Recht

Arbeitnehmerdatenschutz

1. Allgemein

Ziel des Datenschutzes im Arbeitsverhältnis ist ein angemessener Interessenausgleich zwischen dem betrieblichen Informationsinteresse des Arbeitgebers und dem informationellen Selbstbestimmungsrecht des Arbeitnehmers.
Die Verarbeitung und Nutzung personenbezogener Daten von Beschäftigten ist zulässig, wenn entweder das Datenschutzgesetz oder eine andere Rechtsvorschrift dies erlauben oder anordnen oder soweit der Betroffene eingewilligt hat, § 26 Abs.2 Bundesdatenschutzgesetz (BDSG). Die Beschäftigteneigenschaft von Leiharbeitnehmern liegt auch im Verhältnis zum Entleiher, also nicht nur zum Verleiher, vor. Dies hat der Gesetzgeber in § 26 Abs.8 BDSG klarstellend aufgenommen. In § 32 BDSG a. F. war der Beschäftigtendatenschutz speziell geregelt.
Die Datenschutz-Grundverordnung (DS-GVO), die seit 25.05.2018 gilt, enthält keine konkreten bereichsspezifischen Regelungen. Art. 88 Abs.1 DS-GVO enthält für den Beschäftigtendatenschutz eine sogenannte Öffnungsklausel. Der Gesetzgeber hat durch den Erlass des § 26 BDSG von dieser Öffnungsklausel Gebrauch gemacht. Personenbezogene Daten für Zwecke des Beschäftigungsverhältnisses dürfen verarbeitet werden, soweit es für die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist, § 26 Abs.1 S.1 BDSG. Darin und in Abs.4 BDSG ist nunmehr ausdrücklich geregelt, dass die Verarbeitung von Beschäftigtendaten auf der Grundlage von Kollektivvereinbarungen zulässig ist. Hierzu zählen Tarifverträge sowie Betriebs- und Dienstvereinbarungen.
Daten zur Aufdeckung von Straftaten dürfen verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte vorliegen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat. Die Verarbeitung muss zur Aufdeckung erforderlich sein. Das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung darf nicht überwiegen. Insbesondere dürfen Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sein. Damit entspricht § 26 Abs. 1 Satz 2 BDSG der bisherigen Gesetzeslage.
Beschäftigte können in die Verarbeitung ihrer personenbezogenen Daten einwilligen. Eine wirksame Einwilligung setzt voraus, dass vor der Datenverarbeitung in Textform über Zweck, Umfang und Rechte, vgl. Art.13 DS-GVO, und das Widerrufsrecht, vgl. § 26 Abs.2 BDSG, Art.7 Abs.3 DS-GVO, aufgeklärt wird. Die Einwilligung muss unmissverständlich sein, vgl. Art.4 Nr.11 DS-GVO. Sie bedarf der Schriftform, § 26 Abs.2 BDSG.
Für die Beurteilung der Freiwilligkeit der Einwilligung sind insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen.
Freiwilligkeit kann insbesondere vorliegen, wenn für die Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen, vgl. § 26 BDSG.

2. Bewerbungsverfahren

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist unzulässig, Art. 9 Abs.1 DS-GVO.
Die Datenverarbeitung ist ausnahmsweise zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt, § 26 Abs.3 S.1 BDSG.
Die Grenze der Datenerhebung bildet die Begrenzung des Fragerechts des Arbeitgebers. Daten, die der Arbeitgeber nicht erfragen darf, darf er sich auch nicht auf andere Weise verschaffen.
Im Einstellungsverfahren sind z.B. nur generelle Fragen nach Beschwerden erlaubt, wenn diese einen unmittelbaren Bezug zum Beruf haben. Unzulässig sind auch Fragen nach Parteizugehörigkeit, Gewerkschaftszugehörigkeit und Vorstrafen ohne Bezug zum Arbeitsverhältnis.
Nach Abschluss des Bewerbungsverfahrens hat der abgelehnte Bewerber grundsätzlich einen Löschungsanspruch bezüglich seiner persönlichen Daten, Art. 17 Abs.1 DS-GVO, § 35 BDSG.
Eine Speicherung der Daten ist aber zulässig bis Sicherheit darüber besteht, dass keine Rechtsstreitigkeiten, z.B. § 15 AGG, zu erwarten sind. Als Richtwert können ca. 6 Monate angenommen werden. Bei einem Rechtsstreit ist die Speicherung für die Dauer des Rechtsstreits zulässig. Die Zulässigkeit der Speicherung der Daten kann sich auch aus einer zeitlich begrenzten Einverständniserklärung des Bewerbers ergeben.

3. Umgang mit Arbeitnehmerdaten während des Beschäftigungsverhältnisses

Rechtsgrundlagen für die Datenverarbeitung

  1. Die Datenverarbeitung ist erforderlich für die Durchführung des Arbeitsverhältnisses, § 26 Abs.1 BDSG.
  2. Eine wirksame Einwilligung des Beschäftigten in die Datenverarbeitung liegt vor, § 26 Abs.2 BDSG.
  3. Die Verarbeitung von Beschäftigtendaten ist zulässig auf der Grundlage von Kollektivvereinbarungen, § 26 Abs.4 BDSG, Art. 88 DS-GVO.
  4. Bei Verdacht einer Straftat richtet sich die Zulässigkeit der Datenverarbeitung nach § 26 Abs.1 S.2 BDSG.

Beispiele für zulässige Erfassung von Arbeitnehmerdaten

  • Die Stammdaten eines Arbeitnehmers dürfen für Zwecke der Gehaltsabrechnung sowie der Kontaktaufnahme vom Arbeitgeber gespeichert werden.
  • Ausbildungszeiten und Prüfungsbescheinigungen dürfen vom Arbeitgeber dokumentiert werden.
  • Ebenso darf der Arbeitgeber Krankheits- und Fehltage für die Gehaltsabrechnung erfassen.
  • Der Arbeitgeber darf rechtlich zulässige Ermahnungen und Abmahnungen dokumentieren und zu den Personalakten nehmen.
  • Die Erfassung der Arbeitszeit, z.B. elektronisch, ist rechtlich zulässig, wenn die Arbeitsleistung für eine bestimmte Dauer geschuldet ist.

4. Umgang mit Arbeitnehmerdaten nach Beendigung des Arbeitsverhältnisses

Aufgrund der Zweckbindung, Art. 5 Abs. 1b DS-GVO, und der jederzeitigen Widerrufbarkeit gilt die Einwilligung nur für den Zeitraum des Beschäftigungsverhältnisses. Folglich muss der Arbeitgeber unmittelbar nach Ende des Arbeitsverhältnisses Daten, insbesondere auch das persönliche Mitarbeiterprofil auf der Homepage des Unternehmens, löschen.

5. Telefonüberwachung am Arbeitsplatz

Für die rechtliche Bewertung ist stets zwischen dienstlicher und privater Nutzung einerseits und der Überwachung der Verbindungsdaten und dem Zugriff auf den Inhalt der Kommunikation andererseits zu unterscheiden.
Bei dienstlichen Telefonaten ist eine Kontrolle der Verbindungsdaten (Tag, Uhrzeit, Beginn und Ende der Telefonate, Daten der korrespondierenden Teilnehmer) grundsätzlich gestattet, da durch die reine Kontrolle der Verbindungsdaten keine inhaltliche Überwachung vollzogen wird.
Das Mithören oder die Aufzeichnung eines Diensttelefonats ist ohne Wissen oder Einwilligung des Arbeitnehmers grundsätzlich unzulässig. Die Verletzung der Vertraulichkeit des Wortes, § 201 StGB, bzw. die Verletzung des Post-, und Fernmeldegeheimnisses, § 206 StGB, sind strafbewehrt.
Das Mithören von dienstlichen Telefongesprächen ist ausnahmsweise zulässig, wenn dem Arbeitnehmer die Kontrolle bekannt ist und er eingewilligt hat. Auch im Bezug auf Ausbildungszwecke kann das Mithören ausnahmsweise erlaubt sein.
Gestattet der Arbeitgeber Privatgespräche mit dem Diensttelefon, wird der Arbeitgeber Dienstanbieter im Sinne des Telekommunikationsgesetz (TKG). Er ist an das Fernmeldegeheimnis gebunden, das sowohl den Inhalt als auch die näheren Umstände der Kommunikation erfasst.
Kontrollen des Arbeitgebers sind nur bei Einwilligung des Arbeitnehmers oder Vorliegen eines besonderen Erlaubnistatbestandes zulässig.
Eine Kontrolle der Verbindungsdaten bei Privatgesprächen ist nur bei einer Kostenüberwälzung gestattet. Dies ist jedoch in Zeiten der Flatrate nicht mehr üblich.
Das Mithören von Telefonaten ohne die Kenntnis des Arbeitnehmers kann nur bei erheblichem Verdacht auf konkrete strafbare Gesprächsinhalte, welche sich gegen das Unternehmen richten (z.B. der Verrat von Geschäftsgeheimnissen), gerechtfertigt sein.

6. Überwachung der E-Mail/ Internetnutzung am Arbeitsplatz

Auch in diesem Bereich der Telekommunikation ist zwischen der geschäftlichen und privaten Nutzung von E-Mail und Internet zu unterscheiden.
Bei rein dienstlicher Nutzung, d.h. nicht gestatteter Privatnutzung, bestehen für den Arbeitgeber umfassende Kontrollmöglichkeiten. Der Arbeitgeber ist bei E-Mails wie auch bei der klassischen dienstlichen Post zugriffsbefugt. Es handelt sich üblicherweise um Daten des Arbeitgebers, an denen ein Arbeitnehmer keine Rechte hat.
Die umfassende Kontrolle der Internet- und E-Mail-Nutzung, i.d.R. durch Stichproben, ist zulässig, da der Arbeitgeber nur so kontrollieren kann, ob der Arbeitnehmer das Internet nur dienstlich oder auch unzulässig privat genutzt hat.
Wird eine private Internet- oder E-Mail- Nutzung gestattet, wird der Arbeitgeber zum Dienstanbieter im Sinne des TKG mit der Folge, dass der Arbeitgeber grundsätzlich die Kommunikation nicht kontrollieren darf, da die E-Mail/Internetnutzung dem Fernmeldegeheimnis unterliegt. Eine Kontrolle ist nur bei Vorliegen einer Einwilligung des Arbeitnehmers gestattet. Ein Arbeitgeber kann jedoch die Privatnutzung unter den Vorbehalt der Einwilligung stellen.
Liegt keine Einwilligung seitens des Arbeitnehmers vor, ist eine Missbrauchskontrolle nur im Ausnahmefall möglich. Voraussetzung ist der konkrete Verdacht, dass der Arbeitnehmer den Internetzugang am Arbeitsplatz erheblich missbraucht hat oder eine Straftat begangen wurde.
In der Praxis wird häufig eine Trennung von dienstlichem und privatem E-Mail-Account vorgenommen. Manche Arbeitgeber verpflichten ihre Arbeitnehmer, private E-Mails gesondert zu kennzeichnen.

7. Videoüberwachung am Arbeitsplatz

Die Videoüberwachung von Arbeitnehmern greift in das Recht am eigenen Bild ein, das als Teil des allgemeinen Persönlichkeitsrechts geschützt ist. Videoüberwachung ist nur unter sehr engen Voraussetzungen möglich.
Die DS-GVO enthält keine spezifische Regelung zur Videoüberwachung. In welchem Umfang die bisherigen datenschutzrechtlichen Wertungen in der Praxis beibehalten werden können, ist unklar. § 4 BDSG enthält eine Regelung zur Videoüberwachung öffentlich zugänglicher Räume. Ob und in welchem Umfang diese Regelung aufgrund des Anwendungsvorrangs der DS-GVO angewendet werden kann, ist jeweils eine Frage im konkreten Einzelfall.
Hinsichtlich der Prüfung der Rechtmäßigkeit der Datenverarbeitung durch nicht öffentliche Stellen ist auf die Generalklausel in Art.6 Abs.1 S.1 S. 1 lit. f DS-GVO zu verweisen. Die Videoüberwachung muss der Wahrung berechtigter Interessen dienen. Sie muss erforderlich sein, d.h. zur Zweckerreichung geeignet. Alternative Maßnahmen, die weniger stark in das Recht auf Schutz personenbezogener Daten eingreifen, sind im Einzelfall vorzuziehen. Im Rahmen der Interessenabwägung ist zu berücksichtigen, ob die Videoüberwachung in bestimmten Bereichen der Sozialsphäre akzeptiert oder abgelehnt wird. Die Berücksichtigung des sogenannten „Drittinteresses“ ist neu. Eine derartige Konstellation könnte gegeben sein, wenn ein Vermieter die Videoüberwachung in einem Einkaufszentrum auch im Interesse seiner Mieter betreibt.
Eine Videoüberwachung im Sanitär- oder Saunabereich ist beispielsweise unzulässig.
Neben der Rechtmäßigkeit der Verarbeitung fordert Art.5 Abs.1 lit.a DS-GVO ferner, dass die personenbezogenen Daten in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Die Transparenzanforderungen sind erheblich gestiegen. Aus den Informationspflichten nach Art. 13 Abs.1 und 2 DS-GVO ergeben sich folgende Mindestanforderungen:
  • Umstand der Beobachtung – Piktogramm, Kamerasymbol
  • Identität des für die Videoüberwachung Verantwortlichen – Name einschl. Kontaktdaten (Art. 13 Abs. 1 lit. a DS-GVO)
  • Kontaktdaten des betrieblichen Datenschutzbeauftragten – soweit benannt, dann aber zwingend (Art. 13 Abs. 1 lit. b DS-GVO),
  • Verarbeitungszwecke und Rechtsgrundlage in Schlagworten (Art. 13 Abs. 1 lit. c DS- GVO),
  • Angabe des berechtigten Interesses – soweit die Verarbeitung auf Art. 6 Abs. 1 S. 1 lit. f DS-GVO beruht (Art. 13 Abs. 1 lit. d DS-GVO),
  • Dauer der Speicherung (Art. 13 Abs. 2 lit. a DS-GVO),
  • Hinweis auf Zugang zu den weiteren Pflichtinformationen gem. Art. 13 Abs. 1 und 2 S-GVO (wie Auskunftsrecht, Beschwerderecht, ggf. Empfänger der Daten).
Die weiteren Pflichtinformationen sind ebenfalls am Ort der Videoüberwachung an einer für die betroffene Person zugänglichen Stelle bereit bzw. zur Verfügung zu stellen, beispielsweise als vollständiges Informationsblatt (Aushang).
Die Aufsichtsbehörde kann gem. Art. 58 Abs. 2 lit. d DS-GVO den Verantwortlichen anweisen, den Mangel abzustellen oder gem. Art. 58 Abs. 2 lit. f DS-GVO die Videoüberwachung vorübergehend oder endgültig beschränken bzw. untersagen. Mangelnde Transparenz ist zudem ein Bußgeldtatbestand nach Art. 83 Abs. 5 DS-GVO.

8. Betriebsrat und Arbeitnehmerdatenschutz

Dem Betriebsrat dürfen Daten, welche er zur Durchführung seiner Aufgaben und Prüfungspflicht benötigt, mitgeteilt werden. Jedoch hat der Betriebsrat kein eigenständiges Akteneinsichtsrecht. Eine Einsichtnahme ist nur im Beisein des Arbeitnehmers möglich. Direkte Vorgesetzte haben generell kein Recht, die Personalakten ihrer Mitarbeiter einzusehen, außer diese sind zur Einhaltung der gesetzlichen Arbeitszeit, der Personalplanung oder dem Personaleinsatz von Relevanz.
Der Betriebsrat hat bei der Speicherung, Nutzung und Verarbeitung von personenbezogenen Daten ein umfassendes Mitbestimmungsrecht nach § 87 Abs.1 Nr. 6 Betriebsverfassungsgesetz (BetrVG).

9. Sanktionen bei Verstößen

Ein Verstoß gegen die Pflichten des § 26 BDSG kann nach Art.83 Abs.5 lit. d DS-GVO mit einem Bußgeld bis zu 20 Millionen Euro bzw. 4% des weltweiten Jahresumsatzes sanktioniert werden. § 42 BDSG enthält strafrechtliche Regelungen.