Beschäftigte

Welche Quellen und Daten nutzen wir?

Wir verarbeiten personenbezogene Daten, die wir von Ihnen erhalten haben, soweit diese für die Zwecke der Einstellung, der Erfüllung des Arbeitsvertrags und der Beendigung des Beschäftigungsverhältnisses erforderlich sind. Zudem verarbeiten wir personenbezogene Daten von unseren Beschäftigten und anderen vergleichbar Betroffenen, die im Rahmen des Beschäftigungsverhältnisses regelmäßig anfallen.

Zu diesen personenbezogenen Daten zählen insbesondere:

  • Personalien (z.B. Name, Adresse und Kontaktdaten; Geburtstag sowie -ort und Staatsangehörigkeit, Pass- /Personalausweisdaten, Führerscheindaten)
  • familiäre Daten (z.B. Familienstand und Angaben zu Kindern)
  • Religionszugehörigkeit
  • Gesundheitsdaten (z.B. Arbeitsunfähigkeitsmeldungen und andere, sofern diese für das Beschäftigungsverhältnis relevant sind, z.B. bei einer Schwerbehinderung)
  • Steueridentifikationsnummer
  • Angaben zur Qualifikation und Mitarbeiterentwicklung (z.B. Ausbildung, Berufserfahrung, Sprachkenntnisse und Fortbildungen)
  • Angaben zum Beschäftigungsverhältnis (z.B. Eintrittsdatum und Bezeichnung der Tätigkeit und Titel)
  • lohnsteuerrelevante Daten aus der Erfüllung der vertraglichen Verpflichtungen (z.B. Gehaltszahlung)
  • Informationen über die finanzielle Situation von Mitarbeitern (z.B. Kreditverbindlichkeiten und Gehaltspfändungen, wenn zutreffend)
  • Sozialversicherungsdaten
  • Daten zur Altersversorgung bzw. zur Pensionskasse
  • Angaben zur Arbeitszeit (z.B. Arbeitszeiterfassung, Urlaub und Krankheit; Daten in Zusammenhang mit Dienstreisen)
  • Zutrittsdaten
  • Berechtigungsdaten (z.B. Zugangs- und Zugriffsrechte)
  • Bild- und Tondaten (z.B. Ausweisfoto und Video- und Telefonaufzeichnungen)
  • Daten zur Mitarbeiterevaluierung
  • sowie andere mit den genannten Kategorien vergleichbare Daten.

Wofür verarbeiten wir Ihre Daten (Zweck der Verarbeitung) und auf welcher Rechtsgrundlage?

Wir verarbeiten personenbezogene Daten im Einklang mit den Bestimmungen der europäischen Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG (neu)):

Zur Erfüllung von vertraglichen Pflichten (§ 26 BDSG)

Die Verarbeitung von Daten erfolgt zur Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses im Rahmen des mit Ihnen bestehenden Vertrages oder zur Durchführung vorvertraglicher Maßnahmen, die auf Anfrage hin erfolgen. Sofern Sie Zusatzleistungen in Anspruch nehmen (z.B. Zuschuss Kinderbetreuung, Altersvorsorge), werden Ihre Daten zur Erfüllung dieser Zusatzleistungen verarbeitet, soweit dies erforderlich ist.

Im Rahmen der Interessenabwägung (Art. 6 Abs. 1 f DSGVO)

Soweit erforderlich verarbeiten wir Ihre Daten über die eigentliche Erfüllung des Vertrages hinaus zur Wahrung berechtigter Interessen von uns oder Dritten. Beispiele für solche Fälle sind:

  • Maßnahmen zur Personalentwicklungsplanung
  • Maßnahmen zum Schutz von Beschäftigten und Kunden sowie zum Schutz des Eigentums des Unternehmens
  • Auswertung von Arbeitsabläufen zu Arbeitssteuerung und Verbesserung von Prozessen (z.B. Auswertungen über die Anzahl der Arbeitsnachweise oder Bearbeitungsdauer von Leistungen für Kunden)
  • Veröffentlichung dienstlicher Kontaktdaten im Intranet und internen Telefonbuch und auf der Webseite
  • Aufzeichnungen zu Mitarbeitergesprächen (z.B. Dokumentation der festgelegten Ziele und der Zielerreichung)
  • Aufzeichnung zur sicherheitstechnischen Überprüfung (z.B. Abfrage von Führungszeugnissen, Strafregistern etc.)

Aufgrund Ihrer Einwilligung (Art. 6 Abs. 1 a DSGVO in Verbindung mit Art. 88 DSGVO und § 26 Abs. 2 BDSG (neu))

Wenn Sie uns eine Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten erteilt haben, erfolgt eine Verarbeitung nur gemäß den in der Einwilligungserklärung festgelegten Zwecken und im darin vereinbarten Umfang. Eine erteilte Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden. Dies gilt auch für den Widerruf von Einwilligungserklärungen, die vor der Geltung der DSGVO, also vor dem 25. Mai 2018, uns gegenüber erteilt worden sind. Der Widerruf der Einwilligung wirkt erst für die Zukunft und berührt nicht die Rechtmäßigkeit der bis zum Widerruf verarbeiteten Daten.

Dies betrifft:

  • Nutzung und ggf. Veröffentlichung von Mitarbeiterbildern

Aufgrund gesetzlicher Vorgaben (Art. 6 Abs. 1 c DSGVO sowie Art. 88 DSGVO und § 26 BDSG (neu))

Als Unternehmen unterliegen wir diversen rechtlichen Verpflichtungen, das heißt gesetzlichen Anforderungen (z.B. Sozialversicherungsrecht, Arbeitssicherheit, Steuergesetze). Zu den Zwecken der Verarbeitung gehören unter anderem die Identitätsprüfung, die Erfüllung sozialversicherungs- und steuerrechtlicher Kontroll-, Melde- oder Dokumentationspflichten sowie die Steuerung von Risiken im Unternehmen.

Soweit besondere Kategorien personenbezogener Daten gem. Art. 9 Abs. 1 DSGVO verarbeitet werden, dient dies im Rahmen des Beschäftigungsverhältnisses der Ausübung von Rechten oder der Erfüllung von rechtlichen Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und dem Sozialschutz (z.B. Angabe von Gesundheitsdaten gegenüber der Krankenkasse, Erfassung der Schwerbehinderung wegen Zusatzurlaub und Ermittlung der Schwerbehindertenabgabe). Dies erfolgt auf Grundlage von Art. 9 Abs. 2 b DSGVO i.V.m. § 26 Abs. 3 BDSG. Zudem kann die Verarbeitung von Gesundheitsdaten für die Beurteilung ihrer Arbeitsfähigkeit gem. Art. 9 Abs. 2 h i.V.m. § 22 Abs. 1 b BDSG erforderlich sein. Daneben kann die Verarbeitung besonderer Kategorien personenbezogener Daten auf einer Einwilligung nach Art. 9 Abs. 2 a DSGVO i.V.m. § 26 Abs. 2 BDSG neu beruhen (z.B. betriebliches Eingliederungsmanagement).

Wer bekommt meine Daten?

Innerhalb des Unternehmens erhalten diejenigen Stellen Zugriff auf Ihre Daten, die diese zur Erfüllung der vertraglichen, gesetzlichen und aufsichtsrechtlichen Pflichten sowie zur Wahrung berechtigter Interessen benötigen, z.B. Personalabteilung.

Auch von uns eingesetzte Dienstleister und Erfüllungsgehilfen können zu diesen Zwecken Daten erhalten, sofern diese die Daten zur Erfüllung ihrer jeweiligen Leistung benötigen. Dies sind z.B. Unternehmen in den Kategorien Steuerberatung für die Lohnabrechnung, Schulungsanbieter und IT-Dienstleistungen. Sämtliche Dienstleister sind vertraglich dazu verpflichtet, Ihre Daten vertraulich zu behandeln.

Im Hinblick auf die Datenweitergabe an Empfänger außerhalb unseres Unternehmens ist zunächst zu beachten, dass wir als Arbeitgeber nur erforderliche personenbezogene Daten unter Beachtung der anzuwendenden Vorschriften zum Datenschutz weitergeben. Informationen über unsere Beschäftigten dürfen wir grundsätzlich nur weitergeben, wenn gesetzliche Bestimmungen dies gebieten, Sie eingewilligt haben oder wir zur Weitergabe anderweitig befugt sind.

Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z.B. sein:

  • Sozialversicherungsträger
  • Krankenkassen
  • Versorgungswerke
  • Steuerbehörden
  • Berufsgenossenschaften
  • öffentliche Stellen und Institutionen (z.B. Finanzbehörden und Strafverfolgungsbehörden) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung
  • andere Unternehmen zur Abwicklung von Gehaltszahlungen oder vergleichbare Einrichtungen an die wir zur Durchführung der Vertragsbeziehung personenbezogene Daten übermitteln (z.B. für Gehaltszahlungen)
  • Wirtschafts- und Lohnsteuerprüfer
  • Dienstleister im Rahmen von Auftragsverarbeitungsverhältnissen

Weitere Datenempfänger können diejenigen Stellen sein, für die Sie uns Ihre Einwilligung zur Datenübermittlung erteilt haben oder an die wir aufgrund einer Interessenabwägung befugt sind, personenbezogene Daten zu übermitteln.

Werden Daten in ein Drittland oder an eine internationale Organisation übermittelt?

Eine Datenübermittlung an Stellen in Staaten außerhalb des Europäischen Wirtschaftsraums (sogenannte Drittstaaten) findet i.d.R. nicht statt. Dennoch kann eine Datenübermittlung in Drittstaaten in Einzelfällen stattfinden, soweit:

  • es gesetzlich vorgeschrieben ist,
  • Sie uns Ihre Einwilligung erteilt haben oder
  • dies durch das berechtigte Interesse datenschutzrechtlich legitimiert ist und keine höheren schutzwürdigen Interessen des Betroffenen dem entgegenstehen.

Darüber hinaus übermitteln wir keine personenbezogenen Daten an Stellen in Drittstaaten oder internationale Organisationen.

Wir nutzen jedoch für bestimmte Aufgaben Dienstleister, die meistens ebenfalls Dienstleister nutzen, die ihren Firmensitz, Mutterkonzern oder Rechenzentren in einem Drittstaat haben können. Eine Übermittlung ist zulässig, wenn die Europäische Kommission entschieden hat, dass in einem Drittland ein angemessenes Schutzniveau besteht (Art. 45 DSGVO). Hat die Kommission keine solche Entscheidung getroffen, dürfen wir bzw. unsere Dienstleister personenbezogene Daten in ein Drittland nur dann übermitteln, wenn geeignete Garantien bestehen (z.B. Standarddatenschutzklauseln, die von der EU-Kommission oder der Aufsichtsbehörde in einem bestimmten Verfahren angenommen werden) und durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Ein Beispiel hierfür ist unsere Nutzung von Microsoft Office 365 als unternehmensweites Kommunikationssystem. Zwar betreibt Microsoft auch Server innerhalb der EU, es kann jedoch nicht ausgeschlossen werden, dass Ihre Daten in diesem Zusammenhang in ein Drittland (z.B. die USA) weitergegeben und dort verarbeitet werden.

Wir haben mit Microsoft einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit EU-Standvertragsklauseln zur Wahrung eines angemessenen Datenschutzniveaus abgeschlossen. Bitte nehmen Sie bei Bedarf für weitere Informationen dazu gerne Kontakt mit uns unter den oben genannten Kontaktdaten auf.

Wir haben mit unseren Dienstleistern entsprechende Auftragsverarbeitungsverträge geschlossen und zudem vertraglich vereinbart, dass auch mit deren Vertragspartnern immer Garantien zum Datenschutz unter Einhaltung des europäischen Datenschutzniveaus bestehen müssen.

Wie lange werden meine Daten gespeichert?

Wir verarbeiten und speichern Ihre personenbezogenen Daten, solange dies für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten, dass das Beschäftigungsverhältnis ein Dauerschuldverhältnis ist, welches auf einen längeren Zeitraum angelegt ist.

Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, deren – befristete – Weiterverarbeitung ist erforderlich zu folgenden Zwecken:

  • Erfüllung gesetzlicher Aufbewahrungspflichten, die sich z.B. ergeben können aus: Sozialgesetzbuch (SGB IV), Handelsgesetzbuch (HGB) und Abgabenordnung (AO). Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen in der Regel sechs bis zehn Jahre.
  • Erhaltung von Beweismitteln im Rahmen der gesetzlichen Verjährungsvorschriften. Nach den §§ 195 ff des Bürgerlichen Gesetzbuches (BGB) können diese Verjährungsfristen bis zu 30 Jahre betragen, wobei die regelmäßige Verjährungsfrist 3 Jahre beträgt.

Sofern die Datenverarbeitung im berechtigten Interesse von uns oder einem Dritten erfolgt, werden die personenbezogenen Daten gelöscht, sobald dieses Interesse nicht mehr besteht. Hierbei gelten die genannten Ausnahmen. Gleiches gilt für die Datenverarbeitung aufgrund einer erteilten Einwilligung. Sobald diese Einwilligung für die Zukunft durch Sie widerrufen wird, werden die personenbezogenen Daten gelöscht, es sei denn es besteht eine der genannten Ausnahmen.

Gibt es eine Pflicht zur Bereitstellung von Daten?

Im Rahmen des Arbeitsverhältnisses müssen Sie diejenigen personenbezogenen Daten bereitstellen, die für die Aufnahme, Durchführung und Beendigung einer Arbeitsbeziehung und zur Erfüllung der damit verbundenen vertraglichen Pflichten erforderlich sind oder zu deren Erhebung wir gesetzlich verpflichtet sind. Ohne diese Daten werden wir in der Regel nicht in der Lage sein, den Vertrag mit Ihnen zu schließen oder diesen auszuführen.

Inwieweit gibt es eine automatisierte Entscheidungsfindung?

Zur Begründung, Durchführung und Beendigung der Arbeitsbeziehung nutzen wir keine automatische Entscheidungsfindung gemäß Artikel 22 DSGVO. Sollten wir diese Verfahren in Einzelfällen einsetzen, werden wir Sie hierüber und über Ihre diesbezüglichen Rechte gesondert informieren, sofern dies gesetzlich vorgegeben ist.

Findet ein Profiling statt?

Wir verarbeiten Ihre Daten nicht mit dem Ziel, bestimmte persönliche Aspekte automatisiert zu bewerten.