Beschäftigtendatenschutz

 

Im Rahmen von Arbeitsverhältnissen ist ein besonders hohes Datenschutzniveau erforderlich, da der Arbeitgeber regelmäßig in sehr großem Umfang Zugang zu personenbezogenen Daten des Arbeitnehmers erlangt, zumeist beginnend vor Begründung eines Arbeitsverhältnisses mit dem Erhalt der Bewerbungsunterlagen eines potentiellen künftigen Arbeitnehmers.

 

 

1. Rechtliche Grundlagen       

 

Rechtliche Grundlage für den Beschäftigtendatenschutz stellt mangels eines spezifischen Arbeitnehmerdatenschutzrechts im Wesentlichen das Bundesdatenschutzgesetz (BDSG) dar. Insbesondere von Bedeutung ist dabei § 32 BDSG, der die bis zu seinem Inkrafttreten am 1.9.2009 lediglich in der Rechtsprechung existierenden datenschutzrechtlichen Grundsätze für Arbeitsverhältnisse gesetzlich normierte und als speziellere Vorschrift in weiten Teilen den überwiegend außerhalb von Arbeitsverhältnissen geltenden § 28 BDSG verdrängt.

 

Denkbar ist es zwar auch, die Erhebung, Verarbeitung und Nutzung von Beschäftigten durch eine Einwilligung des Betroffenen zu legitimieren. Die Möglichkeit besteht gemäß § 4 Absatz 1 BDSG. In diesem Fall käme es nicht mehr auf das Bestehen eines Erlaubnistatbestandes im Sinne des § 4 Absatz 1 BDSG (d. h. insbesondere § 32 BDSG) an. Aber es ist nicht zu empfehlen, einen Umgang mit Beschäftigtendaten alleine auf die Einwilligung des Betroffenen zu stützen. Grund hierfür ist, dass die Einwilligung gemäß § 4a BDSG freiwillig erklärt werden muss, d. h. der Betroffene muss eine freie Entscheidung aufgrund einer vorher im gegenüber stattgefundenen umfassenden Information insbesondere über die Identität der verantwortlichen Stelle, den Zweck der Datenerhebung, -verarbeitung oder -nutzung sowie gegebenenfalls über die Empfänger der Daten treffen. An der Freiwilligkeit der Entscheidung wird es aber gerade im Beschäftigungsverhältnis oft fehlen. Der Beschäftigte wird oftmals nur deswegen eine Einwilligung erklären, weil er keine andere Möglichkeit sieht, ohne mit Konsequenzen seitens des Arbeitgebers rechnen zu müssen. Dasselbe gilt auch für Bewerber, die im Falle der Verweigerung einer Einwilligung befürchten, die Stelle nicht zu bekommen. Daher geht mit der Einwilligung eine große Unsicherheit einher, da ständig das Risiko einer Unwirksamkeit der Einwilligung droht (neben dem Risiko der Widerrufsmöglichkeit). Zudem ist davon auszugehen, dass der Regierungsentwurf zu einem gesetzlich geregelten Beschäftigtendatenschutz (hierzu siehe unten), wie er derzeit vorliegt, künftig nach § 32l BDSG-Reg.E. die Zulässigkeit einer Einwilligung im Beschäftigungsverhältnis einschränken wird. Aus den dargestellten Gründen ist es nicht zu empfehlen, den Umgang mit personenbezogenen Daten eines Beschäftigten alleine auf die Einwilligung des Betroffenen zu stützen. Es sollte sichergestellt werden, dass auch die Voraussetzungen eines Erlaubnistatbestands des BDSG erfüllt sind. Hier kommt – wie bereits angedeutet – vor allem § 32 BDSG in Frage.

 

Personenbezogene Daten eines Beschäftigten dürfen gemäß § 32 Absatz 1 Satz 1 BDSG für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Dies gilt gemäß § 32 Absatz 2 BDSG auch, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass sie automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden. Erforderlich im Sinne von § 32 Absatz 1 Satz 1 BDSG sind die Datenerhebung, -verarbeitung oder -nutzung immer dann, wenn eine Prüfung ergibt, dass berechtigte Interessen des Unternehmens auf andere Weise nicht oder nicht angemessen gewahrt werden können.

 

Eine Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten eines Beschäftigten zur Aufdeckung von Straftaten ist gemäß § 32 Absatz 1 Satz 2 BDSG nur zulässig, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass der Betroffene im Beschäftigungsverhältnis eine Straftat begangen hat, die Erhebung, Verarbeitung oder Nutzung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Erhebung, Verarbeitung oder Nutzung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

 

 

2. Rechtmäßigkeit einzelner Maßnahmen

 

Insoweit ist entsprechend § 32 Absatz 1 Satz 1 BDSG zwischen verschiedenen Phasen eines Arbeitsverhältnisses zu unterscheiden, nämlich zwischen der Phase vor Begründung eines Arbeitsverhältnisses, der Phase Durchführung und der Phase der Beendigung eines Arbeitsverhältnisses.

 

 

a) Phase vor Begründung eines Arbeitsverhältnisses

 

Gerade im Rahmen der Bewerbung eines potentiellen Arbeitnehmers um eine Arbeitsstelle versucht sich der Arbeitgeber ein möglichst umfassendes Bild vom Bewerber zu verschaffen. Vor dem Hintergrund, dass der Bewerber hierbei in der Regel zahlreiche personenbezogenen Daten über sich preisgibt, unterliegt der Arbeitgeber einigen datenschutzrechtlichen Beschränkungen:

 

So besteht nach § 32 BDSG nur ein begrenztes Fragerecht des Arbeitgebers. Insoweit decken sich die arbeitsrechtlichen Vorgaben weitgehend mit den datenschutzrechtlichen. Es sind an den Stellenbewerber nur solche Fragen zulässig, die für die zukünftige auszuübende Tätigkeit von Bedeutung sind. Soweit sie dies nicht sind, besteht insbesondere für folgende Fragen keine Berechtigung: Für Fragen nach dem früheren Arbeitsverhältnis (es sei denn, es geht um die Zulässigkeit einer Befristung eines Arbeitsvertrages  nach § 14 Absatz 2 TzBfG), nach Vorstrafen und schwebenden Strafverfahren (es sei denn, sie sind für die Arbeitsstelle wesentlich), über Krankheit oder Behinderung (es sei denn, die Geeignetheit des Bewerbers hängt im Einzelfall hiervon ab), nach Schwerbehinderteneigenschaft bzw. Gleichstellung oder nach Schwangerschaft. Bei unzulässigen Fragen des Arbeitgebers besteht für den Stellenbewerber ein Recht zur Lüge. Die Beschränkungen des Fragerechts dürfen in keiner Weise umgangen werden.

 

Zudem ist es nach § 4 Absatz 2 Satz 1 BDSG unzulässig, personenbezogene Daten bei Dritten zu erheben. Eine Datenerhebung muss beim Betroffenen selbst erfolgen.

 

Generell ist es für den Arbeitgeber im Rahmen eines Bewerbungsprozesses ratsam, im Hinblick auf die Preisgabe von personenbezogenen auf eine Einwilligung des Bewerbers hinzuwirken, um einen Verstoß gegen das Datenschutzrecht auszuschließen. Dies gilt insbesondere für Online-Bewerbungsverfahren. Klargestellt werden sollte aber, dass der Umgang mit den Daten des Bewerbers auch nicht alleine auf eine Einwilligung gestützt werden sollte, da das Risiko einer unwirksam (weil nicht freiwillig) erklärten Einwilligung zu groß ist (siehe oben).

 

Nach Ablehnung eines Bewerbers besteht für den Arbeitgeber kein Interesse mehr an den personenbezogenen Daten des Bewerbers, sodass diese unverzüglich zu vernichten oder zu löschen sind, soweit keine wirksame Einwilligung des Bewerbers zur Aufbewahrung besteht. Dies gilt regelmäßig auch für sogenannte Initiativbewerbungen, die nicht auf die Erlangung einer konkreten Stelle gerichtet sind.

 

 

b) Phase der Durchführung des Arbeitsverhältnisses

 

Während des Bestehens des Arbeitsverhältnisses sind Datenerhebung, -verarbeitung und -nutzung gemäß § 32 Absatz 1 Satz 1 BDSG nur zulässig, soweit sie für die Durchführung des Arbeitsverhältnisses notwendig sind.

 

Der Arbeitgeber darf eine Personalakte über den Arbeitnehmer anlegen, soweit sie der Durchführung des Arbeitsverhältnisses dient.

 

Eine Weitergabe von Arbeitnehmerdaten an Dritte ist zulässig, wenn Arbeitnehmer betroffen sind, die nach außen hin tätig sind und eine direkte Kontaktaufnahmemöglichkeit für Außenstehende gegeben sein muss. Dies gilt allerdings nicht für alle Daten, sondern nur für die Daten, die der Erfüllung der arbeitsvertraglichen Pflichten dienen (also insbesondere Name, Kontaktdaten, Funktion und Kenntnisse). Die Mitteilung von privaten Daten an Dritte ist in der Regel ohne Einwilligung oder besondere gesetzliche Legitimation unzulässig.

 

Auch die innerbetriebliche Veröffentlichung von Arbeitnehmerdaten ist nur zulässig, soweit ein berechtigtes Interesse des Arbeitgebers hieran besteht. Das ist bei einer innerbetrieblichen Veröffentlichung sehr viel häufiger der Fall als bei einer Weitergabe der Daten an Außenstehende. Daher ist beispielsweise die Veröffentlichung von Mitarbeiterfotos im Intranet grundsätzlich datenschutzrechtlich unbedenklich, da der Arbeitgeber ein Interesse daran hat, dass sich die Mitarbeiter gegenseitig kennen lernen. Regelmäßig nicht durch ein berechtigtes Interesse des Arbeitgebers gerechtfertigt ist das Aushängen von Leistungs- oder Krankheitslisten.

 

Eines der zentralen Themen des Beschäftigtendatenschutzes ist die Zulässigkeit der Überwachung der Beschäftigten am Arbeitsplatz. Insoweit ist zu unterscheiden zwischen der Überwachung zur Überprüfung der Vertragserfüllung, deren Anforderungen § 32 Absatz 1 Satz 1 BDSG beschreibt, und der Überwachung zur Aufdeckung von Straftaten, die nur unter den strengeren Voraussetzungen des § 32 Absatz 1 Satz 2 BDSG zulässig ist. Letztere Vorschrift unterscheidet sich vor allem dadurch von § 32 Absatz 1 Satz 1 BDSG, dass sie zusätzlich zur Erforderlichkeit der Maßnahme eine Dokumentation der Anhaltspunkte für das Vorliegen einer Straftat sowie eine besondere Verhältnismäßigkeitsprüfung verlangt.

 

Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten des Beschäftigten durch Überwachungsmaßnahmen zur Überprüfung der Vertragserfüllung durch den Beschäftigten sind nach § 32 Absatz 1 Satz 1 BDSG rechtmäßig, wenn sie hierzu erforderlich sind, d. h. der Überprüfung der Vertragserfüllung dienen und keine milderen Überwachungsmethoden zur Verfügung stehen. Zulässig sind insoweit also präventive Maßnahmen, die sicherstellen, dass die arbeitsvertraglichen Pflichten durch den Beschäftigten ordnungsgemäß erfüllt werden. Die Einrichtung eines Zugangskontrollsystems oder einer Zeiterfassungs- oder Spionagesoftware, im Einzelfall auch die offene Videoüberwachung oder Taschenkontrollen, können somit beispielsweise zulässige präventive Maßnahmen sein. Zu beachten sind bei Einführung von technischen Überwachungseinrichtungen aber generell die Mitbestimmungsrechte des Betriebsrats gemäß § 87 Absatz 1 Nr. 6 BetrVG.

Obwohl es der Wortlaut des § 32 Absatz 1 Satz 1 BDSG für präventive Maßnahmen nicht vorschreibt, ist es dennoch geboten, auch in diesem Bereich die zusätzlichen Anforderungen des § 32 Absatz 1 Satz 2 BDSG (Dokumentation der Überwachungsergebnisse sowie insbesondere die Durchführung einer besonderen Verhältnismäßigkeitsprüfung) zu erfüllen. Grund hierfür ist, dass es bei der Überwachung der Vertragserfüllung zu Zufallsfunden kommen kann, die den Verdacht einer Straftat begründen. Diese Zufallsfunde sind aber zur Aufdeckung einer Straftat nur dann verwertbar, wenn die Voraussetzungen des § 32 Absatz 1 Satz 2 BDSG eingehalten worden sind.

 

Die Erhebung, Verarbeitung oder Nutzung von Daten zur Aufdeckung von Ordnungswidrigkeiten müssen eigentlich nicht die Anforderungen des § 32 Absatz 1 Satz 2 BDSG erfüllen. Insoweit beurteilt sich die Zulässigkeit an sich nach § 32 Absatz 1 Satz 1 BDSG. Gleichwohl ist es auch hier aus vorstehend genannten Gründen wieder geboten, der Dokumentationspflicht und der besonderen Verhältnismäßigkeitsprüfung nachzukommen.

 

Jede Kontrollmaßnahme unterliegt gewissen Grenzen. Eine Totalüberwachung („gläserner Arbeitnehmer“) ist generell unzulässig, unabhängig davon, ob die Überwachung gezielt durchgeführt wird oder ob sie lediglich eine Nebenfolge einer anderen Überwachung ist.

 

Grundsätzlich ausgeschlossen sind auch heimliche Aufzeichnungen. Jeder Beschäftigte ist in der Regel vor einer möglichen Überwachungsmaßnahme hierüber zu informieren (allerdings natürlich nicht über eine konkret geplante Kontrollmaßnahme, da sonst ihr Zweck nicht erreicht werden kann). Eine heimliche Überwachung kann nur ausnahmsweise zulässig sein, wenn andernfalls der Zweck der Überwachungsmaßnahme gefährdet wäre. In diesem Fall ist aber zum einen eine besonders strenge Erforderlichkeitsprüfung durchzuführen und zum anderen der Betroffene unverzüglich über die Überwachungsmaßnahme zu unterrichten, sobald die Gefährdung des Zwecks der Überwachungsmaßnahme weggefallen ist.

 

Berechtigt zur Einsicht der erhobenen Daten sind nur die Personen, die mit der Durchführung der Kontrollmaßnahmen durch den Arbeitgeber betraut sind.

 

Eine Überwachung der Betriebsratstätigkeit ist generell ausgeschlossen.

 

Ein wichtiges Thema im Zusammenhang mit Überwachungsmaßnahmen am Arbeitsplatz ist die Überwachung des E-Mail-Verkehrs und der Internetnutzung. Hier ist zu unterscheiden: Es obliegt dem Arbeitgeber, eine private E-Mail- und Internetnutzung zu erlauben oder zu untersagen. Der Arbeitnehmer hat grundsätzlich keinen Anspruch auf Gestattung der privaten Nutzung.

 

Ist die Privatnutzung erlaubt (z. B. durch Betriebsvereinbarung) oder zumindest geduldet, ist die Speicherung von Verbindungsdaten durch den Arbeitgeber – mit Ausnahme für bloße Abrechnungszwecke – grundsätzlich unzulässig (der Arbeitgeber hat in diesem Fall das Fernmeldegeheimnis nach § 88 TKG zu wahren). Eine Inhaltskontrolle unterliegt mangels Unterscheidbarkeit zwischen privater und dienstlicher Nutzung einem generellen Verbot. Hierzu ist der Arbeitgeber nur in wenigen Ausnahmefällen zur Gefahrenabwehr berechtigt, beispielsweise bei Virenbefall oder bei dringendem Verdacht auf Verrat von Geschäftsgeheimnissen.

 

Ist eine Privatnutzung von E-Mail und Internet untersagt, ist sowohl die Speicherung von Verbindungsdaten als auch in der Regel eine Inhaltskontrolle erlaubt. Das Interesse des Arbeitgebers an der Datensicherheit wird dies in den meisten Fällen rechtfertigen.

Bei der Überwachung des Telefonverkehrs durch den Arbeitgeber ist Zurückhaltung geboten. Grund hierfür ist, dass ein generelles Verbot von privaten Telefonaten unzulässig ist. Soll eine Überwachung stattfinden, ist in jedem Fall das Mitwirkungsrecht des Betriebsrats nach § 87 Absatz 1 Nr. 6 BetrVG zu beachten.

 

 

c) Phase der Beendigung des Arbeitsverhältnisses

 

Nach Beendigung des Arbeitsverhältnisses sind personenbezogene Daten des Arbeitnehmers grundsätzlich zu löschen oder, für den Fall, dass steuer- oder handelsrechtliche Aufbewahrungspflichten bestehen, zu sperren. Eine Aufbewahrungspflicht kann nur aus einem Interesse des Arbeitnehmers heraus erwachsen (z. B. für Arbeitszeugnisse).

 

 

3. Regierungsentwurf für einen umfassenderen gesetzlichen  Beschäftigtendatenschutz

 

Derzeit steht das überwiegend in § 32 BDSG geregelte Beschäftigtendatenschutzrecht aufgrund seines Mangels an bestimmten und klaren Regelungen in der Kritik. Diesem Problem soll Rechnung getragen werden durch die Schaffung eines umfangreicheren und klareren Beschäftigtendatenschutzrechts. Hierzu gibt es einen Regierungsentwurf, der das BDSG durch §§ 32 bis 32l BDSG-Regierungsentwurf (BDSG-E) um einen eigenen Abschnitt zum Beschäftigtendatenschutz ergänzen soll. Dabei enthält der Regierungsentwurf Bestimmungen zu folgenden Bereichen des Beschäftigtendatenschutzes:

 

§ 32 BDSG-E: Datenerhebung vor Begründung eines Beschäftigungsverhältnisses

 

§ 32a BDSG-E: Ärztliche Untersuchungen und Eignungstests vor Begründung eines Beschäftigungsverhältnisses

 

§ 32b BDSG-E: Datenverarbeitung und -nutzung vor Begründung eines Beschäftigungsverhältnisses

 

§ 32c BDSG-E: Datenerhebung im Beschäftigungsverhältnis

 

§ 32d BDSG-E: Datenverarbeitung und -nutzung im Beschäftigungsverhältnis

 

§ 32e BDSG-E: Datenerhebung ohne Kenntnis des Beschäftigten zur Aufdeckung und Verhinderung von Straftaten und anderen schwerwiegenden Pflichtverletzungen im Beschäftigungsverhältnis

 

§ 32f BDSG-E: Beobachtung nicht öffentlich zugänglicher Betriebsstätten mit optisch-elektronischen Einrichtungen

 

§ 32g BDSG-E: Ortungssysteme

 

§ 32h BDSG-E: Biometrische Verfahren

 

§ 32i BDSG-E: Nutzung von Telekommunikationsdiensten

 

§ 32j BDSG-E: Unterrichtungspflichten

 

§ 32k BDSG-E: Änderungen

 

§ 32l BDSG-E: Einwilligung, Geltung für Dritte, Rechte der Interessenvertretungen, Beschwerderecht, Unabdingbarkeit

 

Dieser Regierungsentwurf steht aber ungeachtet seiner Zielsetzungen stark in der Kritik. Sie fußt hauptsächlich auf dem Vorwurf, der Entwurf bringe nicht mehr Rechtssicherheit als die aktuelle Rechtslage, da auch er weiterhin zahlreiche unbestimmte, durch die Rechtsprechung ausfüllungsbedürftige Rechtsbegriffe verwende. Es bleibt somit abzuwarten, ob dieser Regierungsentwurf in der vorliegend dargestellten Form Gesetz wird.

 

 

.

Copyright Institut für Datenschutz und -Sicherheit GmbH (IfDuS) – Lars Beitlich