Kostenlose Mitarbeiter-Datenschutzerklaerung Vorlage

GELTUNGSBEREICH UND RECHTSGRUNDLAGEN

Diese Datenschutzinformation gilt für alle Beschäftigten im Sinne des § 26 Abs. 8 BDSG (Arbeitnehmer/innen, Auszubildende, Leiharbeitnehmer/innen, arbeitnehmerähnliche Personen, Bewerber/innen sowie ausgeschiedene Beschäftigte).

Primäre Rechtsgrundlage: § 26 Abs. 1 BDSG bildet die zentrale Rechtsgrundlage: Personenbezogene Daten von Beschäftigten dürfen verarbeitet werden, soweit dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses oder für die Ausübung von Rechten und Pflichten aus einer Interessenvertretung erforderlich ist. Ergänzend: Art. 88 DSGVO (Öffnungsklausel) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).

Ergänzend kommen in Betracht:
• Art. 6 Abs. 1 lit. c DSGVO i. V. m. EStG, SGB IV/V/VI, ArbZG, ArbSchG (rechtliche Verpflichtungen);
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse — z. B. IT-Sicherheit, Schutz des Eigentums, Aufklärung von Straftaten);
• Art. 9 Abs. 2 lit. b DSGVO i. V. m. § 26 Abs. 3 BDSG (besondere Kategorien, insbesondere Gesundheitsdaten, zur Ausübung arbeitsrechtlicher Rechte und Pflichten);
• Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 26 Abs. 2 BDSG (Einwilligung — Freiwilligkeit ist im Beschäftigungskontext besonders streng zu prüfen).

KATEGORIEN VERARBEITETER PERSONENBEZOGENER DATEN

Je nach Funktion, Aufgabe und Einzelfall verarbeiten wir folgende Datenkategorien:

• Personalstammdaten — Name, Anschrift, Geburtsdatum, Familienstand, Staatsangehörigkeit, Sozialversicherungsnummer, Steuer-ID, Bankverbindung, Kontaktdaten im Notfall

• Vergütungs- und Abrechnungsdaten — Gehalt, Lohnsteuerklasse, Konfession, Sozialversicherungsbeiträge, Pfändungen, vermögenswirksame Leistungen, betriebliche Altersvorsorge

• Arbeitszeit- und Abwesenheitsdaten — Arbeitszeiten, Überstunden, Urlaub, Krankheitstage, Dienstreisen, Gleitzeitkonto (Zeiterfassungspflicht nach BAG 13.09.2022, 1 ABR 22/21)

• Gesundheitsdaten (Art. 9 DSGVO — besondere Kategorie) — Arbeitsunfähigkeitsbescheinigungen, Ergebnisse arbeitsmedizinischer Vorsorge (nur Eignung/Nichteignung), Schwerbehinderteneigenschaft, BEM-Unterlagen (§ 167 SGB IX)

• Bewerbungsunterlagen — Lebenslauf, Zeugnisse, Anschreiben, Referenzen, Ergebnisse von Auswahlverfahren

• Leistungs- und Verhaltensdaten — Beurteilungen, Zielvereinbarungen, Zeugnisnoten, Schulungsnachweise, Abmahnungen, Disziplinarmaßnahmen

• Kommunikations- und IT-Nutzungsdaten — dienstliche E-Mail-Adresse, Telefonnummer, Login-Daten, Protokolldaten der IT-Systeme, ggf. Meta-Daten von E-Mails

• Lichtbilder — für Mitarbeiterausweis, Intranet-Profil, ggf. Firmenwebsite (Website/SocialMedia nur mit ausdrücklicher Einwilligung nach § 26 Abs. 2 BDSG)

• Videoaufzeichnungen — Bildaufnahmen aus Videoüberwachung (ohne Ton) in festgelegten Bereichen — ausschließlich zu definierten Zwecken und mit Kennzeichnungspflicht

• Zugangs- und Zutrittsdaten — Chipkarten-Logs, ggf. biometrische Daten (Art. 9 DSGVO — nur bei unbedingter Erforderlichkeit und mit zusätzlichen Schutzmaßnahmen)

• Unterlagen zum betrieblichen Eingliederungsmanagement (BEM) nach § 167 Abs. 2 SGB IX — strikt getrennte Aktenführung, Zugriff nur durch BEM-Beauftragte

ZWECKE DER VERARBEITUNG

Wir verarbeiten Ihre Daten zu folgenden konkreten Zwecken:

• Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses (Arbeitsvertrag, Versetzung, Kündigung, Zeugnis);
• Entgeltabrechnung und Erfüllung steuerrechtlicher Pflichten (Lohnsteuer, Kirchensteuer, Solidaritätszuschlag);
• Sozialversicherungsrechtliche Pflichten (Meldungen an Krankenkasse, Rentenversicherung, Arbeitslosenversicherung, Berufsgenossenschaft);
• Arbeitszeit- und Urlaubsverwaltung, einschließlich gesetzlich gebotener Zeiterfassung;
• Betriebliche Altersvorsorge und freiwillige Zusatzleistungen;
• Arbeitsschutz und arbeitsmedizinische Vorsorge (ArbSchG, ASiG);
• IT-Sicherheit, Zugangskontrolle und Missbrauchs-/Angriffsabwehr;
• Personalentwicklung, Weiterbildung und Leistungsbewertung;
• Rechtsverteidigung und Geltendmachung von Ansprüchen;
• Durchführung des betrieblichen Eingliederungsmanagements (BEM) sowie der Entgelttransparenz-Auskunft nach §§ 10 ff. EntgTranspG.

PERSONALAKTE UND PERSONALFÜHRUNG

Wir führen für jede/n Beschäftigte/n eine Personalakte — physisch und/oder elektronisch. Sie hat das Recht, jederzeit Einsicht in Ihre vollständige Personalakte zu nehmen (§ 83 BetrVG; in betriebsratslosen Betrieben folgt ein entsprechendes Einsichtsrecht aus § 26 Abs. 1 BDSG i. V. m. Art. 15 DSGVO). Bei berechtigtem Interesse kann ein Betriebsratsmitglied hinzugezogen werden. Erklärungen zu Beanstandungen in der Personalakte sind auf Verlangen zur Akte zu nehmen.

ENTGELTABRECHNUNG UND GESETZLICHE MELDUNGEN

Zur ordnungsgemäßen Entgeltabrechnung und Erfüllung unserer gesetzlichen Melde- und Abführungspflichten übermitteln wir — beschränkt auf das jeweils Erforderliche — Ihre Daten an:

• das Finanzamt (ELStAM, Lohnsteuerbescheinigung — §§ 38 ff. EStG);
• die zuständige Krankenkasse und den Sozialversicherungsträger (DEÜV-Meldungen — §§ 28a ff. SGB IV);
• die Berufsgenossenschaft (Unfallversicherung — § 192 SGB VII);
• ggf. Versorgungsträger der betrieblichen Altersvorsorge;
• ggf. Gläubiger im Rahmen von Lohnpfändungen (§§ 850 ff. ZPO);
• einen externen Lohnbuchhalter / Steuerberater auf Grundlage eines Auftragsverarbeitungsvertrags nach Art. 28 DSGVO.

E-MAIL- UND INTERNETNUTZUNG

Die private Nutzung dienstlicher E-Mail- und Internetzugänge ist untersagt. Dadurch bleibt der Arbeitgeber im Sinne der einschlägigen Rechtsprechung kein Anbieter von Telekommunikationsdiensten; eine Kontrolle dienstlicher E-Mails ist in den gesetzlichen Grenzen (§ 26 BDSG, Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG) möglich. Eine inhaltliche Vollüberwachung findet nicht statt; stichprobenartige Kontrollen erfolgen nur anlassbezogen und unter Beachtung der Verhältnismäßigkeit.

TELEFON UND GESPRÄCHSAUFZEICHNUNG

Telefonverbindungsdaten werden auf Grundlage von Art. 6 Abs. 1 lit. b, f DSGVO zur Gesprächsabwicklung, Rechnungsprüfung und IT-Sicherheit erhoben. Eine inhaltliche Aufzeichnung von Telefonaten erfolgt nicht, soweit nicht im Einzelfall eine ausdrückliche vorherige Zustimmung aller Gesprächsteilnehmer vorliegt (Schutz des nichtöffentlich gesprochenen Wortes, § 201 StGB).

VIDEOÜBERWACHUNG

Sofern wir Videoüberwachung einsetzen, geschieht dies ausschließlich zu konkret definierten Zwecken (z. B. Schutz vor Diebstahl, Hausrecht, Aufklärung von Straftaten) auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO und — bei öffentlich zugänglichen Bereichen — § 4 BDSG. Die Anforderungen der BAG-Rechtsprechung zur Videoüberwachung am Arbeitsplatz (u. a. BAG 29.06.2017 — 2 AZR 597/16; BAG 23.08.2018 — 2 AZR 133/18; BAG 27.07.2017 — 2 AZR 681/16) werden eingehalten:

• Kennzeichnungspflicht durch deutlich sichtbare Hinweisschilder;
• Keine Überwachung in Pausen-, Umkleide-, Sanitär- und Sozialräumen;
• Blickfeldbegrenzung auf die zu schützenden Bereiche;
• Kurze Speicherdauer (Regelfall 48–72 Stunden), verlängerbar nur bei konkretem Vorfall;
• Verhältnismäßigkeit: Prüfung milderer Mittel; heimliche Videoüberwachung ist nur als ultima ratio bei konkretem Tatverdacht und Abwesenheit milderer Mittel zulässig;
• Mitbestimmung des Betriebsrats gemäß § 87 Abs. 1 Nr. 6 BetrVG;
• Vier-Augen-Prinzip bei der Sichtung von Aufzeichnungen und revisionssichere Protokollierung der Zugriffe.

ELEKTRONISCHE ZUGANGS- UND ZUTRITTSKONTROLLE

Wir setzen zur Zutritts- und Zugangskontrolle Chipkarten- und ggf. biometrische Systeme ein. Biometrische Daten sind besondere Kategorien nach Art. 9 Abs. 1 DSGVO; ihre Verarbeitung ist nur zulässig, soweit sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der Beschäftigten an dem Ausschluss der Verarbeitung überwiegt (§ 26 Abs. 3 BDSG). Es wird grundsätzlich die Speicherung als Template/Hash (nicht als Rohbild) bevorzugt; alternative Zugangsverfahren (PIN/Chip) werden als gleichwertige Option angeboten. Die Einführung solcher Systeme unterliegt der Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG.

LEISTUNGS- UND VERHALTENSKONTROLLE

Technische Einrichtungen, die dazu bestimmt oder geeignet sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen, unterliegen der zwingenden Mitbestimmung des Betriebsrats gemäß § 87 Abs. 1 Nr. 6 BetrVG. Entsprechende Maßnahmen werden nur auf Grundlage einer Betriebsvereinbarung (§ 26 Abs. 4 BDSG) oder einer sonstigen Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO eingeführt. Eine lückenlose oder heimliche Überwachung findet nicht statt (vgl. BAG 25.04.2017 — 1 ABR 46/15).

EMPFÄNGER UND DATENÜBERMITTLUNG

Intern erhalten nur die Personen Zugriff, die Ihre Daten zur Erfüllung ihrer Aufgaben benötigen (Need-to-know-Prinzip): Personalabteilung, Lohnbuchhaltung, direkte Vorgesetzte (Need-to-know), Betriebsrat im Rahmen seiner gesetzlichen Aufgaben, IT-Administration (nur Protokoll-Zugriff), Betriebsärztin/-arzt (Gesundheitsdaten strikt separiert).

Extern übermitteln wir Daten nur, soweit dies gesetzlich vorgeschrieben oder für die Durchführung des Beschäftigungsverhältnisses erforderlich ist: Finanzamt Leipzig (ELStAM, Lohnsteuer), AOK Sachsen und andere Krankenkassen (SV-Meldungen), Deutsche Rentenversicherung Bund, VBG (Berufsgenossenschaft), Steuerberatung Weber und Partner (AVV nach Art. 28 DSGVO), DATEV eG (Lohnabrechnung — AVV), Sparkasse Leipzig (Gehaltszahlungen).

ÜBERMITTLUNG IN DRITTLÄNDER

Eine Übermittlung personenbezogener Daten in Staaten außerhalb der EU/des EWR findet grundsätzlich nicht statt. Sollte sich dies ändern, werden Sie entsprechend informiert; eine Übermittlung erfolgt nur auf Grundlage von Art. 44–49 DSGVO mit geeigneten Garantien.

SPEICHERDAUER UND LÖSCHFRISTEN

Wir speichern Ihre Daten nur so lange, wie dies für die Zweckerfüllung erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen. Die wesentlichen Fristen im Überblick:

• Personalakten: 3 Jahre nach Austritt; Arbeitsverträge und Zeugnisse bis zu 10 Jahre
• Lohn- und Gehaltsunterlagen: 6 Jahre (§ 257 Abs. 4 HGB, § 41 Abs. 1 Satz 9 EStG)
• Steuerrelevante Unterlagen: 10 Jahre (§ 147 Abs. 3 AO)
• Bewerbungsunterlagen abgelehnter Bewerber: 6 Monate nach Abschluss des Bewerbungsverfahrens (§ 15 Abs. 4 AGG); Talentpool nur mit Einwilligung
• Videoaufzeichnungen: Regelfall 72 Stunden; bei konkretem Vorfall bis zur abschließenden Klärung, maximal 30 Tage
• Abmahnungen: Entfernung aus der Personalakte nach 2 Jahren bei Wohlverhalten, es sei denn, sie sind weiterhin für ein Kündigungsverfahren relevant

Nach Ablauf der jeweiligen Aufbewahrungsfrist werden die Daten gelöscht oder anonymisiert, sofern keine anderweitige Rechtsgrundlage für eine weitere Speicherung besteht.

BETRIEBSVEREINBARUNG ALS RECHTSGRUNDLAGE

Einzelne Verarbeitungstätigkeiten — insbesondere die Einführung technischer Überwachungs- und IT-Systeme — sind in Betriebs- oder Dienstvereinbarungen geregelt. Diese bilden gemäß § 26 Abs. 4 BDSG i. V. m. Art. 88 DSGVO eine eigenständige Rechtsgrundlage. Die Vereinbarungen enthalten insbesondere Vorgaben zu Zweck, Umfang, Zugriff, Speicherdauer, Betroffenenrechten und der Einhaltung der Grundsätze des Art. 5 DSGVO.

EINWILLIGUNGEN IM BESCHÄFTIGUNGSKONTEXT

Stützt sich eine Verarbeitung auf Ihre Einwilligung (z. B. Veröffentlichung von Fotos im Intranet, Nutzung privater Kontaktdaten), so gelten die besonderen Anforderungen des § 26 Abs. 2 BDSG: Die Einwilligung ist nur wirksam, wenn sie freiwillig erfolgt. Die Freiwilligkeit ist aufgrund der typischen Abhängigkeit im Beschäftigungsverhältnis besonders kritisch zu prüfen; sie kann insbesondere dann vorliegen, wenn ein rechtlicher oder wirtschaftlicher Vorteil für die/den Beschäftigte/n erreicht wird oder Arbeitgeber und Beschäftigte gleichgelagerte Interessen verfolgen. Die Einwilligung bedarf grundsätzlich der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Sie kann jederzeit mit Wirkung für die Zukunft widerrufen werden (Art. 7 Abs. 3 DSGVO).

MELDUNG VON DATENSCHUTZVORFÄLLEN

Sollten Sie den Verdacht haben, dass personenbezogene Daten — eigene oder die anderer Beschäftigter — unbefugt offenbart, verloren oder verändert wurden, melden Sie dies bitte unverzüglich der/dem Datenschutzbeauftragten oder der Personalabteilung. Wir sind verpflichtet, Verletzungen des Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde zu melden (Art. 33 DSGVO) und bei hohem Risiko auch die betroffenen Personen zu benachrichtigen (Art. 34 DSGVO).

SCHULUNGEN UND VERTRAULICHKEITSVERPFLICHTUNG

Alle Beschäftigten werden auf die Vertraulichkeit (Art. 29 DSGVO, § 53 BDSG für Amtsträger) verpflichtet und erhalten regelmäßige Datenschutz- und IT-Sicherheits-Schulungen. Die Teilnahme an den Schulungen wird dokumentiert und ist Teil der arbeitsvertraglichen Pflichten.

IHRE RECHTE ALS BETROFFENE PERSON

Ihnen stehen folgende Rechte gegenüber dem Verantwortlichen zu:

• Auskunftsrecht (Art. 15 DSGVO) einschließlich Einsicht in die Personalakte (§ 83 BetrVG);
• Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO);
• Löschung (Art. 17 DSGVO), soweit keine gesetzliche Aufbewahrungspflicht besteht;
• Einschränkung der Verarbeitung (Art. 18 DSGVO);
• Datenübertragbarkeit (Art. 20 DSGVO) in strukturiertem, gängigem und maschinenlesbarem Format;
• Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO) — insbesondere gegen Direktwerbung;
• Widerruf von Einwilligungen jederzeit mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO);
• Recht, nicht einer ausschließlich automatisierten Entscheidung einschließlich Profiling unterworfen zu werden (Art. 22 DSGVO);
• Beschwerderecht bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO) — insbesondere bei der Aufsichtsbehörde des Arbeits- oder gewöhnlichen Aufenthaltsortes.

PFLICHT ZUR BEREITSTELLUNG VON DATEN

Die Bereitstellung der oben unter „Kategorien verarbeiteter personenbezogener Daten" genannten Stammdaten ist für die Begründung und Durchführung des Beschäftigungsverhältnisses sowie zur Erfüllung gesetzlicher Pflichten (Steuer, Sozialversicherung) erforderlich. Ohne diese Daten kann ein Arbeitsvertrag nicht wirksam geschlossen bzw. nicht ordnungsgemäß durchgeführt werden. Andere Angaben (z. B. freiwillige Zusatzangaben, Lichtbild im Intranet) sind freiwillig und ohne negative Folgen unterlassbar.