Mit sensiblen Unternehmensdaten wird oftmals nicht datenschutzkonform umgegangen. Vertrauliche Dokumente bleiben über der Mittagspause auf dem Arbeitsplatz für alle Vorbeigehenden offen einsehbar liegen und ausgedruckte Bewerbungen werden im Drucker vergessen. Interne Bilanzen werden im Großraumwagen im ICE erstellt und Akten teilweise unverschlossen gelagert. Das geschieht meist nicht mit Absicht, sondern ist eine Folge von bloßer Nachlässigkeit und Unwissenheit.
Diese Mitarbeiterdaten müssen dem Unternehmen immer vorliegen
Grundsätzlich darf die Personalabteilung alle personenbezogenen Daten eines Mitarbeiters speichern, wenn diese für das Zustandekommen eines Arbeitsverhältnisses zwingend notwendig sind. Die Daten, die im Rahmen des Bewerbungsprozess erhoben werden, dürfen prinzipiell auch im Zeitraum der Beschäftigung von der Personalabteilung gespeichert werden, sofern diese ordnungsgemäß erhoben wurden. Dazu zählen Name, Geburtsdaten, Anschrift, Kontaktdaten, Familienstand, Sprachkenntnisse sowie Schul- und Berufslaufbahn.
Bei erfolgreicher Einstellung muss der neue Mitarbeiter nun auch behördlich relevante Daten wie Sozialversicherungsnummer zur Verfügung stellen und Angaben über seine Krankenversicherung machen. Hierzu bedarf es keiner speziellen Zustimmung vom Mitarbeiter.
Diese personenbezogenen Daten dürfen im Intranet veröffentlicht werden
Zahlreiche Unternehmen verfügen mittlerweile über ein firmen- oder konzerninternes Netzwerk, auch Intranet genannt. Neben allgemeinen Daten, sind dort oftmals auch Mitarbeiterdaten gespeichert und für jeden mit einem spezifischen Zugang einsehbar.
Bei der Veröffentlichung von Mitarbeiterdaten im firmeninternen Netzwerk greift § 32 BDSG (Bundesdatenschutzgesetz). Das Veröffentlichen von geschäftlichen Daten mit direkten Bezug zur ausgeübten Tätigkeit ist demnach immer zulässig. Jedoch dürfen personenbezogene Daten von Kollegen lediglich zum Zweck der Durchführbarkeit von notwendigen Prozesse erhoben und ins Intranet eingestellt werden.
Die Schwierigkeit dabei: Welche spezifischen Daten von welchem Mitarbeiter abgefragt und ins interne Firmennetzwerk eingestellt werden darf, ist nicht pauschal zu benennen. Vielmehr kommt es auf die spezifische Funktion des Mitarbeiters inkl. seiner konkreten Aufgaben innerhalb des Unternehmens an. Ist es beispielsweise unerlässlich, dass ein Mitarbeiter in Zeiten seiner Abwesenheit erreichbar sein muss, um notwendige Entscheidungen treffen zu können, dann ist es erlaubt, auch seine Kontaktdaten wie Telefonnummer und/oder E-Mail Adresse im Intranet zu veröffentlichen. In diesem Fall sollte idealerweise seitens des Unternehmens die dafür benötigte Infrastruktur wie Diensthandy oder –notebook zur Verfügung zu stehen.
Grundsätzlich gilt bei der Veröffentlichung von Mitarbeiterdaten im Intranet, dass die Summe der zugänglichen personenbezogenen Mitarbeiterdaten auf ein Minimum zu beschränken sind. Bereits das Veröffentlichen von Mitarbeiterbilder und Geburtstagslisten kann ohne eine spezielle Einwilligung bereits problematisch sein.
Möglichkeiten der Weitergabe an Mitarbeiterdaten an Externe
Sensible Mitarbeiterdaten haben grundsätzlich im Unternehmen zu bleiben und dürfen nicht an Externe weitergeleitet werden. Ausnahme besteht bei behördlich relevante Daten wie Sozialversicherungsnummer etc. Diese Angaben dürfen aber nur an die entsprechende Behörde weitergeleitet werden dürfen.
Interne Mitarbeiterdaten dürfen an nicht-behördliche Dritte wie Kunden nur dann weitergegeben werden, wenn dies im Sinne der Beweisführung notwendig ist. Hier dürfen nur Angaben, die für eine eindeutige Identifizierung notwendig ist, wie Name und Position weitergegeben werden.
Diese Möglichkeit der Mitarbeiterdatenweitergabe ist jedoch mit äußerste Vorsicht anzuwenden. Eine pauschale gesetzliche Bestimmung gibt es nicht. Jeder Fall ist einzeln zu betrachten und zu prüfen, da es stets zwischen dem Persönlichkeitsrecht des betreffenden Mitarbeiters und dem Recht der Sicherung urheberrechtlicher Ansprüche, also der Möglichkeit des Auftragsgebers, sich vor Gericht verteidigen zu können, abzuwägen ist.
Die Aufbewahrungspflichten für Mitarbeiterdaten
Mitarbeiterdaten sind prinzipiell so aufzubewahren, dass kein Unbefugter auf diese Zugriff hat. Hierbei ist es rechtlich gesehen irrelevant, ob andere Mitarbeiter oder Unternehmensfremde Einsichten in die Daten haben. Entsprechende Akten müssen verschlossen gelagert und elektronische Dokumente auf einem gesicherten, passwortgeschützten Bereich auf dem Server abgelegt werden.