Die Zukunft des deutschen Beschäftigtendatenschutzes

12. Juli 2017 in Kategorie Personal

von
Wolfgang Böhm
Rechtsanwalt, Fachanwalt für Arbeitsrecht, GSK STOCKMANN + KOLLEGEN
Matthias Kaiser
LL.M (Glasgow), Rechtsanwalt, GSK STOCKMANN + KOLLEGEN


Am 25.05.2016 ist die neue EU Datenschutz- Grundverordnung (DS-GVO) in Kraft getreten. Sie gilt ab dem 25.05.2018 in allen Mitgliedsstaaten der EU und vereinheitlicht das innerhalb der EU vorherrschende Datenschutzniveau. Als Rechtsverordnung ist die DS-GVO unmittelbar geltendes Recht in den einzelnen Mitgliedsstaaten. Die DSGVO enthält eine Reihe von sogenannten Öffnungsklauseln, die ausfüllende oder konkretisierende nationale Regelung der einzelnen Mitgliedsstaaten zulassen. Hierzu gehört auch der Beschäftigtendatenschutz.

Auf dieser Grundlage hat der Gesetzgeber im Mai 2017 ein vollständig neues Bundesdatenschutzgesetz (BDSG) verabschiedet. § 26 des neuen BDSG enthält Regelungen zum Beschäftigtendatenschutz. Dieser Beitrag klärt, ob sich die neuen Vorgaben zum Beschäftigtendatenschutz von den bisher geltenden Regelungen unterscheiden, wenn ja, ob ab dem Inkrafttreten des neuen BDSG strengere Vorschriften in Bezug auf den Beschäftigtendatenschutz einzuhalten sind und wie sich Banken in punkto Beschäftigtendatenschutz auf die Neuerungen vorbereiten sollten.

Beschäftigtendatenschutz in der modernen Arbeitswelt

Der Beschäftigtendatenschutz spielt in der täglichen betrieblichen Praxis eine wichtige Rolle. So fallen beispielsweise bereits beim Öffnen von Türen mit Zugangskarten, bei der Anmeldung am Computersystem, dem Versand und dem Empfang von E-Mails, bei Telefonaten, beim Anlegen und der Bearbeitung von elektronischen Dokumenten und Akten, der Lohnabrechnung, dem Observieren eines arbeitsunfähig erkrankten Arbeitnehmers durch einen Detektiv und auch bei der Benutzung von „Apps“ auf Smartphones des Arbeitgebers personenbezogene Daten der Arbeitnehmer an. Im Bankbereich sind zusätzliche Fragen des Beschäftigtendatenschutzes berührt, z. B. bei der Videoüberwachung im Schalterbereich.

Regelungssystem zum Beschäftigtendatenschutz

Bis zum Inkrafttreten des novellierten BDSG am 25.05.2018 richtet sich die Zulässigkeit der Verarbeitung von Beschäftigtendaten insbesondere nach den §§ 32, 4 und 4a BDSG. Ab dem 28.05.2018 richtet sich der Beschäftigtendatenschutz nach der DS- GVO sowie den dazu ergangenen Regelungen des novellierten BDSG, insbesondere des neuen § 26 BDSG.

Sowohl die derzeitigen Regelungen zum BDSG als auch § 26 des novellierten BDSG gehen in Bezug auf den Beschäftigtendatenschutz von einem sogenannten Verbot mit Erlaubnisvorbehalt aus. Danach ist die Erhebung, Speicherung und Verarbeitung von Beschäftigtendaten verboten, soweit diese nicht ausnahmsweise durch einen Erlaubnistatbestand erlaubt ist. Diese Erlaubnistatbestände finden sich zukünftig in der DS-GVO und vor allem in § 26 des novellierten BDSG.

Erlaubte Verarbeitung von Beschäftigtendaten

Datenverarbeitung zum Zwecke des Beschäftigtenverhältnis

Der Gesetzgeber hat sich bei der Novellierung von § 26 Abs. 1 Satz 1 BDSG weitgehend an den derzeitigen Bestimmung zur Datenverarbeitung i. S. v. § 32 Abs. 1 Satz 1 BDSG orientiert. Nach beiden Vorschriften dürfen personenbezogene Daten von Beschäftigten nur zu bestimmten Zwecken verarbeitet werden. Die Zwecke, für die die Datenverarbeitung bereits jetzt nach § 32 Abs. 1 Satz 1 BDSG erlaubt ist, finden sich auch in § 26 Abs. 1 Satz 1 des novellierten BDSG wieder. Diese betreffen die Datenverarbeitung zum Zwecke der Begründung, Durchführung und Beendigung des Arbeitsverhältnisses.

Außerdem ist wie bei § 32 Abs. 1 Satz 1 BDSG nach § 26 Abs. 1 Satz 1 des novellierten BDSG eine Verhältnismäßigkeitsprüfung durchzuführen. Danach muss die Datenverarbeitung für die Verwirklichung des jeweils verfolgten Zweckes geeignet und zugleich das mildeste aller gleich geeigneten Mittel sein. Sie darf zudem nicht außer Verhältnis zum verfolgten Zweck stehen. Damit ist stets eine Abwägung zwischen den Interessen des Arbeitnehmers und des Arbeitgebers an der Verarbeitung der personenbezogenen Daten erforderlich. Dazu hat der Gesetzgeber auch in § 26 des novellierten BDSG keine Vorgaben oder Konkretisierungen getroffen. Damit verbleibt es bei den bisher geltenden Regelungen zur Auslegung des § 32 Abs. 1 Satz 1 BDSG.

Interessenvertreter der Beschäftigten

In § 26 Abs. 6 des novellierten BDSG hat der Gesetzgeber nun klargestellt, dass die Interessensvertreter der Beschäftigten, also insbesondere der Betriebsrat, bei der Ausübung von Mitbestimmungs- und Informationsrechten ebenfalls die Vorgaben des § 26 Abs. 1 des novellierten BDSG zu beachten hat.

Dies bedeutet konkret, dass der Betriebsrat personenbezogene Daten, z. B. bei der Ausübung von Informationsrechten des Betriebsrats nach § 80 Abs. 1 BetrVG oder bei der Anhörung im Rahmen von Kündigungen, insbesondere betriebsbedingten Kündigungen oder der Einsichtnahme in Gehaltslisten, nur dann verarbeiten darf, wenn er dazu durch einen Erlaubnistatbestand, etwa § 26 Abs. 1 Satz 1 des novellierten BDSG oder durch eine Betriebsvereinbarung ermächtigt ist. Diese Regelungen gelten für alle Interessenvertreter, also auch für Personalräte.

Aufdeckung von Straftaten

§ 26 Abs. 1 Satz 2 des neuen BDSG entspricht der bisherigen Regelung des § 32 Abs. 1 Satz 2 BDSG. Danach können personenbezogene Daten zum Zwecke der Aufdeckung von Straftaten im Beschäftigungsverhältnis verarbeitet werden. Diese Vorschrift kann für den Arbeitgeber vor allem bei internen Compliance-Untersuchungen von Nutzen sein. Bekommt der Arbeitgeber Kenntnis (z. B. über die Whistle-Blowing- Hotline) davon, dass der Arbeitnehmer eine Straftat im Arbeitsverhältnis begangen hat, ist es ihm nach § 26 Abs. 1 Satz 2 des novellierten BDSG zum Zwecke der Sachverhaltsaufklärung erlaubt, personenbezogene Arbeitnehmerdaten zu verarbeiten.

Dazu kann er beispielsweise E-Mails verdächtiger Arbeitnehmer auswerten oder diese mit Videoaufzeichnungen überwachen lassen. Allerdings dürfen personenbezogene Daten von Beschäftigten zur Aufdeckung von Straftaten nur dann verarbeitet werden, wenn tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist, und schließlich das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt.

Zu beachten ist zusätzlich, dass zwar eine Verarbeitung personenbezogener Daten nach Datenschutzrecht erlaubt sein kann, andere zwingende Vorschriften die Datenverarbeitung aber dennoch verbieten oder beeinflussen können. So muss bei derartigen Aufklärungsmaßnahmen des Arbeitgebers zwingend der Betriebsrat zustimmen, da bei der Auswertung von personenbezogenen Daten des Arbeitnehmers dessen Mitbestimmungsrecht des § 87 Abs. 1 Nr. 6 BetrVG berührt wird. Häufig haben Arbeitgeber und der Betriebsrat hierfür Betriebsvereinbarungen, z. B. für die Nutzung von E-Mail und Telefon, abgeschlossen.

In solchen Betriebsvereinbarungen finden sich auch häufig Regelungen zur Auswertung von E-Mails des Arbeitnehmers. Zudem besteht bei der erlaubten privaten Nutzung des E-Mail Systems durch den Arbeitnehmer die Problematik, dass der Arbeitgeber bei der Auswertung von E-Mails das Fernmeldegeheimnis nach dem Telekommunikationsgesetz („TKG“) zu wahren hat. Bei einem Verstoß gegen das Fernmeldegesetz macht sich der Arbeitgeber sogar selbst nach § 206 StGB strafbar.

Einwilligung des Arbeitnehmers

Der neue § 26 Abs. 2 BDSG stellt klar, dass der betroffene Arbeitnehmer in die Datenverarbeitung seiner personenbezogenen Daten einwilligen kann. In den meisten Arbeitsverträgen ist eine Klausel enthalten, wonach der Arbeitnehmer in die Datenverarbeitung seiner personenbezogenen Daten einwilligt. Klar ist, dass der Arbeitgeber durch die Einwilligung des Arbeitnehmers nicht an weitere Daten gelangen darf, z. B. Krankheitsdiagnosen, Schufa-Auskünfte etc., als er nach dem arbeitsrechtlichen Fragerecht erfragen dürfte. Die Einwilligung des Arbeitnehmers zur Verarbeitung seiner personenbezogenen Daten muss grundsätzlich schriftlich erfolgen. Neu ist, dass der Arbeitgeber den Arbeitnehmer über den Zweck der Datenverarbeitung und sein Widerrufsrecht hinsichtlich der Einwilligung aufzuklären hat.

Kollektivvereinbarung

Die Verarbeitung personenbezogener Daten von Arbeitnehmern ist nach § 26 Abs. 4 des novellierten BDSG auch aufgrund von Kollektivvereinbarungen möglich. Unter Kollektivvereinbarungen fallen z. B. Tarifverträge oder Betriebsvereinbarungen. Beim Abschluss solcher Kollektivvereinbarungen sind allerdings die Vorgaben des Art. 88 Abs. 2 DS-GVO zu beachten. Danach müssen die aufgrund Art. 88 Abs. 2 DS-GVO erlassenen Regelungen zu Überwachungssystemen am Arbeitsplatz, angemessene und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, darstellen.

Damit sind die Interessen des Arbeitnehmers mit solchen des Arbeitgebers in einen schonenden Ausgleich zu bringen. Existierende Betriebsvereinbarungen, die eine solche Interessensabwägung nicht beinhalten, sind an die Anforderungen des Art. 88 Abs. 2 DS-GVO entsprechend anzupassen. Ansonsten stellen Kollektivvereinbarungen keinen wirksamen Erlaubnistatbestand zur Datenverarbeitung dar.

Rechtsfolgen bei einem Verstoß gegen das BDSG

Fragen der Rechtmäßigkeit der Datenverarbeitung im Arbeitsverhältnis kommen meistens nicht isoliert, sondern oft im Rahmen von Kündigungsschutzklagen zum Tragen. Dabei geht es beispielsweise um die Frage, ob das Arbeitsgericht ein bestimmtes vom Arbeitgeber angebotenes Beweismittel verwerten darf, das unter einem möglichen Verstoß gegen datenschutzrechtliche Vorschriften vom Arbeitgeber erlangt wurde. Nach der Rechtsprechung des BAG (Urt. v. 22.09.2016 – 2 AZR 848/15) kann ein Beweisverwertungsverbot wegen einer Verletzung des allgemeinen Persönlichkeitsrechts des Arbeitnehmers in Betracht kommen, wenn der Eingriff in das allgemeine Persönlichkeitsrecht nicht durch das BDSG gerechtfertigt ist.

Auch kann nach der Rechtsprechung des BAG (Urt. v. 19.02.2015 – 8 AZR 1007/13) einem Arbeitnehmer Schadensersatz zustehen, wenn er im Falle einer krankheitsbedingten Arbeitsunfähigkeit durch einen Detektiv observiert wird, obwohl keine begründeten Verdachtsmomente eines „Krankfeierns“ bestanden haben und somit der Eingriff in das allgemeine Persönlichkeitsrecht nicht gerechtfertigt war.

PRAXISTIPPS

  • Der Gesetzgeber hat mit § 26 BDSG die bisherigen Regelungen des BDSG übernommen und keine grundlegende Reform des Beschäftigtendatenschutzes angestoßen. Damit dürften die bereits jetzt geltenden Grundsätze und die zu §§ 32, 4 und 4a BDSG ergangene Rechtsprechung weiterhin ihre Gültigkeit haben. Diese Grundsätze sind auch zwingend vom Arbeitgeber zu beachten, um sich selbst nicht Schadensersatzpflichtig zu machen, oder einem Sachvortrags- bzw. Beweisverwertungsverbot zu unterliegen.
  • Kollektivvereinbarungen, insbesondere Betriebsvereinbarungen, müssen an die neuen Vorgaben des Art. 88 Abs. 2 DS-GVO angepasst werden.
  • Ab dem 25.05.2018 gelten die Vorschriften der DS-GVO zum allgemeinen Datenschutz. Neben dem Beschäftigtendatenschutz, müssen die Unternehmen die Vorgaben der neuen DS-GVO einhalten. Ansonsten drohen neuerdings empfindliche Bußgelder.

SEMINARTIPPS

 

______________________________________________________________________________________

Dieser Beitrag ist erschienen im Newsletter Banken-Times SPEZIAL Personal, Ausgabe Juli/August 2017.
(Kostenlose) Bestellung möglich unter http://www.fc-heidelberg.de/bankentimes
_______________________________________________________________________________________

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Comment

Folgende HTML Tags und Attribute können verwendet werden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>