Navigation öffnen
Startseite » Arbeitsrecht » Für Arbeitgeber » Datenschutz im Arbeitsverhältnis – Wann dürfen Arbeitgeber Daten verarbeiten?

Datenschutz im Arbeitsverhältnis – Wann dürfen Arbeitgeber Daten verarbeiten?

Erfolgreiche Unternehmensführung des Arbeitgebers vs. Recht auf informationelle Selbstbestimmung des Beschäftigten: Beim Thema Datenschutz im Arbeitsverhältnis gilt es, gerade diese Interessen in Einklang zu bringen. Inwiefern dies durch die neuen gesetzlichen Regelugen in der DSGVO und dem neuen BDSG gelingt, beleuchtet der folgende Artikel.

Mit Anwendbarkeit der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 gelten neue Vorschriften zum Datenschutz im Arbeitsverhältnis. Dies wirft für Arbeitgeber Herausforderungen beim Umgang mit den Daten der Beschäftigten auf:

  • Darf ich Bewerber für eine ausgeschriebene Stelle in sozialen Netzwerken kontaktieren?
  • Darf ich Fotos von Arbeitnehmern auf Betriebsfeiern machen?
  • Darf ich eine Geburtstagsliste mit den Geburtstagen meiner Beschäftigten veröffentlichen?
  • Wie sollte ich meine Beschäftigten am besten über die Verarbeitung ihrer personenbezogenen Daten informieren?
facebook
Bewerber über ein soziales Netzwerk kontaktieren?

Bzgl. dieser und weiterer Fragen sind Arbeitgeber gehalten, falls erforderlich Anpassungen an ihrer Unternehmenspolitik vorzunehmen. Dieser Artikel soll aktuelle Fragen zum Beschäftigtendatenschutz beantworten und einen Leitfaden für diese Anpassungen geben.

Wo sind Regelungen zum Datenschutz im Arbeitsverhältnis zu finden?

Vor Geltung der DSGVO war der Beschäftigten-Datenschutz in § 32 Bundesdatenschutzgesetz (BDSG) alte Fassung (a. F.) geregelt. Inzwischen wurde die Norm durch Art. 88 DSGVO und § 26 BDSG neue Fassung (n. F.) abgelöst. Grundsätzlich ist die DSGVO als EU-Verordnung in allen Mitgliedsstaaten der Europäischen Union, so auch in Deutschland, direkt anwendbar. Einer Umsetzung und Konkretisierung der Normen im nationalen Recht bedarf es also grundsätzlich nicht. Art. 88 Abs. 1 DSGVO sowie der im Beschäftigungskontext ebenso relevante Art. 9 Abs. 2 lit. b DSGVO enthalten jedoch so genannte Öffnungsklauseln, die den Mitgliedsstaaten die Möglichkeit geben, spezifische Regelungen zu einem bestimmten Thema zu treffen.

DSGVO

Im deutschen Recht werden diese Öffnungsklauseln zum Beschäftigtendatenschutz u.a. durch § 26 BDSG konkretisiert. Eine Konkretisierung der Öffnungsklauseln kann jedoch nicht nur durch Gesetze und Verordnungen auf Bundes- oder Landesebene sondern auch durch Kollektivvereinbarungen erfolgen. Unter Kollektivvereinbarungen sind Tarifverträge sowie Betriebsvereinbarungen zu verstehen.

 § 26 Abs. 8 BDSG enthält eine Aufzählung, wer überhaupt vom Beschäftigtenbegriff im Sinne des BDSG erfasst ist. Darunter fallen zum Beispiel Arbeitnehmerinnen und Arbeitnehmer, zu ihrer Berufsbildung Beschäftigte, Beamtinnen und Beamte sowie Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis.

§ 26 BDSG gilt grundsätzlich gemäß § 1 BDSG für die Verarbeitung personenbezogener Daten durch öffentliche oder nicht öffentliche Stellen im Beschäftigungskontext.

Art. 4 Nr. 2 DSGVO definiert als „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

Unter personenbezogenen Daten versteht man gemäß Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Gemeint ist also jede Information, die einer Person zugeordnet werden kann.

Im Falle nicht öffentlicher Stellen wird der Anwendungsbereich des BDSG entsprechend Art. 2 Abs. 1 DSGVO auf die automatisierte Verarbeitung personenbezogener Daten und die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen, beschränkt.

Wichtig: DSGVO gilt auch für Nutzung von Daten ohne Dateisystem

§ 26 Abs. 7 BDSG geht jedoch über den Anwendungsbereich der Datenschutzgrundverordnung hinaus. Demnach sind die Vorschriften in § 26 Abs. 1 bis 6 BDSG auch anzuwenden, wenn personenbezogene Daten von Beschäftigten verarbeitet werden, ohne dass sie in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Das bedeutet, dass die Regelungen zum Beschäftigtendatenschutz schon gelten, wenn ein Beschäftigter im Sinne des § 26 Abs. 8 BDSG, nur angehört, befragt oder beobachtet wird, ohne dass die entsprechenden Ergebnisse in einem Dateisystem, zum Beispiel in einer Personalakte, gespeichert werden.

In welchen Fällen ist eine Datenverarbeitung im Beschäftigungskontext erlaubt?

§ 26 BDSG sowie Art. 6 DSGVO enthalten unterschiedliche Erlaubnistatbestände, bei deren Erfüllung eine Datenverarbeitung zulässig ist.

Die Datenverarbeitung kann zum Beispiel zulässig sein, wenn:

  • sie Zwecken des Beschäftigungsverhältnisses (§ 26 Abs.1 S. 1 BDSG) dient.
  • der Aufdeckung von Straftaten dient (§ 26 Abs. 1 S. 2 BDSG).
  • auf der Grundlage einer Einwilligung (Art. 6 Abs. 1 lit a DSGVO, § 26 Abs. 2 BDSG) erfolgt.
  • bei der Verarbeitung besonderer Kategorien personenbezogener Daten  weitere besondere Voraussetzungen erfüllt sind (§ 26 Abs. 3 BDSG).
  • sonstige Erlaubnistatbestände erfüllt sind (Art. 6 Abs. 1 lit. c-f DSGVO).
Einwilligung

Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses (§ 26 Abs. 1 S. 1 BDSG)

Nach § 26 Abs. 1 S.1 BDSG dient die Datenverarbeitung den Zwecken des Beschäftigungsverhältnisses, wenn sie

„für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses, (…) für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der (…)  Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist“. 

Zentrale Bedeutung hat hier das Merkmal der Erforderlichkeit. Wird eine Maßnahme der Datenverarbeitung durch den Arbeitgeber am Maßstab der Erforderlichkeit überprüft, müssen die widerstreitenden Interessen und Grundrechtspositionen von Arbeitgeber und Beschäftigtem gegeneinander abgewogen und in einen angemessenen Ausgleich gebracht werden.

Datenverarbeitung im Bewerbungsprozess

Recherche über Bewerber

Schon im Bewerbungsprozess kann es zu datenschutzrechtlich problematischen Situationen kommen.

Sucht ein Arbeitgeber in sozialen Netzwerken nach potenziellen Bewerbern für eine ausgeschriebene Stelle und kontaktiert diese daraufhin, stellt sich schon die Frage der Erforderlichkeit der Datenerhebung. Zugunsten des Arbeitgebers kann argumentiert werden, dass das Profil des Bewerbers im Internet in der Regel durch eine breite Öffentlichkeit einsehbar ist. Natürlich ist hier zu differenzieren, ob der kontaktierte Bewerber sein Profil für die Öffentlichkeit tatsächlich zugänglich gemacht hat oder durch die Privatsphäre-Einstellungen nur ihm bekannten Nutzern die Einsicht in sein Profil ermöglicht. Im Falle von berufsorientierten sozialen Netzwerken spricht wiederum für die Erforderlichkeit der Datenerhebung, dass die Nutzer sich ihre Profile darin gerade deshalb anlegen, um sich gegenüber interessierten Arbeitgebern zu präsentieren.

Wird ein Bewerber nach dem Bewerbungsprocedere eingestellt, kann die weitere Speicherung seiner Daten damit gerechtfertigt werden, dass sie für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Wie sollte der Arbeitgeber jedoch mit den Daten abgelehnter Bewerber verfahren? Verständlich ist sicherlich, dass der Arbeitgeber deren Daten nicht unmittelbar nach dem Vertragsschluss mit dem erfolgreichen Bewerber löschen muss. Die Bewerbungsunterlagen dürfen innerhalb einer sich daran anschließenden angemessenen Frist vom Arbeitgeber aufbewahrt werden, da es immer noch zu überraschenden Verhinderungsfällen beim erfolgreichen Bewerber kommen kann. Außerdem muss der Arbeitgeber bei einem sich anbahnenden Rechtsstreit nach dem Allgemeinen Gleichbehandlungsgesetz die Möglichkeit haben, seine Auswahlentscheidung mithilfe der Bewerbungsunterlagen zu rechtfertigen. Allgemein wird vertreten, dass die Daten eines abgelehnten Bewerbers spätestens 6 Monate nach der Ablehnung zu löschen sind.

Will der Arbeitgeber aber sich die Möglichkeit offen halten, den abgelehnten Bewerber zu einem späteren Zeitpunkt nochmals zu kontaktieren, ist dies nur zulässig, wenn er abgelehnte Bewerber einer Aufnahme in den Talentpool zugestimmt hat. Dabei muss er im Zusammenhang mit der Einwilligung auch über Dauer der Speicherung und über sein jederzeitiges Widerrufsrecht informiert werden.

Datenverarbeitung während oder zur Beendigung des Arbeitsverhältnisses

Erforderlich ist die Datenverarbeitung während des Beschäftigungsverhältnisses zum Beispiel, wenn der Arbeitgeber Daten seines Beschäftigten verarbeitet, um für ihn Sozialversicherungsbeiträge abzuführen. Hier muss das Grundrecht der informationellen Selbstbestimmung des Arbeitnehmers eindeutig hinter dem Zweck zurückstehen, diese Beiträge zur sozialen und gesundheitlichen Versorgung des Beschäftigten abzuführen.

Weitaus problematischer ist die Frage, ob der Arbeitgeber eine Geburtstagsliste mit den Geburtstagen seiner Beschäftigten betriebsintern veröffentlichen darf. Sollte ein Beschäftigter in die betriebsinterne Weitergabe seiner Geburtsdaten nicht eingewilligt haben, wird es schwierig diese Praxis zu rechtfertigen. Das Grundrecht der informationellen Selbstbestimmung überwiegt hier grundsätzlich gegenüber dem Informationsinteresse des Arbeitgebers selbst sowie der Mitarbeiter, so dass der Eintrag auf der Geburtstagsliste der Einwilligung des jeweiligen Mitarbeiters bedarf.

Fotos, die von Mitarbeitern auf einer Betriebsfeier gemacht und dann ins Intranet gestellt werden, sind ein ebenso bekanntes Problem. Auch hier wird eine Datenverarbeitung zum Zwecke des Beschäftigungsverhältnisses nicht bejaht werden können. Stattdessen ist auf die Erlaubnistatbestände der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder aber – zumindest bzgl. des Fotografierens für interne Zwecke – eines berechtigten Interesses des Arbeitgebers (Art. 6 Abs. 1 lit. f DSGVO) zurückzugreifen. Für Fotos von Mitarbeitern, die auf der Homepage des Unternehmens veröffentlicht werden, ist aber sicherlich die Einwilligung des Mitarbeiters einzuholen und zwar separat vom Arbeitsvertrag. Die immer noch anzufindende Praxis, die Einwilligung schon im Arbeitsvertrag einzuholen, dürfte nicht mehr zulässig sein, da die Freiwilligkeit einer solchen Einwilligung regelmäßig nicht mehr gegeben sein dürfte.

Betriebsfeier im Restaurant

Datenverarbeitung zur Ausübung oder Erfüllung der Rechte und Pflichten der Interessenvertretung des Berechtigten

Dieser Erlaubnistatbestand gewährleistet die Weitergabe von Arbeitnehmerdaten an den Betriebsrat, damit dieser seinen Aufgaben nachkommen kann. Für die Erforderlichkeit der Datenverarbeitung muss zumindest ein Bezug der Daten zu den Aufgaben der Beschäftigteninteressenvertretung bestehen.

Betriebsrat

Datenverarbeitung aufgrund von Kollektivvereinbarungen

In Übereinstimmung mit der Öffnungsklausel in Art. 88 DSGVO sieht § 26 Abs. 4 BDSG vor, dass eine Datenverarbeitung aufgrund von speziellen Regelungen in Kollektivvereinbarungen zulässig sein kann. Die Inhalte dieser können auch zum Nachteil des Beschäftigten von den Normen der DSGVO und des BDSG abweichen. Wie § 26 Abs. 4 BDSG ausdrücklich erwähnt, müssen die Vertragsparteien beim Erstellen der Kollektivvereinbarungen jedoch stets Art. 88 Abs. 2 DSGVO und damit die menschliche Würde, Grundrechte und berechtigten Interessen der von der Datenverarbeitung betroffenen Person beachten.

Datenverarbeitung zur Aufdeckung von Straftaten, § 26 Abs. 1 S. 2 BDSG

Die Datenverarbeitung des Arbeitgebers, um mögliche Straftaten des Beschäftigten aufzudecken, ist an strenge Voraussetzungen geknüpft. Zum einen muss der Arbeitgeber den begründeten Verdacht haben, dass der Beschäftigte eine Straftat beging. Zum anderen muss die Datenverarbeitung zur Aufdeckung der Straftat erforderlich sein, wobei schutzwürdige Interessen des Beschäftigten nicht überwiegen dürfen. Zu differenzieren ist, dass die Datenverarbeitung nach § 26 Abs. 1 S. 2 BDSG nicht auf eine Verhinderung zukünftiger Straftaten ausgerichtet sein darf.

Videoüberwachung
YouTube-Video: Videoüberwachung am Arbeitsplatz zur Aufdeckung von Straftaten - legal?
YouTube-Video: Videoüberwachung am Arbeitsplatz zur Aufdeckung von Straftaten – legal?

Von dem Begriff der Straftat sind auch Tatbestände außerhalb des Strafrechts, wie zum Beispiel, Ordnungswidrigkeiten erfasst. Unter dem Merkmal des Verdachts versteht man, dass tatsächliche Anhaltspunkte für die Straftatbegehung durch den Beschäftigten vorliegen müssen. Hier ist der Arbeitgeber gut beraten, diese verdachtsbegründenden Anhaltspunkte vor der Datenverarbeitung zu dokumentieren.

Nach § 26 Abs. 1 S. 2 BDSG kann zum Beispiel eine offene oder verdeckte Videoüberwachung des Beschäftigten in den Geschäftsräumen gerechtfertigt sein.

Datenverarbeitung besonderer Kategorien personenbezogener Daten, § 26 Abs. 3 BDSG

Der Begriff der besonderen Kategorien personenbezogener Daten ist in Art. 9 Abs. 1 DSGVO definiert.

Davon sind personenbezogene Daten umfasst, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Zudem sind genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person inbegriffen.

Grundsätzlich untersagt Art. 9 Abs. 1 DSGVO die Verarbeitung besonderer Kategorien personenbezogener Daten. Art. 9 Abs. 2 lit. b DSGVO enthält diesbezüglich jedoch eine Öffnungsklausel. Im deutschen Recht wird sie im Hinblick auf den Beschäftigtendatenschutz durch § 26 Abs. 3 BDSG konkretisiert. Die Datenverarbeitung besonderer Kategorien personenbezogener Daten muss entsprechend § 26 Abs. 1 S. 1 dem Zweck des Beschäftigungsverhältnisses dienen. Außerdem muss die Datenverarbeitung für die Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit oder des Sozialschutzes erforderlich sein. Auch hier darf ein schutzwürdiges Interesse der betroffenen Person an dem Ausschluss der Datenverarbeitung nicht überwiegen.

Ein praktischer Fall könnte sein, dass biometrische Daten des Beschäftigten im Wege eines Authentifizierungsverfahrens beim Zugang zum Firmengelände erhoben werden. Der Arbeitgeber kann hier mit seiner Pflicht zur Gewährleistung der Sicherheit am Arbeitsplatz argumentieren, die die Datenverarbeitung erforderlich macht.

Verarbeitung personenbezogener Daten auf der Grundlage einer Einwilligung

Bei der Datenverarbeitung im Arbeitskontext werden besondere Anforderungen an den Erlaubnistatbestand der Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO gestellt. Die Anforderungen ergeben sich aus § 26 Abs. 2 BDSG. Grundsätzlich gilt, dass eine Einwilligung nur als Rechtfertigung für eine Datenverarbeitung angesehen werden kann, wenn sie freiwillig, informiert, auf einen konkreten Fall bezogen und unmissverständlich erklärt wurde. § 26 Abs. 2 BDSG regelt, dass bei der Beurteilung der Freiwilligkeit die im Beschäftigungsverhältnis bestehenden Abhängigkeit der beschäftigten Person und die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen sind. Von der Freiwilligkeit ist etwa auszugehen, wenn dem Arbeitnehmer rechtliche oder wirtschaftliche Vorteile durch die Datenverarbeitung erwachsen oder der Arbeitgeber und die beschäftigte Person gleich gelagerte Interessen verfolgen. Als Beispiele für Vorteile des Beschäftigten wären die Einführung eines betrieblichen Gesundheitsmanagements zur Gesundheitsförderung oder die Erlaubnis zur Privatnutzung betrieblicher IT-Systeme denkbar.

Die Einwilligung ist in Schriftform zu erteilen soweit nicht wegen besonderer Umstände eine andere Form angemessen ist. Dies betrifft Unternehmen, in denen nur noch auf elektronischem Wege kommuniziert wird. Die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten muss nach § 26 Abs. 3 S. 2 BDSG ausdrücklich erfolgen.

Der Arbeitnehmer hat die Möglichkeit seine Einwilligung zu widerrufen. Über sein Widerrufsrecht sowie den Zweck der Datenverarbeitung muss er gemäß Art. 7 Abs. 3 DSGVO durch den Arbeitgeber belehrt werden.

Einwilligung

Sonstige Erlaubnistatbestände in Art. 6 Abs. 1 lit. c-f DSGVO

Als weitere Erlaubnistatbestände sind auch im Arbeitsverhältnis die Tatbestände in Art. 6 Abs. 1 lit. c-f DSGVO denkbar. Hier kommen zum Beispiel rechtliche Verpflichtungen oder ein individuelles Interesse des Arbeitgebers in Betracht, das im Einzelfall gegenüber den Interessen, Grundrechten oder Grundfreiheiten des Beschäftigten überwiegt. Der Arbeitgeber ist angehalten, eine Interessensabwägung zu seinen Gunsten zu dokumentieren.

Informationspflichten des Arbeitgebers

Gemäß Art. 12, 13 DSGVO müssen die Arbeitnehmer darüber informiert werden, dass und wie ihre Daten verarbeitet werden. Hierzu bietet sich eine Rahmenbetriebsvereinbarung mit dem Betriebsrat an, die die Informationspflichten im Allgemeinen bestimmt. Einzelne Betriebsvereinbarungen zu unterschiedlichen Themen können danach auf die Rahmenbetriebsvereinbarung Bezug nehmen und die Informationspflichten in speziellen Datenverarbeitungssituationen konkretisieren. Den Informationspflichten kann der Arbeitgeber aber auch durch Zusätze zu Arbeitsverträgen, Aushänge am Schwarzen Brett oder im Intranet nachkommen. Im Zuge dessen muss der Beschäftigte auch über seine Betroffenenrechte nach Art. 15 ff DSGVO aufgeklärt werden. Wie jeder von der Datenverarbeitung Betroffene hat er u. a. ein Auskunftsrecht bzgl. der Datenverarbeitung, ein Recht auf Löschung oder ein Recht auf Berichtigung seiner Daten.

Wie WBS Ihnen helfen kann

Der gleichzeitig mit dem Inkrafttreten der Datenschutzgrundverordnung neu eingeführte § 26 BDSG ähnelt der früheren Regelung in § 32 BDSG. Daher hat auch die bisherige Rechtsprechung des Bundesarbeitsgerichts zum Beschäftigtendatenschutz weiterhin Bedeutung. Bei der künftigen Prüfung von Sachverhalten zum Beschäftigtendatenschutz ist jedoch stets die Verzahnung der Normen aus BDSG und DSGVO zu beachten.

An dieses Inandergreifen der Regelungen müssen Arbeitgeber ihre Unternehmenspolitik in Zukunft anpassen. Zu beachten ist dabei insbesondere, dass bei Verstößen gegen die DSGVO hohe Bußgelder und Schadensersatzforderungen drohen können.

Jedem Unternehmen ist daher eine Bestandsanalyse unternehmensinterner Prozesse zu empfehlen, um den tatsächlichen Anpassungsbedarf festzustellen.

Unsere Rechtsanwälte für Datenschutz und Arbeitsrecht helfen Ihnen gern bei der Anpassung Ihrer internen Prozesse an die noch jungen Regelungen.

Rufen Sie uns unter 0221 / 951 563 0 (Beratung bundesweit) an.