Menü
Facebook Twitter Youtube Instagram
Suche
Menü
  • Datenschutz

Informationspflicht im Arbeitsverhältnis – was Arbeitgeber den Mitarbeiter:innen mitteilen müssen

Wer im Unternehmen die Daten von Mitarbeiter:innen verarbeitet, gilt laut DSGVO als „Verantwortlicher“ und muss die betroffenen Personen proaktiv über die Verarbeitung ihrer Daten aufklären. Nur so können die Beschäftigten ihre Rechte angemessen wahrnehmen und ausüben. Doch welche Informationen müssen erteilt werden, zu welchem Zeitpunkt und auf welchem Weg? Antworten auf diese und weitere Fragen findet ihr in den folgenden FAQs.
  • Geschätzte Lesezeit: 4 Minuten
Christina Morillo, Pexels

Welche Informationen müssen erteilt werden?

Bei dieser Frage muss nach der Art der Erhebung unterschieden werden, so wird bei der Direkterhebung aus Art. 13 verwiesen, bei Dritterhebung auf Art. 14. Direkterhebung ist bspw. das neue Vereinsmitglied, das den Antrag ausgefüllt und um Dritterhebung handelt es sich, wenn z.B. von einem Adresshändler Datensätze zu Werbezwecken eingekauft werden.

Direkterhebung Artikel 13 DSGVO

  • Name und Kontaktdaten des Verantwortlichen (Beispiel: Name und Adresse der Behördenleitung oder des Geschäftsführers eines Unternehmens)
  • Kontaktdaten eines/einer vom Verantwortlichen bestellten Datenschutzbeauftragten (Der Name muss nicht angegeben werden, aber die Erreichbarkeit, z.B. über eine Telefonnummer oder Funktions-E-Mail-Adresse.)
  • Verarbeitungszwecke und Rechtsgrundlage (Beispiel: Abwicklung einer Bestellung, Nutzung der Daten für Werbezwecke; ggf. Beschreibung des berechtigten Interesses, falls die Datenverarbeitung auf einem berechtigten Interesse des Verantwortlichen oder von Dritten beruht.)
  • Hinweis auf die Widerrufbarkeit der Einwilligung, falls diese zuvor erteilt wurde
  • Empfänger der Daten bzw. Empfängerkategorien, falls die Daten weitergegeben werden (zum Beispiel an Paketversender)
  • Ggf. Absicht zur Übermittlung der Daten in ein Nicht-EU-Land (Beispiel: Verarbeitung der Daten durch einen Cloud-Anbieter mit Sitz in den USA)
  • Geplante Speicherdauer bzw. Kriterien für deren Festlegung (Beispiel: Aufbewahrungsfrist für Steuerzwecke, siehe auch Hilfestellung für den öffentlichen Bereich)
  • Betroffenenrechte (Recht auf Auskunft, Löschung, Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit)
  • Beschwerderecht bei Aufsichtsbehörde (Nennung der konkret zuständigen Aufsichtsbehörde)
  • Ggf. Information über die Verpflichtung zur Weitergabe der Daten an Dritte (Beispiel: Verpflichtung ergibt sich aus gesetzlicher Vorschrift wie etwa bei der Gewerbeanmeldung)
  • Ggf. Informationen über automatisierte Einzelfallentscheidung bzw. Profiling (Beispiel: Information über Scoring-Verfahren bei Wirtschaftsauskunfteien)

Dritterhebung Artikel 14 DSGVO

  • Kategorien der verarbeiteten Daten (Beispiel: Adressdaten, Kontodaten)
  • Datenquelle (Beispiel: konkret benannter Adresshändler)

Die Informationspflichten entfallen, wenn die betroffene Person bereits über die Informationen verfügt. Das trifft zum Beispiel auf Patienten einer Arztpraxis zu, wenn sie dort mehrmals Termine wahrnehmen. Zudem entfällt die Informationspflicht bei gesetzlichen Meldepflichten an Behörden wie z.B. zur ordnungsgemäßen Berechnung von Steuern oder Sozialversicherungsbeiträgen.

Zu welchem Zeitpunkt müssen die Informationen erteilt werden?

Werden die Daten direkt bei der betroffenen Person erhoben, müssen die Informationen zum Zeitpunkt dieser Erhebung erteilt werden. Erhebung bedeutet hier ein zielgerichtetes Beschaffen von Daten als Vorstufe einer weiteren Datenverarbeitung. Das umfasst grundsätzlich auch die Kenntnisnahme von Daten mit dem Ziel, sie weiterzuverarbeiten. Wer zum Beispiel eine Preisanfrage eines/einer Interessenten/in per E-Mail erhält und beantwortet, hat die Kontaktdaten erhoben und weiterverarbeitet.
Werden die Daten nicht bei der betroffenen Person erhoben, müssen die Informationen innerhalb einer angemessenen Frist nach Erlangung, spätestens aber binnen eines Monats erteilt werden.

Werden die Daten zur Kommunikation verwendet, müssen die Informationen spätestens zum Zeitpunkt dieser Kommunikation erfolgen. Kauft zum Beispiel ein Unternehmen für Werbezwecke Adressdaten ein, muss es die jeweils Betroffenen entweder spätestens nach vier Wochen informieren oder bereits früher, sobald es die Adressen für Werbesendungen verwendet.

Auf welchem Weg müssen die Informationen erteilt werden?

Hier ist fast alles möglich: Schriftlich in gedruckter Form (Flyer, Aushang, Schild, Bildsymbole), schriftlich in digitaler Form oder auch – wenn von der betroffenen Person verlangt – mündlich.

Ist die betroffene Person persönlich anwesend, reicht zum Beispiel der aktive Hinweis auf einen entsprechenden Aushang oder einen ausliegenden Flyer.

Bei der telefonischen Kontaktaufnahme sollten nur die nötigsten Informationen direkt übermittelt werden, damit der Angerufene nicht überfrachtet wird.

In beiden Fällen kann für weitere Informationen auf eine Webseite verwiesen werden.

Wird der Kontakt per E-Mail aufgenommen, kann nach einer kurzen Darstellung der Basisinformationen ein Link auf eine Webseite mit den vollständigen Informationen verweisen.

Bei der Kommunikation via Brief kann im ersten Anschreiben ein Blatt mit den entsprechenden Informationen beigelegt werden.
Achtung Sonderfall: Handelt es sich am Telefon nur um eine Terminvereinbarung, zum Beispiel zu einem Bewerbungsgespräch, müssen die Informationen zur Datenverarbeitung noch nicht übermittelt werden.

Bitte beachte, dass die Hinweise immer in leicht verständlicher Sprache und präzise sowie transparent dargestellt werden müssen.
Es ist keine Unterschrift nötig, da auch ein Aushang oder Flyer je nach Situation ausreichend sind. Dem Betroffenen muss die Gelegenheit der Kenntnisnahme gegeben werden.

Reicht ein Hinweis auf der Webseite?

Nein, tatsächlich müssen die Basisinformationen proaktiv übermittelt werden. Für detaillierte Angaben kann auf eine Internetseite verwiesen werden.

Das Unternehmen präsentiert sich auf einer Messe und sammelt Visitenkarten zur späteren Kontaktaufnahme. Was ist zu beachten?
Werden die Visitenkarten, bzw. Kontaktinformationen in dem Wissen gesammelt, diese im Nachgang in eine Datenbank o.ä. einzutragen, so müssen die Besucher darüber in Kenntnis gesetzt werden. Hier kann der Informationspflicht durch das Aufstellen einer Informationstafel oder eines Aushanges nachgekommen werden.

Erhaltet ihr außerhalb einer Messe Visitenkarten und wollt die Daten in ein computergestützes System übertragen, müsst ihr der Informationspflicht nachkommen.

Was ist mit Daten von Geschäftspartnern, die bereits vor Inkrafttreten der DSGVO erfasst wurden?

Es gibt zum Glück keine rückwirkenden Informationspflichten. Es ist trotzdem anzuraten, auch die Bestandskunden / Angestellten, deren Datenerhebung vor Inkrafttreten der DSGVO am 18. Mai 2018 abgeschlossen war, im Rahmen des Artikels 13 und 14 zu informieren.

Grundsätzlich müssen die Informationen in deutscher Sprache erteilt werden. Bei einem erkennbar fremdsprachigen Adressatenkreis empfiehlt es sich aber, die Informationen auch in anderen Sprachen vorzuhalten. Eine Verpflichtung dazu besteht jedoch nicht.
Ausnahme: Bei einem Online-Shop, welcher sich auch an Personen in anderen europäischen Ländern richtet und dabei in verschiedenen Sprachen kommuniziert, hat eine Übersetzung in die entsprechenden Sprachen zu erfolgen.

Mitarbeiterfotos, Schnappschüsse auf Firmenevents – wie greift die Informationspflicht hier?

Die betroffenen Personen müssen nach Artikel 13 vorab informiert werden – zu den relevanten Informationen zählen neben den Kontaktdaten des Fotografen, bzw. des Verantwortlichen vor allem der Verwendungszweck für das Foto und die Rechtsgrundlage der Verarbeitung. Die Basisinformationen können anhand eines Aufstellers oder Aushanges erteilt werden, ein Verweis, wo weiterführende Informationen zu finden sind ist einzuarbeiten.

Weitere Informationen zum Umgang mit Fotos findet ihr in diesem Beitrag.

Welche Informationspflicht gilt bei Videoüberwachung?

Betreten Beschäftigte, Gäste oder Kunden videoüberwachte Bereiche, so müssen eindeutige Hinweisschilder angebracht werden. Hier findet ihr eine Checkliste, was bei der Videoüberwachung hinsichtlich des Datenschutzes beachtet werden muss.

Was bedeutet die Informationspflicht für die Datenschutzerklärung auf der Webseite?

In der Datenschutzerklärung müssen nicht nur alle Informationen aus der ersten Frage angegeben werden, ergänhzt werden müssen Angaben zu durch die Seite erhobenen Daten, wie z.B. IP-Adresse, ggf. gesetzte Cookies oder Tools zur Webseitenanalyse.
Du weißt nicht, ob Deine Datenschutzerklärung korrekt ist und alle wichtigen Informationen enthält? Dann erklären wir dir gern, wie unser Datenschutzgenerator funktioniert.
Quelle: LfD Niedersachsen

PRO-DSGVO

PRO-DSGVO

Die PRO DSGVO bietet mit einer Auswahl an Leistungspaketen und zahlreichen Datenschutz-Tools maßgeschneiderte Lösungen für den Datenschutz in Gastronomie, Hotellerie und für zahlreiche andere Branchen. Reservieren Sie sich Ihren persönlichen Beratungstermin mit den TÜV-zertifizierten Datenschutzexperten.

Weitere Artikel zum Thema

  • Datenschutz

Bundesweiter Warntag: Mitteilungen auf alle Smartphones – welche Rolle spielt der Datenschutz?

Maksim Goncharenok, Pexels
Regelmäßig testen Bund und Länder sowie teilnehmende Kreise, Städte und Gemeinden ihre Warnmittel. Neben bereits etablierten Kanälen wie Radio und Fernsehen, Warn-Apps und Anzeigetafeln wird am 8. Dezember erstmals jeder Handynutzer direkt über sein Endgerät[...]
  • Ratgeber Hinweisgeberschutzgesetz

Teil 3 – Datenschutz beim Hinweisgebersystem

Hannah Wei, Unsplash
Der Datenschutz ist ein kritischer Aspekt bei Whistleblower-Systemen, besteht doch ihre Aufgabe darin, sensible Daten vertrauensvoll und auf Wunsch auch anonym zu empfangen und zu verarbeiten. Welche Voraussetzungen müssen geschaffen werden und wie kann das[...]
  • Ratgeber Hinweisgeberschutzgesetz

Teil 2 – Geeignetes Personal für die Meldestelle auswählen und schulen

Hannah Wei, Unsplash
Nicht jeder Beschäftigte ist dazu geeignet, die Verantwortung für die Meldestelle zu übernehmen. Was muss bei der Auswahl des Verantwortlichen beachtet werden, welche Qualifikationen sind erforderlich und welcher Schulungsaufwand wird benötigt? Antworten auf die dringendsten[...]
  • DSGVO

Ratgeber zur Datenschutzgrundverordnung in der Gastronomie und Hotellerie

Melpomenem, iStockphoto
Die Unternehmen in der Branche verarbeiten mit fortschreitender Digitalisierung des Betriebes eine Vielzahl personenbezogener Daten. Hieraus ergeben sich für die Geschäftsführung der Unternehmen persönliche Haftungsrisiken von Geldbußen bis zu Haftstrafen. Zur Minimierung des Unternehmensrisikos geben[...]
  • Datenschutz

Schadensersatz wegen unzulässiger Verwendung von Mitarbeiterbildern nach Beendigung des Arbeitsverhältnisses

FRIEDRICH GRAF VON WESTPHALEN & PARTNER mbB
Ein Arbeitgeber ist zu einer Schadensersatzzahlung in Höhe von € 10.000,- verurteilt worden, nachdem er 9 Monate nach Ende des Arbeitsverhältnisses mit Fotos und Videos eines ausgeschiedenen Mitarbeiters für eine Schulung geworben hat. Annette Rölz,[...]

Unsere Ratgeber

Unsere Themen

Unser Service

In Kooperation mit

Folgen Sie uns:

Facebook Twitter Instagram Pinterest Rss
Copyright © 2022 Inproma GmbH
Facebook Twitter Youtube Instagram
Unser Newsletter

Bleiben Sie auf dem Laufenden mit regelmäßigen Informationen zum Thema Gastgewerbe. Ihre Einwilligung in den Empfang können Sie jederzeit widerrufen.