Schriftgröße: +

Der neue Beschäftigtendatenschutz – Was gilt ab jetzt? Was ist zu beachten?

Seit dem 25.05.2018 gilt die neue Datenschutzgrundverordnung (DSGVO). Im Vergleich zu den zahlreichen Änderungen hat sich im Beschäftigtendatenschutz verhältnismäßig wenig geändert. Gleichwohl lohnt es sich, einen Blick auf die neue Regelung des § 26 Bundesdatenschutzgesetz neue Fassung (BDSG n.F.) zu werfen, da dieser weiter gefasst ist als der bisher geltende § 32 BDSG a.F. (alte Fassung) und damit neue Pflichten und Rechte für den Arbeitgeber begründet wurden.

1. Gemeinsamkeiten von § 26 BDSG n.F. und § 32 BDSG a.F.

Der deutsche Gesetzgeber, dem aufgrund der Öffnungsklausel des Art. 88 DSGVO die Möglichkeit eingeräumt wurde, den Beschäftigtendatenschutz selbst zu regeln und über die in der Verordnung genannten Regelungen hinauszugehen, hat sich dazu entschieden, den bisherigen § 32 BDSG a.F. weitestgehend zu übernehmen, diesen aber zu erweitern. Die bisherige Regelung des § 32 BDSG a.F. ist daher erhalten geblieben, insbesondere hält der Gesetzgeber an seiner strengen Regelung hinsichtlich der Verarbeitung von Daten zur Aufklärung des Verdachts einer durch den Beschäftigten begangenen Straftat oder schwerere Pflichtverletzungen weiter fest. Hier gibt es demnach keine Neurungen.

2. Erweiterung des bisherigen § 32 BDSG a.F. durch § 26 BDSG n.F.

Leider hat der Gesetzgeber die ihm gebotene Chance vertan, wichtige Fragen zu klären, wie etwa die Frage, ob der Arbeitgeber, der seinen Arbeitnehmern die private Nutzung des Diensttelefons erlaubt, Dienstanbieter i.S.d. § 3 Nr. 6 TKG und damit an das Fernmeldegeheimnis gebunden ist (§§ 88, 100 TKG). Auch schaffte er keine Klarheit beim erlaubten Vorgehen im Rahmen der Aufklärung von Straftaten und schweren Pflichtverletzungen. Er nutzte hingegen die Möglichkeit, einen Teil der bestehenden Lücken zu schließen und Unübersichtlichkeiten zu beseitigen. So wurden die in § 32 BDSG a.F. bisher genannten Rechtfertigungsgründe, wonach ausnahmsweise personenbezogene Daten auch ohne Einwilligung des Arbeitnehmers erhoben, verarbeitet oder genutzt werden durften, die für die Entscheidung über die Begründung oder die Durchführung eines bestehenden Arbeitsverhältnisses oder dessen Beendigung erforderlich sind (und zwar auch dann, wenn sie nicht automatisiert verarbeitet oder in oder aus einer nicht automatisierten Datei verarbeitet, genutzt oder für die Verarbeitung oder Nutzung in einer solchen Datei erhoben werden), um das zu erweitern, was bisher nur nach st. Rspr. der Arbeitsgerichte erlaubt war: Nämlich die Zulässigkeit der Erhebung, Nutzung oder Verarbeitung personenbezogener Daten, wenn sie zur Ausübung oder Erfüllung der sich aus einem Gesetz oder Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.

Des Weiteren ist nunmehr in § 26 Abs. 3 BDSG n.F. klargestellt, dass die Verarbeitung sensibler Daten für Zwecke des Beschäftigungsverhältnisses zulässig ist, soweit sie zur Ausübung von Rechten oder Pflichten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich sind. Eine diesbezügliche Rechtfertigung war bisher schwierig, da § 32 Abs. 1 S. 1 BDSG a.F. nur für den Umgang mit einfachen personenbezogenen Daten, nicht hingegen für sensible Daten galt. Sensible Daten i.S.d. Art. 9 Abs. 1 der Verordnung (EU) 679/2016 sind:

• Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen;
• Daten, die genetischer, biometrischer Art sind und die Identifizierung eines Beschäftigten ermöglichen;
• Daten, die die Gesundheit des Beschäftigten betreffen;
• Daten, die Aussagen zum Sexualleben sowie zur sexuellen Orientierung enthalten.

Ebenfalls neu ist die ausdrückliche Regelung der Freiwilligkeit der Einwilligung in § 26 Abs. 2 BDSG n.F. Danach ist für die Beurteilung der Freiwilligkeit insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Personen sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und die beschäftigte Person gleichgelagerte Interessen verfolgen.

Eine weitere Rechtsgrundlage für die Datenerhebung bringt der neu eingeführte § 26 Abs. 4 BDSG n.F., nachdem nunmehr auch die Verarbeitung personenbezogener Daten von Beschäftigten für die Zwecke des Beschäftigungsverhältnisses auf der Grundlage von Kollektivvereinbarungen zulässig ist.

Neben der Einführung weiterer Rechtfertigungsgründe wurden auch die Arbeitgeberpflichten erweitert. § 26 Abs. 5 BDSG n.F. verpflichtet den Arbeitgeber durch geeignete Maßnahmen sicherzustellen, dass die geltenden Grundsätze der Verarbeitung personenbezogener Daten eingehalten werden. Darüber hinaus ist der Arbeitgeber nach § 26 Abs. 2 S. 4 BDSG n.F. verpflichtet, die Beschäftigten über den Zweck der Datenerhebung sowie das bestehende Widerrufsrecht nach Art. 7 Abs. 3 der Verordnung (EU) 679/2016 in Textform aufzuklären.

Der Gesetzgeber nutzte darüber hinaus die Gelegenheit, den Begriff des „Beschäftigten“ zu erweitern. „Beschäftigte“ i.S.d. Datenschutzes sind gemäß § 26 Abs. 7 BDSG n.F.

• Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher, Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie ehemalige Arbeitnehmer;
• Zu ihrer Berufsbildung Beschäftigte;
• Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden);
• In anerkannten Werkstätten für behinderte Menschen Beschäftigte;
• Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstgesetz oder dem Bundesfreiwilligendienstgesetz leisten;
• Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten;
• Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.

3. Beschäftigtenüberwachung – Wie es jetzt aussieht

Wie bereits dargestellt, hat sich hinsichtlich des Datenschutzes im Rahmen eines bestehenden Beschäftigtenverhältnisses aufgrund von § 26 BDSG n.F. selbst nicht viel geändert. Zwar erlaubt § 26 Abs. 4 BDSG n.F. die Verarbeitung personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses auch auf Grundlage von Kollektivvereinbarungen. Ob dies ein geeignetes Mittel ist, um die immer noch bestehenden Fragen im Rahmen der Mitarbeiterüberwachung (jetzt Beschäftigtenüberwachung) zu klären, bleibt allerdings fraglich, zumal auch weiterhin die strenge Rspr. der Arbeitsgerichte zu beachten ist. Die Überwachung der Mitarbeiter bleibt damit riskant und ist nur dann zulässig, wenn dies für die Aufklärung der Straftat/schweren Pflichtverletzung „erforderlich“ ist.

Auch die nunmehr ausdrücklich in § 26 Abs. 2 BDSG n.F. genannte Einwilligung schafft keine wirkliche Abhilfe, wird doch durch die vom Gesetzgeber gewählte Formulierung suggeriert, dass von einer Freiwilligkeit der Einwilligung in der Regel nur bei einem existierenden rechtlichen oder wirtschaftlichen Vorteil für den Arbeitnehmer auszugehen ist. Hieraus ergibt sich im Umkehrschluss, dass das Vorliegen der Freiwilligkeit positiv nachzuweisen ist. Inwiefern ein derartiger Nachweis vor den Arbeitsgerichten gelingt, bleibt abzuwarten.

Nachfolgend werden zusammengefasst noch einmal die wichtigsten Aspekte der Mitarbeiterüberwachung dargestellt:

• Es bleibt beim Verbot der „Totalüberwachung“ –  erlaubt ist eine gezielte Überwachung des Beschäftigten nur ausnahmsweise und unter den strengen Voraussetzungen des § 26 Abs. 1 S. 2 BDSG n.F. bei konkretem Tatverdacht einer Straftat/schweren Pflichtverletzung und nur nach erfolgloser Ausschöpfung aller milderen, gleich effektiven Mittel;
• Die Erstellung von Bewegungsprofilen oder einer sonstigen Kontrolle des Beschäftigtenverhaltens ist unzulässig; unbedenklich ist hingegen eine generelle Zugangskontrolle, die lediglich der Identifizierung des Beschäftigten dient, wobei eine Zugangskontrolle mittels Erfassung biometrischer Daten nur ausnahmsweise erlaubt ist (s. § 26 Abs. 3 BDSG n.F.); das Gleiche gilt für die elektronische Zeiterfassung;
• Heimlich oder ohne wirksame Einwilligung durchgeführte Background Checks sind grundsätzlich unzulässig (auch bei Bewerberinnen und Bewerbern); ein Screening des Beschäftigten zur Aufdeckung von Straftaten oder schwerwiegenden Pflichtverletzungen kann jedoch unter den strengen Voraussetzungen des § 26 Abs.1 S. 2 BDSG n.F. im Einzelfall zulässig sein;
• Erlaubt ist ausnahmsweise ein Beschäftigten-Screening als sog. Terrorlisten-Screening in Form eines Datenabgleiches, um dem Verbot des Abschlusses von Arbeitsverträgen mit Terroristen nachzukommen;
• Grundsätzlich unzulässig ist das Mithören am Telefon (offen oder heimlich); bei Call-Centern, Kundendiensten und ähnlichem kann etwas anderes gelten;
• Grundsätzlich unzulässig ist der Zugriff auf personenbezogene Daten bei BYOD, hier ist die Einwilligung des Beschäftigten erforderlich;
• Keine Ortung des Beschäftigten im privaten Bereich; bei BYOD oder erlaubter privater Nutzung des Dienstgerätes müssen Ortungsgeräte manuell abschaltbar sein;
• Kein eigener Zugriff des Arbeitgebers auf „private“ soziale Netzwerke zur Beschäftigtenüberwachung/-kontrolle. Etwas Anderes kann gegebenenfalls in den Fällen gelten, in denen der Arbeitgeber von Dritten (z.B. anderen Beschäftigten) von relevanten Äußerungen des Beschäftigten erfährt, ohne dies veranlasst zu haben;
• Videoüberwachung des Beschäftigten oder Überwachung durch einen Detektiv ist weiterhin nur bei einem konkreten Verdacht einer Straftat/schweren Pflichtverletzung und unter den weiteren strengen Voraussetzungen des § 26 Abs. 1 S. 2 BDSG n.F. zulässig (hier kommt es für die Angemessenheit und Verhältnismäßigkeit insbesondere auf die Intensität des Eingriffs an); zudem muss sich der Arbeitgeber das Verhalten des Detektivs zurechnen lassen (auch in datenschutzrechtlicher Hinsicht).

4. Fazit

Der Gesetzgeber hat die ihm gebotene Chance zur eigenen Ausgestaltung des Beschäftigtendatenschutzes genutzt, um die Rechtsgrundlagen für die generelle Frage der Erhebung, Erfassung und Verwendung von Daten zum Zwecke des Beschäftigungsverhältnisses zu erweitern und kleine Unübersichtlichkeiten zu beheben. Wer allerdings gehofft hatte, das BDSG n.F. und die DSGVO würden eine Klärung hinsichtlich der für Arbeitgeber bedeutenden Frage der Kontrolle bzw. „Überwachung“ der Beschäftigten im laufenden Beschäftigtenverhältnis bringen, wurde enttäuscht. Der Gesetzgeber hat diese Chance ungenutzt gelassen. Auch wenn das Festhalten am Verbot der Totalüberwachung zweifelsohne richtig ist, wäre eine ausgestaltete Regelung, die gerade im Bereich der Aufklärung von Straftaten zu Lasten des Arbeitgebers (sei es Arbeitszeitbetrug, Diebstahl oder ähnliches), die für mehr Klarheit gesorgt hätte, wünschenswert gewesen. Genau wie die Klärung der Frage, ob der Arbeitgeber Dienstanbieter i.S.d. § 3 Nr. 6 TKG ist.

Die Beschäftigtenüberwachung ist nach wie vor riskant für den Arbeitgeber, weshalb eine anwaltliche Beratung dringend geboten bleibt.

Für weitere Fragen wenden Sie sich bitte an:
Stefanie Mell

Download/Drucken (PDF)

Online Unternehmensgründung europaweit? – Ein Komm...
Der Kündigungskonflikt zwischen Auftraggeber und A...