Grundsätzlich fallen alle personenbezogenen Daten unter den Datenschutz. Dazu gehören Name, Adresse, Geburtsdatum und Bankverbindung. Doch das alles braucht ein Arbeitgeber, um Löhne und Gehälter ausbezahlen zu können. „Deshalb darf er nur die Daten erheben und speichern, die für das Arbeitsverhältnis notwendig sind, mehr aber nicht”, sagt Susanne Dehmel, Bereichsleiterin Datenschutz, Wettbewerbs- und Verbraucherrecht beim Bundesverband Informationswirtschaft, Telekommunikation und neue Medien in Berlin.

Ebenso grundsätzlich gilt das Prinzip der Datensparsamkeit: „Der Arbeitgeber darf nur so viel wie unbedingt notwendig speichern.” Und er darf personenbezogene Daten nicht mit anderen verbinden, etwa in einem Angebot an einen Kunden die Qualifikation des Mitarbeiters nennen, der sich um den Auftrag kümmern wird. „Es sei denn, der Mitarbeiter stimmt dem zu.” Die Verknüpfung von personenbezogenen Daten kann auch durch spezielle Vorschriften untersagt sein, etwa Fernmelde- und Postgeheimnis.

Das Fernmeldegeheimnis schützt den Inhalt von Telefonaten. Daher ist es dem Arbeitgeber verboten, Telefongespräche seines Mitarbeiters abzuhören. Nur in begründeten Fällen und nur mit Zustimmung des Betriebsrats darf der Arbeitgeber die gewählte oder die Nummer, von der aus der Beschäftigte angerufen wurde, ausfindig machen. Ähnlich schützt das Postgeheimnis den Inhalt von E-Mails, und an die Absender- oder Empfängeradressen kommt der Arbeitgeber nur bei begründeten Verdachtsmomenten. Selbst wenn er privaten E-Mail-Verkehr verboten hat, sind die Inhalte dieses Schriftverkehrs für ihn tabu.

Dehmel meint, dass gerade große Unternehmen sich immer professioneller um den Datenschutz ihrer Mitarbeiter kümmern. „Für kleine und mittelständische Betriebe ist es manchmal schwieriger, alle gesetzlichen Vorgaben umzusetzen.” Auch sei die Einhaltung der Vorschriften von Branche zu Branche unterschiedlich: „Ist die IT ein zentrales Element des Geschäftsmodells, spielt der Datenschutz eine große Rolle.” Je weiter weg das Business von der IT sei, desto mehr nehme die Bedeutung ab.

Datenschützer Gerhard von Datev hat drei Mitarbeiter, gemeinsam hat das Team im Wesentlichen drei Aufgaben: „Wir prüfen bestehende und neue Verfahren, Prozesse und Software, in denen personenbezogene Daten verarbeitet und gespeichert werden, dahingehend, ob die Bestimmungen des Datenschutzes eingehalten werden.” Bei Bedarf findet zuvor eine Beratung statt, und Mitarbeiter und Führungskräfte werden in Schulungen des Quartetts für den Datenschutz sensibilisiert. Vor allem die Manager haben eine Vorbildfunktion.