Auch beim Gesundheits- und Arbeitsschutz sind personenbezogenen Daten betroffen.
Im Rahmen der ergonomischen Gestaltung eines Arbeitsplatzes ist etwa bei der Höheneinstellung des Schreibtisches die Körpergröße von Mitarbeitern zu berücksichtigen.
Dabei ist eine Dokumentation zwingend erforderlich und dadurch werden personenbezogene Daten erfasst und der Datenschutzbeauftragte zu beteiligen.
Deshalb müssen Personen, welche für den Arbeitsschutz im Unternehmen zuständig sind, die gesetzlichen Vorschriften genau kennen und wissen, wie die Verarbeitung von persönlichen Daten erfolgt darf.
Art. 88 Abs. 1 DSGVO Datenverarbeitung im Beschäftigungskontext
Die Erhebung von Beschäftigtendaten ist gemäß Art. 88 Abs. 1 DSGVO für folgende unternehmerische Zwecke erforderlich:
- die Einstellung
- die Erfüllung des Arbeitsvertrags einschließlich
- der Erfüllung von durch Rechtsvorschriften oder
- durch Kollektivvereinbarungen festgelegten Pflichten
- das Management
- die Planung und Organisation der Arbeit
- die Gleichheit und Diversität am Arbeitsplatz
- die Gesundheit und Sicherheit am Arbeitsplatz
- den Schutz des Eigentums der Arbeitgeber oder Kunden
- die Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen
- die Beendigung des Beschäftigungsverhältnisses
Erforderlichkeitsprüfung
Im Rahmen einer der Erforderlichkeitsprüfung sind die widerstreitenden Grundrechtspositionen zur Herstellung praktischer Konkordanz abzuwägen.
Dabei sind die Interessen des Arbeitgebers an der Datenverarbeitung und das Persönlichkeitsrecht der Beschäftigten zu einem schonenden Ausgleich zu bringen, der beide Interessen möglichst weitgehend berücksichtigt.
Wenn also eine Maßnahme nicht erforderlich ist und es existiert keine gesetzliche Regelung (z.B. Arbeitsschutzgesetz), die dazu berechtigt, die Maßnahme durchzuführen, dann bedarf es einer Einwilligung.
Bei jeder Maßnahme im Arbeits- und Gesundheitsschutz sind also folgende Fragen zu beantworten:
- Werden bei der Maßnahme personenbezogene Daten erfasst?
- Ist die Erfassung notwendig und ergibt sich die Maßnahme aus einem Gesetz, einem Tarifvertrag oder einer Betriebs- bzw. Dienstvereinbarung?
- Falls eine Einwilligung des Beschäftigten benötigt wird, um die Daten zu erfassen, liegt die Einwilligung vor?
§ 26 BDSG Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses
Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.
Betriebs- bzw. Personalrat
Die Beteiligung des Betriebs- bzw. Personalrats ist in dem Prozess aufgrund seiner Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG obligatorisch.
Zudem muss der Betriebsrat über die Einhaltung des Datenschutzrechts und anderer Vorschriften zum Schutz von Arbeitnehmern gemäß § 80 Abs. 1 Nr. 1 BetrVG wachen.
Daher sind auch hier Unternehmensrichtlinien zum Datenschutz auszuarbeiten, um die Datenverarbeitung am Arbeitsplatz transparent und rechtssicher zu regeln.
Zudem ist zu beachten, dass die datenschutzrechtlichen Regelungen auch gegenüber dem Betriebsrat einzuhalten sind.
Arbeitsschutzrechtliche Maßnahmen und Datenschutzprinzipen
Im Rahmen der arbeitsschutzrechtlichen Maßnahmen sollten Sie prüfen, ob beim Erfassen von Arbeitnehmerdaten Rückschlüsse auf die einzelnen Personen möglich sind.
Ist dies der Fall, unterliegen sämtliche erfassten Daten den Grundsätzen für die Verarbeitung personenbezogener Daten nach Art. 5 Abs. 1 DSGVO.
Personenbezogene Daten müssen
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 lit. a DSGVO)
- Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)
- Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)
- Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO)
- Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)
- Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO)
Also lassen Sie sich gut beraten.