine spannende Frage: Kann die Freiwilligkeit überhaupt gewährleistet werden, wenn für Arbeitnehmer potenziell ihr Job auf dem Spiel stehen könnte?

Die Antwort ist: ja. Für Arbeitgeber gibt es aber einige Punkte zu beachten, um die Freiwilligkeit einer Einwilligung zu wahren:

  1. Koppeln Sie die Einwilligung nicht an andere Verträge wie den Arbeitsvertrag, auch nicht als Anhang zu diesem. Sie sollte ein eigenständiges, schriftliches und beidseitig unterschriebenes Dokument sein.
  2. Formulieren Sie die Einwilligung so, dass die Freiwilligkeit deutlich wird. Weisen Sie beispielsweise explizit darauf hin, dass bei Widerruf oder Nicht-Einwilligung keine Nachteile zu befürchten sind.
  3. Und last but certainly not least: Die Freiwilligkeit muss gelebte Realität in Ihrem Unternehmen sein. Das heißt: Wenn Mitarbeiter Einwilligungen nicht abgeben wollen oder nachträglich widerrufen, darf das auf keinen Fall irgendwelche negativen Folgen haben. Versuchen Sie niemals, Menschen zu überreden oder anderweitig Druck auszuüben.

Ein Hinweis zur Verwendung von Mitarbeiterfotos auf der Website

Wenn die Mitarbeiterfotos nur auf der Team- oder Karriereseite verwendet werden (z. B. im Stil von „Ihre Ansprechpartnerin bei DataGuard…“), sind Einwilligungen ein recht verlässlicher Weg.

Wollen Sie Fotos jedoch auf verschieden Internetauftritten verwenden, gerät das Einwilligungsmanagement schnell außer Kontrolle. Widerruft ein Mitarbeiter dann seine Einwilligung, muss genau dokumentiert sein, an welchen Orten im Internet sein Foto verwendet wird und dort ersetzt oder gelöscht werden. Eine zuverlässige, konstant aktualisierte Dokumentation ist daher der Schlüssel zum Erfolg.

Manche Unternehmen arbeiten stattdessen mit sogenannten Model-Release Verträgen, die den Mitarbeitern ihre Fotos gegen einen Obolus abkaufen. Dann ist die Rechtsgrundlage keine Einwilligung mehr, sondern ein Vertrag. Wir empfehlen, sich für die Erstellung und Prüfung solcher Verträge an einen Rechtsanwalt zu wenden.

Einwilligungen von Arbeitnehmern enden nicht automatisch mit dem Beschäftigungsverhältnis

Was passiert eigentlich, wenn ein Arbeitnehmer das Unternehmen verlässt? Einige erteilte Einwilligungen verlieren dann ihren Nutzen. Zum Beispiel wird ein Unternehmen keine Daten zum Standort des Firmenwagens der Person mehr erheben oder deren Foto online auf der Team-Seite abbilden wollen.

Sobald also der Zweck weggefallen ist, sollte die Verarbeitung eingestellt werden. Für das oben genannte Beispiel hieße das: Mitarbeiterfoto von der Webseite nehmen, auch ohne gesonderte Aufforderung des Mitarbeiters.

Prinzipiell gilt aber eine Einwilligung so lange, bis sie widerrufen wird. Sie erlischt also nicht in jedem Fall automatisch mit dem Beschäftigungsende. Im Jahr 2015 (vor Inkrafttreten der DSGVO) entschied das Bundesarbeitsgericht sogar, dass ein Widerruf der Einwilligung mitunter nur mit einem plausiblen Grund gültig ist. 

Eine solche Auslegung der Einwilligung ist seit Gültigkeit der DSGVO allerdings nicht mehr zu erwarten. Hier ging es um die Weiternutzung eines Werbevideos, in dem der Mitarbeiter zu sehen war.
Worauf Sie bei der Erstellung und Veröffentlichung von Bildaufnahmen Ihrer Mitarbeiter achten müssen, erfahren Sie hier: „Mitarbeiterfotos und Datenschutz – was gibt es zu beachten?“

Fazit

Einwilligungen sind auch im Angestelltenverhältnis eine eher wacklige Angelegenheit. Sie müssen dokumentiert, korrekt formuliert und freiwillig sein. Zudem besteht bei Einwilligungen immer die Möglichkeit, dass Mitarbeiter diese widerrufen. Daher sollten Sie genau prüfen, ob Sie sich bei der Verarbeitung nicht auf eine andere Rechtsgrundlage stützen können.

Gerne steht Ihnen unser Expertentermin für weitere Fragen zu diesem und anderen Themen rund um den Datenschutz zur Verfügung. Eine erste Beratung ist dabei kostenlos.
Veröffentlicht am Aktualisiert am
Top 6 Datenschutzfehler

Vermeiden Sie unnötige Datenschutzfehler

In unserer kostenlosen Checkliste erhalten Sie eine Übersicht der Top 6 Datenschutzfehler in Unternehmen und wie Sie diese vermeiden.

Jetzt kostenlos herunterladen
Tags Praxiswissen Datenschutz Basics Externer DSB

Über den Autor

Malte Rowe Malte Rowe
Malte Rowe

Senior Privacy Consultant

Malte Rowe ist seit 2018 zertifizierter Datenschutzbeauftragter (TÜV) sowie IT-Grundschutzpraktiker (BSI). Auf seiner Laufbahn hat er zuvor schon als Data Protection Manager bei der flaschenpost AG und in einer Berliner Datenschutzberatungsgesellschaft gearbeitet. Davor war er lange Zeit im Bereich Online- und Social-Media-Marketing selbstständig. In der täglichen Kundenberatung liegt es ihm besonders am Herzen, Lösungen ohne prinzipielle Verbote zu bieten und so die Unternehmen, die er betreut datenschutzkonform voranzubringen.

Mehr Artikel ansehen

Diese Themen sollten Sie nicht verpassen:

Weitere Artikel

Was ist der BSI Standard?
Informationssicherheit

4 Min

Was ist der BSI Standard?

Entdecken Sie die Vorteile von BSI-Standards für Innovation, Produktivität und Sicherheit. Verbessern Sie Rentabilität und Kundenvertrauen.

Weiterlesen
BSI Grundschutz Zertifizierung
Informationssicherheit

3 Min

BSI Grundschutz Zertifizierung

Entdecken Sie die BSI-Grundschutz-Zertifizierung für starke Informationssicherheit und bleiben Sie auf dem neuesten Stand der Praktiken.

Weiterlesen
Was ist Datenmanagement?
Informationssicherheit

3 Min

Was ist Datenmanagement?

Erfahren Sie, warum Datenmanagement wichtig ist und wie Sie es effektiv nutzen können. Bewährte Praktiken und Tools.

Weiterlesen
Was ist Big Data Analytics?
Informationssicherheit

6 Min

Was ist Big Data Analytics?

Big Data Analytics bietet z.B. verbesserte Entscheidungsfindung und Kundenerfahrung. Erfahren Sie, wie Techniken wie maschinelles Lernen genutzt werden.

Weiterlesen
American Privacy Rights Act (APRA): Was der Entwurf für EU-Unternehmen und Behörden bedeuten kann
Informationssicherheit

3 Min

American Privacy Rights Act (APRA): Was der Entwurf für EU-Unternehmen und Behörden bedeuten kann

Der US-Kongress hat einen Entwurf für neue US-Datenschutzgesetze vorgelegt. Hier erfahren Sie, was der American Privacy Rights Act (APRA) für Ihr Unternehmen bedeuten könnte.

Weiterlesen
Was ist eine ITIL-Zertifizierung?
Informationssicherheit

6 Min

Was ist eine ITIL-Zertifizierung?

Entdecken Sie die Vorteile der ITIL-Zertifizierung: Steigern Sie Ihr Verdienstpotenzial und verbessern Sie Ihre IT-Services.

Weiterlesen

Sprechen Sie unser Sales-Team an

Erfahren Sie, wie DataGuard Ihnen helfen kann.

Finden Sie heraus, wie unsere Datenschutz-, Informationssicherheits- und Compliance-Lösung Vertrauen stärkt, Risiken minimiert und Umsatz steigert.

  • bis heute 100% Erfolgsquote bei ISO 27001 Audits
  • 40% Reduzierung bei Gesamtbetriebskosten (TCO)
  • Eine skalierbare und einfach zu verstehende Web-Plattform
  • Praktisch umsetzbare Handlungsempfehlungen unserer Experten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Fordern Sie noch heute Ihr Angebot an

Ihre Vorteile im Überblick

  • Benennung eines externen Datenschutzbeauftragten
  • Audit Ihrer Datenverarbeitungsvorgänge
  • Unterstützung rund um AV-Verträge, VVT, TOM, Schulung, u.v.m.
  • Personalisierte Betreuung durch Ihren Ansprechpartner 
  • Skalierbar für KMU und Konzerne
  • 100+ Experten aus den Bereichen Recht, Wirtschaft & IT

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Vereinfachung Ihrer Compliance-Prozesse

Ihre Vorteile im Überblick

  • Kontinuierliche Unterstützung auf Ihrem Weg zur Zertifizierung nach ISO 27001 und TISAX®️, sowie NIS2 Compliance
  • Profitieren Sie von persönlicher Beratung
  • Bauen Sie ein strukturiertes ISMS mit unserer InfoSec-Plattform auf
  • Automatische Erstellung verpflichtender Dokumente
Certified-Icon

100% Erfolgsquote unserer Kunden bei Audits nach ISO 27001

TISAX® ist eine eingetragene Marke der ENX Association. DataGuard steht in keiner geschäftlichen Verbindung zu ENX. Wir bieten lediglich Beratung und Unterstützung zur Vorbereitung auf das Assessment nach TISAX® an. Die ENX Association übernimmt keine Verantwortung für die auf der DataGuard-Website dargestellten Inhalte.

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt durchstarten

  • Datenschutzkonforme und transparente Einholung von Einwilligungen
  • Konform mit DSGVO, CCPS, LGPD, ePrivacy
  • Langfristig wertvollere Daten
  • Zentraler Überblick: Ihre Single Source of Truth
  • Persönlicher Support durch Experten bei jedem Schritt
  • Einfache Integration in alle Ihre Marketing-Tools und CRM

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Proaktive statt reaktive Unterstützung
  • Erstellung der wichtigsten Dokumente und Richtlinien
  • Umfassendes Compliance-Management
  • Mitarbeiterschulungen
  • Digitales Compliance-Management-System
  • Beratung durch erfahrene Branchenexperten

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Lernen Sie DataGuard kennen

Jetzt Angebot anfragen

  • Einhalten der EU-Whistleblower-Richtlinie
  • Digitales Whistleblowing-System
  • Einfache und schnelle Implementierung
  • Zentrale Datenquelle
  • Sicher und gesetzeskonform
  • Klares und transparentes Reporting

Vertrauen von mehr als Kunden

Canon Logo Contact Holiday Inn Logo Contact Unicef Logo Contact Burger King Logo Contact Veganz Logo Contact Fressnapf Logo Contact Völkl Logo Contact Arri Logo Contact Free Now Logo Contact

Jetzt Termin vereinbaren