• 0163 - 70 53 684
  • Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.

Auskunft von Dienstleistern die Daten von Mitarbeiter erfahren möchten

Rechtliche Grundlagen

Die Verarbeitung und Weitergabe personenbezogener Daten von Mitarbeitern richtet sich in Deutschland primär nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG).

 

Wesentliche Rechtsgrundlagen sind:

  • Artikel 6 DSGVO: Regelt die Rechtmäßigkeit der Verarbeitung personenbezogener Daten. Eine Weitergabe ist nur erlaubt, wenn eine gesetzliche Grundlage, eine vertragliche Notwendigkeit oder eine Einwilligung besteht.
  • § 26 BDSG: Spezifiziert die Datenverarbeitung im Beschäftigungskontext. Daten dürfen verarbeitet werden, wenn sie für die Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich sind.
  • Artikel 28 DSGVO: Betrifft Auftragsverarbeiter. Wenn ein Dienstleister im Auftrag des Unternehmens handelt (z. B. Lohnabrechnung, IT-Support), muss ein Auftragsverarbeitungsvertrag (AVV)abgeschlossen werden.

 

Arten von Dienstleistern und typische Szenarien

Dienstleister, die häufig Mitarbeiterdaten anfordern, sind z. B.:

  • Lohn- und GehaltsabrechnungsdienstleisterBenötigen personenbezogene Daten wie Name, Adresse, Steuer-ID, Bankverbindung und Sozialversicherungsnummer.
  • IT-Dienstleister: Können Zugriff auf Benutzerkonten, E-Mail-Adressen oder technische Logdaten erhalten.
  • Versicherungen oder betriebliche Altersvorsorgeanbieter: Fordern Informationen zu Beschäftigungsdauer, Gehalt oder Vertragsstatus an.
  • Reinigungs-, Sicherheits- oder Facility-Management-Unternehmen: Erhalten ggf. Zugangsdaten oder Ausweise, wenn sie im Betrieb tätig sind.

 

In all diesen Fällen muss geprüft werden, ob der Dienstleister als Auftragsverarbeiter oder als eigenständig Verantwortlicher agiert.

Dienstleister-TypTypische DatenRolle nach DSGVOErforderliche Maßnahme
Lohnabrechnung Personalstammdaten, Gehalt Auftragsverarbeiter AV-Vertrag, technische & organisatorische Maßnahmen
IT-Support Benutzer- und Systemdaten Auftragsverarbeiter Zugriffsbeschränkung, Protokollierung
Versicherung Beschäftigungsdaten Eigenverantwortlicher Informationspflicht, Zweckbindung
Externe Prüfer Vertragsdaten Eigenverantwortlicher Vertraulichkeitsvereinbarung

 

Anforderungen an die Datenweitergabe

Eine Datenweitergabe an Dienstleister darf nur erfolgen, wenn:

  1. Ein klarer Zweck definiert ist (z. B. Lohnabrechnung, IT-Betreuung).
  2. Ein Vertrag zur Auftragsverarbeitung (AVV)besteht, der Pflichten und Verantwortlichkeiten regelt.
  3. Technische und organisatorische Maßnahmen (TOMs) implementiert sind, um Daten zu schützen (z. B. Verschlüsselung, Zugriffskontrollen).
  4. Mitarbeiter informiert werden, welche Daten an wen weitergegeben werden (Transparenzpflicht nach Art. 13 DSGVO).
  5. Keine übermäßige Datenerhebung erfolgt – nur die für den Zweck erforderlichen Informationen dürfen übermittelt werden (Datenminimierung).

 

Informations- und Auskunftspflichten

Mitarbeiter haben nach Artikel 15 DSGVO das Recht, Auskunft darüber zu erhalten:

  • Welche personenbezogenen Daten über sie verarbeitet werden
  • Zu welchen Zwecken die Daten erhoben wurden
  • An welche Empfänger oder Kategorien von Empfängern die Daten weitergegeben wurden
  • Wie lange die Daten gespeichert werden

Das Unternehmen muss diese Informationen unverzüglich, spätestens innerhalb eines Monats bereitstellen.

 

Praktische Umsetzung im Unternehmen

Empfohlene Maßnahmen:

  • Verzeichnis von Verarbeitungstätigkeitenführen, in dem alle Dienstleister und Datenflüsse dokumentiert sind.
  • Standardisierte Auskunftsprozesseeinführen, um Anfragen von Mitarbeitern effizient zu bearbeiten.
  • Datenschutzschulungen für Personalabteilungen und Führungskräfte durchführen.
  • Vertraulichkeitsvereinbarungen mit Dienstleistern regelmäßig prüfen und aktualisieren.
  • Datenschutz-Folgenabschätzungen (DSFA)durchführen, wenn besonders sensible Daten betroffen sind.

 

Risiken bei fehlerhafter Datenweitergabe

Eine unzulässige Weitergabe von Mitarbeiterdaten kann schwerwiegende Folgen haben:

  • Bußgelder nach Art. 83 DSGVO (bis zu 20 Mio. € oder 4 % des Jahresumsatzes)
  • Reputationsschäden durch Datenschutzverletzungen
  • Schadensersatzforderungen von betroffenen Mitarbeitern
  • Arbeitsrechtliche Konsequenzen für Verantwortliche im Unternehmen

 

Fazit

Die Weitergabe von Mitarbeiterdaten an Dienstleister ist nur unter strengen rechtlichen Voraussetzungen zulässig. Unternehmen müssen sicherstellen, dass jede Datenübermittlung auf einer klaren Rechtsgrundlage beruht, vertraglich abgesichert ist und transparent dokumentiert wird. Ein strukturierter Datenschutzprozess schützt nicht nur die Rechte der Mitarbeiter, sondern auch das Unternehmen selbst vor rechtlichen und finanziellen Risiken.

 (Autor: Datenschutz Frick mit Hilfe durch AI Chat)

Kontakt

Wir freuen uns über Ihre Kontaktaufnahme. Sie erreichen uns über das Kontaktformular oder unter der Telefonnummer 0163 - 70 53 684 sowie 040 - 69 70 26 50.

Mitgliedschaft

GDD Mitglied

Zertifizierung

Tüv Zertifikat