Neuigkeiten
Startseite / Themen / Recht & Steuern / Datenschutz am Arbeitsplatz: Das neue Recht
Datenschutz am Arbeitsplatz: Das neue Recht

Datenschutz am Arbeitsplatz: Das neue Recht

Die aktuelle Debatte über den Datenschutz wird weiterhin sehr emotional geführt und treibt einige Blüten. Über den Beschäftigtenschutz strahlt der Datenschutz auch in die Arbeitsverhältnisse im Unternehmen ein. Der Beitrag vermittelt einen kursorischen Überblick über den Datenschutz am Arbeitsplatz.

Seit dem 25.5.2018 ist die europäische Datenschutz-Grundverordnung (DSGVO) in allen EU-Mitgliedstaaten verbindlich und zentrale Regelungsgrundlage für den Beschäftigtendatenschutz. Die DSGVO gilt auch in Deutschland unmittelbar und zwingend, sodass sie die gleiche Wirkung wie ein nationales Gesetz entfaltet. Die DSGVO beinhaltet selbst bereits zahlreiche konkrete Vorgaben. An einigen Stellen lässt sie den nationalen Gesetzgebern jedoch die Möglichkeit, bestimmte Themenbereiche durch nationale Gesetze zu spezifizieren.
Diese nationalen Spezifikationen wurden in Deutschland mit dem neuen Bundesdatenschutzgesetz (BDSG) umgesetzt, welches ebenfalls am 25.5.2018 das alte Bundesdatenschutzgesetz ablöste. Der rechtliche Rahmen des Beschäftigtendatenschutzes ergibt sich damit aus dem Zusammenspiel beider Regelwerke. Dem Grunde nach gehen auf der ersten Ebene die Kernregelungen von der DSGVO aus. Zu einigen Aspekten werden dann auf der zweiten Ebene durch die Regelungen des BDSG Rahmenvorgaben näher ausgestaltet.
Die DSGVO trifft zahlreiche Regelungen für den allgemeinen Rechtsverkehr. Für den Beschäftigtendatenschutz im Speziellen enthält die DSGVO hingegen nur eine Regelung in Art. 88. Dieser sieht als Rahmenvorschrift lediglich vor, dass auf nationaler Ebene spezifischere Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext gemacht werden können. Benannt werden ferner zahlreiche Beispiele, insbesondere
–zur Einstellung,
–zur Erfüllung des Arbeitsvertrags sowie korrespondierender Pflichten,
–zur Planung und Organisation,
–zum Schutz des Eigentums des Arbeitgebers oder der Kunden sowie
–für Zwecke der Beendigung des Beschäftigungsverhältnisses.
Darüber hinaus beinhaltet die DSGVO insbesondere in Kapitel 3 „Rechte der betroffenen Person“ weitere allgemeine Pflichten, die auch im Verhältnis zwischen Arbeitgeber und Arbeitnehmer Anwendung finden. Gegenstand des Datenschutzes sind stets sogenannte personenbezogene Daten – der Kernbereich des Datenschutzes. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Vorschrift, die den Beschäftigtendatenschutz im Sinne von Art. 88 DSGVO in Deutschland konkretisiert, ist § 26 BDSG.

Allgemeinregelung

§ 26 BDSG enthält in Abs. 1 Satz 1 die zentrale Regelung zur Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis. Dem Grunde nach ist die Verarbeitung von personenbezogenen Daten nach Art. 6 DSGVO verboten, sofern sie nicht durch spezische Regelungen erlaubt ist.
Hieran knüpft § 26 Abs. 1 Satz 1 BDSG. Dieser regelt, dass personenbezogene Daten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden dürfen,
–wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder
–nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder
–zur Ausübung oder Erfüllung der Rechte und Pichten der Interessenvertretung der Beschäftigten erforderlich ist.

Mit dem Begriff „erforderlich“ kommt zum Ausdruck, dass eine Abwägung der wechselseitigen Interessen in Form einer sogenannten Verhältnismäßigkeitsprüfung zu erfolgen hat. „Verhältnismäßigkeit“ ist ein juristisches Prinzip. Die Prüfung unterteilt sich in vier separate Prüfungspunkte:
1.Legitimer Zweck: Der angestrebte Zweck ist nicht per se illegitim.
2.Geeignetheit: Die Maßnahme ist zur Zielerreichung grundsätzlich geeignet.
3.Erforderlichkeit: Die Maßnahme ist das mildeste Mittel für den angestrebten Zweck.
4.Angemessenheit: Die Nachteile der Maßnahme sind nicht außer Verhältnis zu deren Vorteilen.

Beispiel:
Die Abfrage der konkreten Vermögensverhältnisse vor einer Einstellung ist nicht verhältnismäßig. Da die Vermögensverhältnisse üblicherweise nicht von Bedeutung sind für die Entscheidung für oder gegen einen Bewerber, wird mit der Abfrage schon kein legitimer Zweck verfolgt. Selbst wenn die Überprüfung der Vermögenssituation etwa aufgrund besonderer Vermögensbetreuungspichten ausnahmsweise einen legitimen Zweck verfolgt, ist die Abfrage der konkreten Verhältnisse jedoch nicht erforderlich. Dem legitimen Schutzinteresse des Arbeitgebers wird bereits eine Darlegung geordneter Finanzverhältnisse gerecht. Dies kann weit weniger einschneidend beispielsweise durch eine allgemeine Kreditwürdigkeitsabfrage bei einer Kreditauskunftei erfolgen als durch eine Darlegung der konkreten Vermögenssituation.

Einwilligung des Beschäftigten

In §  26 Abs.  2 BDSG wird klargestellt, dass auch im Beschäftigungsverhältnis die Einwilligung des Beschäftigten Rechtfertigungsgrundlage für eine Datenverarbeitung sein kann. Die Einwilligung muss in der Regel schriftlich erklärt werden. Der Einwilligende ist außerdem mindestens in Textform über den konkreten Zweck der Datenverarbeitung und über das Recht zum jederzeitigen Widerruf aufzuklären. Um beim Abschluss von Verträgen die Freiwilligkeit nicht zu konterkarieren, empfiehlt es sich, den zu unterzeichnenden Arbeitsvertrag sowie die Einwilligungserklärung strikt voneinander getrennt und idealerweise die Einwilligung erst später unterzeichnen zu lassen.

Pflicht zur Information – Auskunftsrecht der Beschäftigten

Neben der Frage nach der Rechtmäßigkeitder Datenverarbeitung an sich ist mit Einführung der DSGVO insbesondere von Bedeutung, dass die Betroenen hinreichend über die Erhebung der Daten informiert werden. Art. 13 DSGVO erlegt dem Datenerhebenden umfangreiche Informationspichten auf. So ist dem betroenen Arbeitnehmer zum Zeitpunkt der Erhebung u.a. Folgendes mitzuteilen:
–Name und Kontaktdaten des Verantwortlichen,
–Kontaktdaten des Datenschutzbeauftragten,
–Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen,
–Rechtsgrundlage der Verarbeitung,
–berechtigte Interessen des Arbeitgebers, sofern eine Interessenabwägung stattfindet,
–(ggf.) Empfänger oder Kategorien von Empfängern der personenbezogenen Daten,
–Dauer, für die die personenbezogenen Daten gespeichert werden,
–Bestehen eines Rechts auf Auskunft, auf Berichtigung, auf Löschung, Einschränkung der Verarbeitung, Widerspruch sowie des Rechts auf Datenübertragbarkeit,
–Bestehen des Rechts, eine Einwilligung jederzeit zu widerrufen,
–Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.

Mit Blick auf die allgemeine Rechenschaftspiflcht nach Art. 5 Abs. 2 DSGVO und die spezifischen Anforderungen einer transparenten Information empfiehlt sich bereits aus Gründen der Beweissicherung eine informierende Datenschutzerklärung mindestens in Textform. Darüber hinaus besteht in Art. 15 DSGVO ein korrespondierendes Auskunftsrecht. Werden personenbezogene Daten des Auskunftsersuchenden erhoben, ist diesem Auskunft zu erteilen. Die Auskunft umfasst weit überwiegend die gleichen Aspekte wie sie auch in der Information nach Art. 13 DSGVO enthalten sein müssen.

Löschung personenbezogener Daten

Eines der zentralen Rechte zur Gewährleistung des Datenschutzes und des allgemeinen Persönlichkeitsrechts ist das Recht auf Löschung. Es besteht nach Art. 17 Abs. 1 DSGVO ein Recht auf unverzügliche Löschung der personenbezogenen Daten, sofern
–die Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind,
–die Einwilligung, die einzige rechtliche Grundlage der Verarbeitung war, widerrufen wurde,
–Widerspruch gegen die Verarbeitung eingelegt wurde und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen,
–die Daten unrechtmäßig verarbeitet wurden,
–die Löschung der Daten nach DSGVO oder BDSG vorgeschrieben ist.

Art. 17 Abs. 3 DSGVO benennt demgegenüber einige Ausnahmen, in denen keine Löschung erfolgen muss. Eine Löschung kann unterbleiben, wenn die Verarbeitung der Daten erforderlich ist z.B. für
–die Ausübung des Rechts auf freie Meinungsäußerung und Information,
–zur Erfüllung einer gesetzlichen Verpichtung,
–zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Recht auf Datenübertragbarkeit

Ferner haben Betroffene, sofern sie Daten auf Basis einer Einwilligung oder zur Erfüllung bzw. Durchführung eines Vertrags bereitgestellt haben, gemäß Art. 20 DSGVO das Recht,
–die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten sowie
–dass diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln sind.

Beschwerderecht und Bußgeld

Nach Art. 77 Abs. 1 DSGVO steht jeder Person das Recht zu, sich bei der maßgeblichen Aufsichtsbehörde über vermeintliche datenschutzrechtliche Verstöße zu beschweren. Die Aufsichtsbehörde ist rechtlich verpflichtet, sich mit der Beschwerde zu befassen und diese sorgfältig zu prüfen. Ihr steht dabei allem Anschein nach ein intendiertes Ermessen zu (BeckOK Datenschutz/ Mundil DSGVO Art. 77 Rn. 15). Dies bedeutet, dass das Verfahren regelmäßig zu eröffnen ist, in atypischen Fällen jedoch auch davon abgesehen werden kann. Die in der DSGVO vorgesehenen Rechte und Pflichten sind weitestgehend bußgeldbewehrt. Bei Verstößen gegen die Rechte der betroffenen Person gemäß den Art. 12 bis 22 DSGVO drohen beispielsweise nach Art. 83 Abs. 5 DSGVO Geldbußen von bis zu 20 Mio. € oder im Fall eines Unternehmens bis zu 4% des weltweit erzielten Vorjahresumsatzes.

Dr. Julian Wölfel
Rechtsanwalt, Fachanwalt für Arbeitsrecht,
Kanzlei Küttner Rechtsanwälte in Köln

Stand: 17.12.2018 09:00