Datenschutz

Was versteht man eigentlich genau unter dem Begriff „Datenschutz“?

Unter dem Begriff „Datenschutz“ versteht man grundsätzlich den Vorgang, personenbezogene Daten durch die missbräuchliche Verwendung und somit vor Verletzung des Persönlichkeitsrechts zu schützen (Recht auf informationelle Selbstbestimmung). Das gilt bei:

  • Erhebung
  • Verarbeitung
  • Nutzung

Diese Schutzbedürftigkeit ist besonders bei elektronischer Datenverarbeitung gegeben. Jeder Arbeitgeber ist vom Gesetzgeber her dazu verpflichtet, das Bundesdatenschutzgesetz (BDSG) und damit auch den Arbeitnehmerdatenschutz einzuhalten.

Rechtliche Rahmenbedingungen

  • Aus dem Bundesdatenschutzgesetz (BDSG) gehen die genauen datenschutzrechtlichen Vorschriften innerhalb Deutschlands hervor. Weitere Details ergeben sich aus einzelnen Landesdatenschutzgesetzen und dem Telekommunikationsgesetz (TKG).
  • Die DSGVO ergänzt seit Mai 2018 das BDSG. Sie enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zu deren freiem Verkehr. Gleichzeitig mit der DSGVO trat auch die EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft.
  • Das Videoüberwachungsverbesserungsgesetz und das Personalausweisgesetz beinhalten ebenfalls Vorschriften zum Datenschutz.
  • Weitere datenschutzrelevante Regelungen finden Sie im BetrVG (§§ 80, 83, 87 Abs. 1 Nr. 6, 90 ff.) und im BPersVG.

Allgemeine Fakten rund um die Europäische Datenschutz-Grundverordnung (DSGVO)

Die DSGVO ist eine gesetzliche Regelung zum Datenschutz und der Datensicherheit des europäischen Gesetzgebers, welche zwingend europaweit einheitlich einzuhalten ist. Die neue Datenschutzverordnung trat am 25.5.2018 für alle Mitgliedstaaten in Kraft. Dementsprechend hat sie auch Vorrang vor dem nationalen Datenschutzrecht, trotzdem enthält sie jedoch gewisse Freiräume für die nationalen Gesetzgeber durch sogenannte Öffnungsklauseln. Grundsätzlich sind im Rahmen der DSGVO folgende Grundsätze von Bedeutung:

  • In Art. 6 DSGVO ist das Prinzip der vertragsbezogenen Erforderlichkeitsprüfung jeder Datenverarbeitung festgeschrieben.
  • Die Öffnungsklausel des Art. 88 DSGVO ist für den Datenschutz im Arbeitsverhältnis relevant. Danach können die Mitgliedstaaten „spezifischere Rechtsvorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung der personenbezogenen Beschäftigtendaten im Beschäftigungskontext, […] (z.B. strengere nationale Vorschriften zum Schutz der Beschäftigungsdaten vorsehen.
  • Die Umsetzung der DSGVO wird in § 26 BDSG konkretisiert.

Da die Datenschutz-Grundverordnung keine spezifischen Regelungen zum Beschäftigtendatenschutz beinhaltet, kann man davon ausgehen, dass sie das deutsche Datenschutzrecht nicht vollständig verdrängen wird.

Die Öffnungsklausel gilt für alle relevanten Bereiche bei der Durchführung von Beschäftigungsverhältnissen: Einstellung, Erfüllung des Arbeitsvertrags, Planung und Organisation der Arbeit, Gleichheitsfragen und Diversität am Arbeitsplatz, Gesundheit und Sicherheit am Arbeitsplatz, sämtliche Bereiche individual- und kollektivvertraglicher Rechte und Leistungen sowie für Zwecke der Beendigung des Beschäftigungsverhältnisses.

Zu beachten sind jedoch die allgemeinen Anforderungen der DSGVO. Dazu gehören die Anforderungen an die Einwilligung des Betroffenen zur Datenverarbeitung (Art. 6 Abs. 1 a), 7 Abs. 1 und 2 DSGVO) und sein diesbezügliches Widerrufsrecht (Art. 7 Abs. 3 DSGVO).

Gem. Art. 5 DSGVO wird auch der private Arbeitgeber auf die nachfolgenden Datenschutzgrundsätze verpflichtet:

  • Transparenz, Integrität und Vertraulichkeit
  • Zweckbindung und damit verknüpft die zeitlich begrenzte Speicherung
  • Datenminimierung (str., ob dies enger oder weiter zu verstehen ist als die bisherige Pflicht zur Datensparsamkeit)
  • Richtigkeit der Daten

Die DSGVO erfasst auch Unternehmen mit Sitz außerhalb der EU, sofern diese Beschäftigtendaten von Beschäftigungsverhältnissen innerhalb der EU erfassen (sog. „Marktortprinzip“).

Bundesdatenschutzgesetz

Allgemeines

Die Bestimmungen des BDSG über die Anforderungen an eine zulässige Datenverarbeitung konkretisieren und aktualisieren den Schutz des Rechts auf informationelle Selbstbestimmung. Das Bundesdatenschutzgesetz wurde zum 25.5.2018 den Vorgaben der DSGVO entsprechend novelliert. Das BDSG regelt in erster Linie die automatisierte Datenverarbeitung. Nach § 1 Abs. 1 BDSG findet das Gesetz Anwendung auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch öffentliche Stellen – dazu zählen die öffentlichen Arbeitgeber – und durch nichtöffentliche Stellen wie den privaten Arbeitgeber, soweit sie die Daten in oder aus Dateien geschäftsmäßig oder für berufliche oder gewerbliche Zwecke verarbeiten oder nutzen. Verpflichtet nach dem BDSG ist jeder „Verantwortliche“ (vgl. Art. 4 Nr. 7 Hs. 1 DSGVO) – darunter ist jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Im Arbeitsverhältnis gehören dazu dritte Dienstleister des Arbeitgebers, aber auch Betriebsräte etc., die Zugriff und Umgang mit Arbeitnehmerdaten haben.

Für nicht automatisierte Dateien gilt das BDSG nur eingeschränkt. Allerdings greift die Ausnahme rein persönlicher oder familiärer Datenverarbeitung im Zusammenhang mit dem Arbeitsverhältnis nicht. Aufgrund der Vorgaben der DSGVO änderte sich im BDSG die Terminologie: die DSGVO versteht unter Datenverarbeitung als Oberbegriff sämtliche Formen des Umgangs mit Daten anderer. Dies wurde vom BDSG in seiner aktuellen Neufassung übernommen. Die einzelnen Erscheinungsformen wie Datenerhebung, -speicherung oder -verarbeitung im bisherigen Sinne fallen sämtlich unter diesen Begriff und bestimmen demzufolge den Anwendungsbereich der neuen arbeitsrechtlichen Spezialregelung des § 26 BDSG. Das Gesetz verpflichtet den Arbeitgeber nicht mehr ausdrücklich zur Datenvermeidung und Datensparsamkeit (vgl. dazu den früheren § 3a BDSG a. F.). An ihre Stelle ist der Grundsatz der „Datenminimierung“ in der DSGVO getreten. Der Begriff geht deutlich weiter.

Da das BDSG auch der Umsetzung der EU-Datenschutz-Richtlinie (RL 95/46/EG) dient, ist die diesbezügliche Rechtsprechung des EuGH zu berücksichtigen. Die Richtlinie gilt für die ganz, teilweise oder nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen. Als eine solche Datei mit personenbezogenen Daten gilt jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, gleichgültig ob diese Sammlung zentral, dezentralisiert oder nach funktionalen oder geografischen Gesichtspunkten aufgeteilt geführt wird.

Jegliche Form der Datenverarbeitung i. S. des BDSG erfordert eine allgemeine oder spezielle, verfassungsgemäße gesetzliche Grundlage oder die nach ausreichender Information (Zweck und beabsichtigter Umfang der Datenverarbeitung) und die auf freier Entscheidung beruhende schriftliche Einwilligung des Betroffenen. Zukünftig bedarf die Einwilligung im Rahmen eines Beschäftigungsverhältnisses grundsätzlich der Schriftform. Ausnahmen sind nur dann zulässig, wenn aufgrund besonderer Umstände auf das Schriftformerfordernis verzichtet werden kann – welche dies sein könnten, ist derzeit schwer zu beurteilen. In Betracht kommen z. B. Beschäftigte im Auslandseinsatz, auf Montage oder mit einem Heimarbeitsplatz. Zusätzlich muss der Arbeitgeber den Beschäftigten über den Zweck der Datenverarbeitung und sein Widerrufsrecht in Textform unterrichten. Insoweit genügt z. B. ein standardisiertes Merkblatt. Eine Nebenpflicht des Arbeitnehmers aus dem Arbeitsverhältnis, der Erhebung, Verarbeitung und Veröffentlichung seiner Daten – soweit erforderlich-zuzustimmen, besteht nicht. Die Einwilligung kann vom Betroffenen jederzeit widerrufen werden. Dieses Widerrufsrecht folgt unmittelbar aus Art. 7 Abs. 3 DSGVO. Wird eine Einverständnisklausel im Arbeitsvertrag aufgenommen, ist sie optisch besonders herauszuheben. Gemäß § 26 Abs. 2 i. V. m. § 51 Abs. 2 BDSG muss das Ersuchen einer Einwilligung formal und inhaltlich eindeutig erkennbar und verständlich gefasst sein. Endet das Arbeitsverhältnis, erlischt eine darauf bezogene Einwilligung nicht automatisch. Der Arbeitnehmer muss seine Einwilligung ausdrücklich widerrufen. § 26 Abs. 2 BDSG enthält eine auf Art. 6, 7 und 88 DSGVO beruhende, spezielle Regelung der Einwilligung des Beschäftigten. Die Einwilligung muss grundsätzlich schriftlich erfolgen, sie muss auf freiwilliger Basis erteilt werden und der Beschäftigte muss über den Zweck der Datenverarbeitung und sein Widerrufsrecht in Textform aufgeklärt werden. Insbesondere die „Freiwilligkeit“ der Einwilligung: für die Beurteilung der Freiwilligkeit der Einwilligung sind gemäß § 26 Abs. 2 BDSG insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen. Dies kann z. B. der Fall im Bereich des Arbeits- und Gesundheitsschutzes oder allgemeiner Unternehmensinteressen denkbar sein; nicht ausreichend dürfte die allgemeine gegenseitige Vertragserfüllung sein. Die Darlegungs- und Beweislast für die Freiwilligkeit der Einwilligung liegt beim Arbeitgeber.

Anwendungsbereich

In den Anwendungs- und Schutzbereich des BDSG fallen gem. § 46 Nr. 1 BDSG) sämtliche personenbezogenen Daten. Dafür genügt, dass die Identität bspw. des Beschäftigten unmittelbar unter Zuhilfenahme von Zusatzwissen feststellbar ist (Identifizierbarkeit, vgl. § 46 Nr. 1 BDSG), unabhängig davon, ob die Daten als konkret schutzwürdig angesehen werden oder nicht. Nach der Neuregelung in § 46 Nr. 1 BDSG gehören dazu sämtliche Daten, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser Person sind. Der gesamte über einen Beschäftigten bestehende Datensatz ist geschützt. Eine Datei kann entweder nach bestimmten Merkmalen ausgewertet werden (automatisierte Datei) oder gleichartig aufgebaut und nach bestimmten Merkmalen geordnet und ausgewertet werden (nichtautomatisierte Datei). Anders als im Personalaktenrecht ist die äußere Form unbeachtlich, nicht erfasst werden allerdings manuell geführte und lediglich chronologisch oder alphabetisch geordnete Personalakten. Die Datenverarbeitung umfasst die Erhebung, Verarbeitung und Nutzung sowie die Speicherung dieser Daten. Auch im BDSG wird die nicht automatisierte Datenverarbeitung erfasst, vgl. § 46 Nr. 2 BDSG. Dazu tritt das sog. „Profiling“ als automatisierte Datenverarbeitung zur Analyse oder Vorhersage bestimmter persönlicher Aspekte, z. B. der Arbeitsleistung, der Gesundheit oder der Zuverlässigkeit des Beschäftigten.

Datenverarbeitung im besonderen Zusammenhang mit dem Arbeitsverhältnis: § 26 BDSG

§ 26 BDSG ist seit dem 25.5.2018 die einschlägige Spezialregelung für das Arbeitsverhältnis – die Norm basiert auf der entsprechenden Öffnungsklausel des Art. 88 DSGVO. u. a. Arbeitnehmer und Leiharbeitnehmer in ihrem Rechtsverhältnis zum Entleiher, Auszubildende und arbeitnehmerähnliche Personen einschließlich der Heimarbeiter .

Der vom Gesetz verwendete, weite Begriff des Beschäftigten nach § 26 Abs. 8 BDSG erfasst:

  • Arbeitnehmer
  • Leiharbeitnehmer
  • Auszubildende
  • Arbeitnehmerähnliche Personen einschließlich der Heimarbeiter
  • Beamte, Richter und Soldaten
  • Behinderte Menschen in anerkannten Behinderten-Werkstätten
  • Freiwillige nach dem Jugendfreiwilligendienstegesetz und dem Bundesfreiwilligendienstgesetz
  • Teilnehmer von Rehabilitationsmaßnahmen zur Wiedereingliederung in das Arbeitsleben.

Bewerber und ausgeschiedene Beschäftigte werden nach § 26 Abs. 8 Satz 2 BDSG ausdrücklich gleichgestellt.

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur innerhalb der arbeitsvertraglichen Zwecksetzung zulässig. Die Reichweite dieses Zweckbezugs ist umstritten. Eine Reduzierung nur auf den gegenseitigen Leistungsaustausch erscheint im Hinblick auf die überragende Bedeutung des Schutzguts Persönlichkeitsrecht nicht vertretbar. Richtigerweise wird – unter Zugrundelegung des Schutzzwecks – jegliche mit dem Arbeitsverhältnis in Verbindung stehende Datenverarbeitung erfasst. Der zeitliche Anwendungsbereich der Regelung ist ebenfalls umfassend. Insbesondere wird bereits das vorvertragliche Stadium erfasst. Die Daten können sich weiterhin auf die Durchführung sowie die Beendigung des Arbeitsverhältnisses beziehen. Die Datenverarbeitung kann erfolgen aufgrund:

  • Allgemeiner gesetzlicher Ermächtigungsgrundlage in der DSGVO oder dem BDSG
  • Spezialgesetzlicher Ermächtigungsgrundlage (Art. 6, 88 Abs. 1 DSGVO, § 26 Abs. 1 BDSG; Spezialgesetzen wie z. B. dem GenDG, die einschlägigen Vorschriften im SGB – dagegen soll das AGG mangels spezifisch datenschutzrechtlicher Inhalte nicht erfasst werden)
  • Betriebs- oder Dienstvereinbarung (Art. 88 Abs. 1 DSGVO, § 26 Abs. 4 BDSG)
  • Tarifvertrag (Art. 88 Abs. 1 DSGVO, § 26 Abs. 4 BDSG)
  • Einwilligung des Beschäftigten (Art. 6, 7 DSGVO, § 26 Abs. 2 BDSG)

Die jeweiligen Ermächtigungsgrundlagen müssen dabei stets den generellen Vorgaben der DSGVO genügen. Nationaler Gesetzgeber, aber auch die Tarifvertrags- und Betriebsparteien sind keinesfalls frei in ihrer inhaltlichen Ausgestaltung der Regelungen.

Die umfassende Anwendbarkeit auf alle drei Phasen des Beschäftigungsverhältnisses – Begründung, Durchführung und Beendigung – behält auch die Neuregelung in § 26 Abs. 1 BDSG bei.

Eine Übermittlung von arbeitnehmerbezogenen Daten unterliegt den gleichen Anforderungen. Die arbeitsvertragsbezogene Übermittlung ist bspw. gerechtfertigt bei der Weitergabe an überbetriebliche Sozialeinrichtungen, an andere Unternehmen im Konzernverbund, sofern das Arbeitsverhältnis Konzernbezug hat (Versetzungsbefugnis) oder bei Mitteilung an Banken zur bargeldlosen Lohnzahlung.

Die Datenerhebung kann präventiv oder repressiv erfolgen. Umfasst wird sowohl die automatisierte als auch die nicht automatisierte Datenverarbeitung. Die Vorschrift erfasst deshalb nach ihrem Regelungsgehalt auch die Datenerhebung durch rein tatsächliche Handlungen: So zählt bspw. eine Schrankkontrolle zur nicht-automatisierten Datenerhebung.

Gegenständlich umfasst § 26 BDSG die allgemeinen Daten des Arbeitnehmers (Geschlecht, Alter, Ausbildung, betrieblicher Werdegang); in Randbereichen wird dies aber problematisch (Konfession, Gewerkschaftszugehörigkeit, Krankheiten). Insofern bedarf es der Abwägung im Einzelfall unter Berücksichtigung der jeweiligen Umstände des Arbeitsverhältnisses. Zulässig ist die Verarbeitung von Krankheits- und Fehlzeitendaten, auch für Datenläufe, mit denen auf einzelne Arbeitnehmer bezogene Aussagen über krankheitsbedingte Fehlzeiten, attestfreie Fehlzeiten und unentschuldigte Fehlzeiten erarbeitet werden sollen. Besonders zu beachten sind die sensiblen Daten i. S. von Art. 9 DSGVO, § 22 BDSG, deren Erhebung und Verarbeitung besonderen Anforderungen unterliegen. Arbeitsrechtlich relevant sind hier insbesondere die Merkmale Gewerkschaftszugehörigkeit und Gesundheit, u. U. aber auch ethnische Herkunft, Religionszugehörigkeit und politische Meinungen. In diesem Zusammenhang sind die Diskriminierungsverbote des AGG auch datenschutzrechtlich zu beachten. Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung dieser Daten als „besondere Kategorien personenbezogener Daten“ grundsätzlich verboten. Dazu gehören nach Art. 9 Abs. 1 DSGVO Gesundheitsdaten, Daten zur politischen, religiösen oder gewerkschaftlichen Aktivität, aber auch genetische oder biometrische Daten. Ausnahmen sind nach Art. 9 Abs. 2 a) DSGVO aufgrund einer wirksamen Einwilligung und nach Art. 9 Abs. 2 b) DSGVO in bestimmten arbeitsrechtlichen Zusammenhängen möglich. § 26 Abs. 3 Satz 1 BDSG regelt darauf aufbauend den Bereich der sensiblen Daten. Ihre Verarbeitung ist zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und schutzwürdige Interesse der betroffenen Person der Verarbeitung nicht entgegenstehen. Die Grundsätze wirksamer Einwilligung sind hier ebenfalls zu beachten, insbesondere muss der Arbeitgeber sicherstellen, dass sich die Einwilligung ausdrücklich auf diese Daten bezieht.

Auf den Datenschutz verpflichtet und in den Verantwortungsbereich der DSGVO einbezogen wird neben dem Arbeitgeber auch jede dritte Stelle, derer sich ein Unternehmen zur Datenverarbeitung bedient, der sog. Auftragsverarbeiter (Art. 28 DSGVO). Für die Erteilung von Auftragsdatenverarbeitung durch den Arbeitgeber an Dritte gelten strenge Anforderungen, die sich im Detail gemäß Art. 28 DSGVO auf die Auswahl und Überwachung dieses Dienstleisters beziehen. Die Nichteinhaltung dieser Vorgaben stellt eine datenschutzrechtliche, aber auch arbeitsvertragliche Pflichtverletzung des Arbeitgebers dar.

Sofern der Verdacht der Begehung einer Straftat im Arbeitsverhältnis besteht, dürfen personenbezogene Daten erhoben, verarbeitet und genutzt werden, wenn dies zur Aufdeckung erforderlich ist und die Datenverarbeitung nicht unverhältnismäßig ist. Die dem Verdacht zugrunde liegenden Tatsachen sind zu dokumentieren. In Betracht kommen hier z. B. Videoüberwachungen, Aufzeichnungen des Telefon- oder E-Mailverkehrs etc.

Erforderlichkeitsprüfung

Die Datenverarbeitung im Arbeitsverhältnis ist gem. Art. 88 DSGVO, § 26 BDSG nur dann zulässig, wenn sie mit Bezug auf das Arbeitsverhältnis erforderlich ist. Der unbestimmte Rechtsbegriff der Erforderlichkeit ist auch bei der datenschutzrechtlichen Neuregelung in § 26 BDSG vom Gesetzgeber übernommen worden. Damit bleiben die damit verbundenen Konkretisierungsprobleme bestehen. Im Kern wird es auch zukünftig um die Anwendung des Verhältnismäßigkeitsgrundsatzes und eine damit verbundene Interessenabwägung gehen. Zunächst setzt die Erforderlichkeit voraus, dass die Datenverarbeitung für die jeweilige Aufgabe (z. B. Führung der Personalakten) nicht möglich ist. Es muss ein konkreter Bedarf für die Datenverarbeitung bestehen. Zusätzlich müssen die zu verarbeitenden Daten aber auch einen ausreichenden – erforderlichen – Bezug zum Arbeitsverhältnis haben. Dieser Bezug kann nicht allgemein bestimmt werden, sondern hat sich wiederum an den konkreten Anforderungen des jeweiligen Arbeitsverhältnisses zu orientieren. Dem Arbeitgeber dürfen keine ebenso effektiven, den Arbeitnehmer weniger belastenden Möglichkeiten zur Zweckerreichung zur Verfügung stehen. Schließlich ist eine Verhältnismäßigkeitsprüfung i. S. einer Abwägung zwischen dem Verarbeitungsinteresse des Arbeitgebers und der Eingriffstiefe in Bezug auf das Persönlichkeitsrecht des Arbeitnehmers vorzunehmen. Das BAG verlangt eine am Verhältnismäßigkeitsprinzip orientierte, die Interessen des Arbeitgebers und des Beschäftigten berücksichtigende Abwägung im Einzelfall.

An diesen Grundsätzen ändert die Neuregelung durch § 26 Abs. 1 Satz 1 BDSG nichts. Erweitert wird die Regelung insoweit, als nunmehr die Daten auch zur Erfüllung gesetzlicher oder kollektivvertraglicher Rechte und Pflichten der Interessenvertretung der Beschäftigten erhoben, verarbeitet und genutzt werden können. Diese Erweiterung orientiert sich an Art. 88 DSGVO. Allerdings spricht die DSGVO von gesetzlich oder kollektivvertraglich begründeten Rechten und Pflichten der Beschäftigten, während sich die Erweiterung in § 26 BDSG auf die Rechte und Pflichten der Interessenvertretung bezieht.

Zur Konkretisierung der Erforderlichkeit von § 26 Abs. 1 Satz 1 BDSG können die in Art. 88 DSGVO genannten Zwecke herangezogen werden. Dies sind ganz allgemein Management-, Planungs- und Organisationszwecke, Gleichheit und Diversität am Arbeitsplatz, der Sicherheits- und Gesundheitsschutz, der Eigentumsschutz des Arbeitgebers und der Kunden.

Einzelfälle

Anbahnung des Arbeitsverhältnisses und Einstellung

Die Erfassung und Verarbeitung von allgemein zugänglichen öffentlichen Daten des Bewerbers, insbesondere über das Internet (Soziale Medien) ist zulässig. Die Datenerhebung mittels Fragen (Fragebögen) ist nur zulässig, soweit ein Fragerecht des Arbeitgebers besteht. Allgemeine Intelligenztests, grafologische Untersuchungen, Stresstests oder Genomanalysen sind grundsätzlich unzulässig. Eine ärztliche Einstellungsuntersuchung darf nur mit Einwilligung des Bewerbers erfolgen. An den Arbeitgeber dürfen nur die beschäftigungsbezogenen Ergebnisse („geeignet“) weitergegeben werden, nicht jedoch medizinischer Befund oder einzelne Untersuchungsergebnisse (Blutwerte, Leistungsdaten wie Puls oder Blutdruck etc.). Die Daten dürfen nicht zeitlich unbegrenzt gespeichert werden – die zulässige Dauer ist einzelfallabhängig. Als Richtwert dürften 6 Monate anzusetzen sein.

Durchführung des Arbeitsverhältnisses

Zulässig ist die Datenverarbeitung der sog. Stammdaten des Arbeitnehmers, die für die ordnungsgemäße organisatorische Durchführung des Arbeitsverhältnisses benötigt werden. Dazu gehört auch die Erfassung von Fehlzeiten.

Der Arbeitgeber hat ein berechtigtes Interesse an der Vollständigkeit der von ihm geführten Personalakten. Das gilt auch für sensible Daten über die Persönlichkeit und Gesundheit des Arbeitnehmers, z. B. einer Sucht-/Alkoholerkrankung, etwa im Hinblick auf eine negative Zukunftsprognose gem. § 1 Abs. 1 KSchG. Allerdings ist der Arbeitgeber verpflichtet, sensible Daten über den Arbeitnehmer in besonderer Weise aufzubewahren. Sie sind gegen zufällige Kenntnisnahme zu schützen. Der informationsberechtigte Personenkreis ist zu beschränken.

Im Bereich der Arbeitsleistung unzulässig ist die permanente Leistungsüberwachung aufgrund der dadurch erzeugten Drucksituation. Soweit die EDV-Tätigkeiten geschuldet sind, ist die Erfassung des letzten Änderungsdatums sowie des jeweiligen Bearbeiters zulässig. Auch darf der Browserverlauf auf einem Dienstcomputer ausgewertet werden. Allgemeine, nicht anlassbezogene und dauerhafte Videoüberwachung (z. B. aus Sicherheitsgründen) muss grundsätzlich offen erkennbar durchgeführt werden und darf nicht zur individuellen Leistungs- oder Verhaltenskontrolle verwendet werden. Auch repressiv müssen verdeckte Aufnahmen das letzte Mittel sein und erfordern einen konkreten, durch Tatsachen belegten Anfangsverdacht für Straftaten. Soweit es um die Videoüberwachung öffentlich zugänglicher Räume geht, enthält § 4 BDSG eine Spezialregelung: es bedarf insoweit eines bestimmten Zweckes (z. B. die Wahrnehmung des Hausrechts, § 4 Abs. 1 Satz 1 Nr. 2 BDSG), der zudem gegenüber dem Persönlichkeitsschutz der beobachteten Person überwiegt (§ 4 Abs. 1 Satz 1 a. E. BDSG).

Kommunikationsdaten (Telefon, E-Mail, Internet) dürfen nicht umfassend, sondern nur hinsichtlich ihrer „äußeren“ Daten (Verbindung, Dauer, Uhrzeit) verarbeitet, insbesondere gespeichert werden, soweit es sich um private Kommunikation handelt. Eindeutig als dienstlich identifizierbare Kommunikation kann umfassend verarbeitet, insbesondere auch eingesehen werden. Allerdings ist der Arbeitgeber nicht den speziellen Anforderungen des Fernmeldegeheimnisses i. S. des § 88 TKG unterworfen, da er nicht Anbieter von Telekommunikationsdienstleistungen i. S. dieses Gesetzes ist (str.).

Beendigung des Arbeitsverhältnisses

Jede für die Beendigung und die Abwicklung des Arbeitsverhältnisses erforderliche (s. o.) Datenverarbeitung ist zulässig. Die Daten dürfen auch noch nach dem Ausscheiden des Beschäftigten gespeichert bleiben, soweit dafür ein auf das Arbeitsverhältnis bzw. dessen Nachwirkungen bezogenes Bedürfnis besteht. Dies gilt insbesondere für Daten zur weiteren Durchführung und Erfüllung einer Zusage auf betriebliche Altersversorgung. Daneben kommt die Speicherung hinsichtlich offener oder strittiger Ansprüche, der Dokumentation gegenüber Dritten (Gewerbeaufsicht, Finanzbehörden etc.), aber auch hinsichtlich bereits gewährter Urlaubsansprüche oder einer Vorbeschäftigung im Sinne des Befristungsrechts. Entscheidend ist insoweit die zulässige Dauer der Speicherung. Hier kann keine einheitliche Frist bestimmt werden. Vielmehr ist im Einzelfall zu bestimmen, wie lange sich aus der jeweiligen Rechtsbeziehung noch Rechte und Pflichten ergeben können. Äußerste Grenze ist jedenfalls die im Einzelfall maßgebliche Verjährungsfrist.

Rechtsfolgen

Die früher primär im BDSG gewährten Auskunfts-, Kontroll- und Korrekturrechte des Arbeitnehmers sind durch die Regelungen der DSGVO teils abgelöst worden. Das BDSG enthält dazu jedoch in den §§ 55 ff. BDSG ergänzende Regelungen, sodass hier beide Gesetze beachtet werden müssen.

Die DSGVO gewährt umfassende Informationsrechte und Auskunftsrechte. Gemäß Art. 12 – 15 DSGVO müssen diese Informationen transparent, umfassend, unentgeltlich sowie in sprachlich verständlicher Form vom Arbeitgeber zur Verfügung gestellt werden. Gemäß Art. 13 DSGVO besteht bei der Erhebung von personenbezogenen Daten eine anfängliche Informationspflicht insbesondere im Hinblick auf die Nennung der beteiligten Stellen, den Zweck der Datenerhebung und eventuelle dritte Empfänger der Daten.

Daneben enthält die DSGVO in den Art. 16 – 19 weitere Betroffenenrechte:

  • Berichtigungsanspruch (Art. 16 DSGVO)
  • Löschungsanspruch (Art. 17 DSGVO)
  • Anspruch auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Anspruch auf Mitnahme der Daten durch den Betroffenen („Datenübertragbarkeit“, Art. 20 DSGVO)

Die einschlägigen Regelungen des BDSG beinhalten den Anspruch auf:

  • Allgemeine Informationen über die Datenverarbeitung (§ 55 BDSG)
  • Auskunft über das „Ob“ und weitere Details und Umstände der Datenverarbeitung (§ 57 BDSG)
  • Berichtigung, Löschung und Einschränkung der Verarbeitung (§ 58 BDSG)

Soweit einzelne Regelungen in der DSGVO und dem BDSG kollidieren, hat die DSGVO grundsätzlich Vorrang.

Personaldatenbanken sind als Personalakte anzusehen. Einer ungeschützten Aufbewahrung von Gesundheitsdaten in der Personalakte steht das durch Art. 2 Abs. 1 GG gewährleistete allgemeine Persönlichkeitsrecht des Arbeitnehmers entgegen. Es schützt vor der Erhebung und Weitergabe von Befunden über den Gesundheitszustand, die seelische Verfassung und den Charakter. Der Arbeitnehmer hat Anspruch auf Beseitigung einer Beeinträchtigung seines Persönlichkeitsrechts gem. §§ 12, 862, 1004 BGB. Wie der Arbeitgeber den Schutz sensibler Personaldaten gewährleistet, hat er grundsätzlich selbst zu bestimmen. Unterbleibt diese Bestimmung, geht sie auf den Arbeitnehmer über.

Verletzungen der Pflichten aus der DSGVO sowie dem BDSG können gem. Art. 82 DSGVO sowie § 83 BDSG zu Schadensersatzansprüchen des Arbeitnehmers gegenüber dem Arbeitgeber führen, sofern ein eventueller Schaden auf die nicht sorgfaltsgemäße Datenverarbeitung des Arbeitgebers zurückführbar ist. Dabei begründet § 83 Abs. 1 BDSG eine verschuldensunabhängige Haftung des Verantwortlichen in Fällen automatisierter Datenverarbeitung. Mehrere Verantwortliche haften dabei als Gesamtschuldner. Der Arbeitgeber trägt dagegen gem. Art. 82 Abs. 3 DSGVO lediglich die Darlegungs- und Beweislast für sein sorgfaltsgemäßes Handeln; eine entsprechende Regelung enthält § 83 Abs. 1 Satz 2 BDSG nur für die nichtautomatisierte Datenverarbeitung. Inwieweit die Schadensersatzregelung in § 83 BDSG keine ausschließliche Regelung darstellt, insbesondere den auf § 823 Abs. 1 BGB gestützten Anspruch auf Geldentschädigung wegen einer schweren Persönlichkeitsrechtsverletzung verdrängt, ist derzeit offen, da § 83 Abs. 2 BDSG eine eigenständige Anspruchsgrundlage auch für immaterielle Schadensersatzansprüche enthält.

Diesbezüglich enthält § 44 Abs. 1 Satz 1 und Satz 2 BDSG eine für den Betroffenen günstige, alternativ wählbare Gerichtsstandsregelung für den Sitz der Niederlassung des datenverarbeitenden Unternehmens bzw. den Wohnsitz des Betroffenen.

Die bisherigen Meldepflichten gem. §§ 4a ff. BDSG a. F. sind abgelöst worden durch ein in den §§ 62 ff. BDSG vollkommen neu gestaltetes System von Pflichten sowohl des für den Datenschutz Verantwortlichen als auch der von diesem eingeschalteten Auftragsverarbeiter. Entfallen ist dabei die pauschale Vorab-Meldepflicht. In der Neuregelung der DSGVO bzw. dem BDSG findet sich keine solche unmittelbare Folgeregelung. Dafür ergeben sich umfassende Pflichten des Arbeitgebers hinsichtlich der Datenverarbeitung und der diesbezüglichen Dokumentation (Art. 30 DSGVO: Verzeichnis der Datenverarbeitungsaktivitäten) sowie der Zusammenarbeit mit der Aufsichtsbehörde (Art. 31 DSGVO).

Der Arbeitgeber hat weiterhin organisatorische Vorkehrungen zu treffen, um das Datengeheimnis zu sichern, d. h. eine unzulässige Datenspeicherung, -nutzung oder -übermittlung auszuschließen.

Die Pflicht zur Bestellung eines Datenschutzbeauftragten folgt aus den Art. 37 – 39 DSGVO sowie dem präzisierenden § 38 Abs. 1 BDSG. Danach ist ein Datenschutzbeauftragter zu bestellen, soweit beim Arbeitgeber in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Sofern Daten verarbeitet werden, für die eine Folgenabschätzung i. S. des Art. 35 DSGVO zu treffen ist, muss der Arbeitgeber – unabhängig von der Betriebsgröße – einen Datenschutzbeauftragten bestellen. Gem. Art. 37 Abs. 2 DSGVO kann ein gemeinsamer DSB für eine Unternehmensgruppe (gem. Art. 4 Nr. 19 DSGVO als Konzernverbund zu verstehen) bestellt werden, wenn dieser von jeder Niederlassung aus leicht erreicht werden kann. Die Bedeutung des Begriffs der Erreichbarkeit (räumlich, zeitlich, kommunikativ) ist nicht näher bestimmt und die künftige Auslegung letztlich durch den EuGH vorprogrammiert.

Die Pflicht zur Bestellung eines DSB besteht für die Privatwirtschaft zwingend, wenn die Datenverarbeitung zur „Kerntätigkeit“ gehört (Art. 37 Abs. 1 b) und c) DSGVO). Kerntätigkeit meint dabei eine Datenverarbeitung, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen bzw. besonders sensibler Daten (Art. 9 DSGVO) erfordert.

Die einschlägige Rechtsprechung des BAG zur Stellung des DSB dürfte uch unter dem neuen Recht nur soweit Bestand haben bzw. entsprechend fortgeführt werden, wie dieses nicht mit den unionsrechtlichen Vorgaben kollidiert und der partiellen Neuregelung in § 38 BDSG entspricht.

Der Betriebsrat hat bei der Speicherung, Nutzung und Verarbeitung von Daten ein umfassendes Mitbestimmungsrecht gem. § 87 Abs. 1 Nr. 6 BetrVG. Die diesbezüglichen Beteiligungsrechte werden durch das BDSG nicht verdrängt. Der Betriebsrat hat aus dem betriebsverfassungsrechtlichen Informationsrecht nach § 80 Abs. 1 und Abs. 2 BetrVG keinen Anspruch auf einen Online-Zugriff der vom Arbeitgeber elektronisch geführten Personalakten. Ein solcher „lesender Zugriff“ umgeht das Wahl- und Vorprüfungsrecht des Arbeitgebers aus § 80 Abs. 2 Satz 2 1. Halbsatz BetrVG. Die DSGVO und das BDSG n. F. lassen die Stellung des Betriebsrats und das Eingreifen des BetrVG unberührt. Gleichwohl unterliegen datenschutzrelevante Betriebsvereinbarungen der Rechtskontrolle am Maßstab der DSGVO sowie des BDSG n. F.