SBS Firmengruppe Logos

Datenschutz im Arbeitsrecht


Im Zuge des schnellen Wachstums digitaler Technologien wurde nicht nur der Zugang zu Informationen und eine bessere Vernetzung vereinfacht. Die Kehrseite der digitalen Welt hat dazu geführt, dass der Datenschutz eine besondere Bedeutung gewonnen hat. Um personenbezogene Daten besser zu schützen und einen sicheren Datenverkehr innerhalb des Europäischen Binnenmarktes zu gewähren, wurde im Jahr 2018 durch die Europäischen Union die Datenschutz-Grundverordnung (DSGVO) eingeführt. Im Rahmen der DSGVO soll nicht nur der Datenschutz sichergestellt werden, sondern den EU-Bürgern auch mehr Kontrolle über ihre Daten gegeben werden. Auch im Arbeitsrecht spielt der Datenschutz eine tragende Rolle, die wir im Weiteren beleuchten werden.

Die Bedeutung des Datenschutzes 

Personenbezogene Daten geben nach Artikel 4 Nr. 1 DSGVO Informationen über natürliche Personen preis und machen diese Personen identifizierbar. Hiervon sind nicht nur Angaben zu Namen, Adressen und Geburtsdaten erfasst, sondern auch beispielsweise Vorlieben, Interessen, IP-Adressen und Standortdaten des Einzelnen. Durch diese personenbezogenen Daten werden Rückschlüsse auf die Person und ihre Identität gezogen, die dann anderweitig genutzt werden können.

Die Datenverarbeitung hat sich seit der Digitalisierung verändert. Sie erfolgt in großen Mengen und automatisiert, etwa durch Tracking, womit das Verhalten des Bürgers, wie etwa die Verweildauer, aufgerufene Webseiten und ähnliches, erfasst wird, Abschluss von Online-Registrierungen oder Online-Formularen. Durch intelligente IT-Systeme können diese Daten analysiert und sogar weitergegeben und gehandelt werden – ohne, dass die Betroffenen darüber in Kenntnis sind.

Der Datenschutz ist erforderlich, um dem Missbrauch von personenbezogenen Daten vorzubeugen und die Online-Identität der Einzelnen zu schützen, die durch den unsachgemäßen Umgang dieser Daten entstehen können.

Rechtsgrundlagen des Datenschutzes

Die informationelle Selbstbestimmung, also das Recht des Einzelnen, selbst über die Offenlegung und Verwendung seiner personenbezogenen Daten zu entscheiden, entspringt aus dem allgemeinen Persönlichkeitsrecht nach Artikel 2 Absatz 1 und Artikel 1 Absatz 1 des Grundgesetzes (GG). Der weite Schutzbereich dieses Grundrechts umfasst die Privat- und Intimsphäre des Einzelnen, hierzu zählen auch die personenbezogenen Daten, und zwar unabhängig davon, ob diese von Belang sind oder nicht.

Das Bundesdatenschutzgesetz (BDSG) schützt in erster Linie personenbezogene Daten und stellt für eine datenschutzsichere Datennutzung und -verarbeitung bestimmte Anforderungen, die mangels einer speziellen arbeitsrechtlichen Regelung auch im Arbeitsrecht gilt. Durch die Einführung der DSGVO am 25. Mai 2018 hat der Gesetzgeber das BDSG wesentlich angepasst.

Die Datenverarbeitung im Arbeitsrecht

Für die ordnungsgemäße Durchführung eines Beschäftigungsverhältnisses ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten des Mitarbeiters wichtig. Dies gilt nicht zuletzt für die monatliche Gehaltsabrechnung, sondern auch für die Pflege der Personalakte, die beispielsweise für Beförderungen, die Erstellung von Arbeitszeugnissen und ähnlichen Themen von Bedeutung ist.

Die Daten, die vom Arbeitgeber erhoben, gespeichert und genutzt werden können, gehen über die typischen Stammdaten, wie beispielsweise Name, Adresse, Geburtsdatum, Geschlecht und Familienstand, hinaus. Auch leistungsbezogene Angaben des Beschäftigten, etwa zu den Arbeitszeiten, wann er kommt und geht, Verhalten auf dem Arbeitsplatz, Beurteilungsbögen von Vorgesetzten, Arbeitszeugnisse und Qualifikationen, werden als Daten verarbeitet. Wichtig ist in diesem Zusammenhang, dass das Datenschutzrecht sich gemäß § 26 Absatz 7 BDSG auch auf Datenverarbeitungen bezieht, die nicht in einem Dateisystem erfasst sind, das bedeutet, dass auch Informationen über den Beschäftigten durch Beobachtung, Taschen- und Torkontrollen, Anrufen bei früheren Arbeitgebern oder Anhörungen von anderen Beschäftigten, verarbeitet werden dürfen.

Die Datenverarbeitung in Beschäftigungsverhältnissen ist in § 26 BDSG geregelt und erfordert eine schriftliche freiwillige Einwilligung des Beschäftigten. Nach § 26 Absatz 1 Satz 1 BDSG dürfen die Daten von Beschäftigten dann verarbeitet werden, wenn sie eine Erforderlichkeit für die Entscheidung über die Begründung des infrage stehenden Beschäftigungsverhältnisses oder Durchführung oder Beendigung ebendieser aufweisen. Demnach ist eine Überwachung des Beschäftigten, die nicht auf Dauer angelegt ist, möglich. Hierzu zählt nicht nur die Videoüberwachung, sondern auch die Überwachung über die Nutzung von Internet und anderer Kommunikationssysteme. Wichtig ist an dieser Stelle, dass hiervon nicht die inhaltliche Überwachung erfasst ist. Der Arbeitgeber ist grundsätzlich nicht dazu befugt, Gespräche jeglicher Art, E-Mails oder Chats mitzuverfolgen.

Die Datenverarbeitung ist auch dann zulässig, wenn sie darauf abzielt, etwaige Pflichten aus einem Gesetz, Tarifvertrag oder einer Betriebsvereinbarung umzusetzen.

In strafrechtsbezogenen Themen ist nach § 26 Absatz 1 Satz 2 BDSG die Datenverarbeitung möglich, wenn der Verdacht begründet ist, dass der Beschäftigte eine Straftat begangen hat und seine personenbezogenen Daten zur Aufdeckung erforderlich ist. Da dies einen Eingriff in das informationelle Selbstbestimmungsrecht darstellt und somit der Grundrechtsschutz betroffen sein kann, darf diese Datenverarbeitung nicht unverhältnismäßig zum schutzwürdigen Interesse des Beschäftigten sein. So kann es dazu kommen, dass in bestimmten Fällen eine verdeckte Videoüberwachung, die grundsätzlich nicht zulässig ist, gerechtfertigt sein kann.

In § 26 Absatz 3 Satz 1 BDSG ist die Datenverarbeitung besonderer Kategorien personenbezogener Daten geregelt. Angaben zu politischen Ansichten, Gesundheitszuständen und die dazugehörigen Daten oder ethnische Herkunft dürfen nur dann verarbeitet werden, wenn diese zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeits- oder Sozialrecht erforderlich sind und das schutzwürdige Interesse des Beschäftigten nicht überwiegt. Dies gilt insbesondere im Rahmen von Vorbereitungen von beabsichtigten Kündigungen, in denen der Arbeitgeber den Beschäftigten nach dessen Schwerbehinderung oder einem diesbezüglich gestellten Antrag fragt. Dies darf nach einer Entscheidung des Bundesarbeitsgerichts erst nach sechs Monaten eines bestehenden Beschäftigungsverhältnisses, also nach Erwerb des Behindertenschutzes, erfolgen.

Videoüberwachung auf dem Betriebsgelände

Die Aufnahme und Verarbeitung von Filmaufnahmen sind typische Beispiele für Eingriffe in die informationelle Selbstbestimmung des Einzelnen. Die Videoüberwachung in öffentlich zugänglichen Räumen ist in § 4 BDSG geregelt. In diesem Zusammenhang ist die Videoüberwachung nach § 4 Absatz 2 BDSG frühestmöglich kenntlich zu machen und die verantwortliche Stelle und ihre entsprechenden Kontaktdaten anzugeben. Diese Regelung ist auch im Arbeitsrecht anwendbar und gilt auch für den Arbeitgeber, der nach § 4 Absatz 1 Satz 1 BDSG von der Videoüberwachung Gebrauch machen kann. Die Speicherung und Verwendung dieser Aufnahmen sind gemäß § 4 Absatz 3 Satz 1 BDSG zulässig, wenn sie zum Erreichen des verfolgten Zwecks erforderlich sind und keine Anhaltspunkte bestehen, dass die schutzwürdigen Interessen der Betroffenen überwiegen. Nach einem Urteil des Bundesarbeitsgerichts ist diese Maßnahme so lange verhältnismäßig, wie eine Rechtsverfolgung durch die Betroffenen möglich ist.

Während eine verdeckte Videoüberwachung grundsätzlich unzulässig ist, kann dies nach einer Entscheidung des Bundesarbeitsgerichts als Ultima Ratio zur Überführung eines verdächtigen Beschäftigten ausnahmsweise zulässig sein.

Informationspflicht des Arbeitgebers und die Rechte des Betroffenen

Aufgrund der Grundrechtssensibilität dieser Thematik besteht neben der Beschränkung der Datenverarbeitung auf bestimmte Kategorien und der durchzuführenden Verhältnismäßigkeitsprüfung eine Informationspflicht des Arbeitgebers, die zugleich auch die Rechte des Betroffenen darstellt.

Demnach hat der Arbeitgeber seine Beschäftigten über den Umfang und die Absichten der Datenverarbeitung sowie die daraus folgenden Rechte des betroffenen Beschäftigten zu informieren.

Während die Rechtsgrundlage für die Datenverarbeitung grundsätzlich § 26 Absatz Satz 1 BDSG darstellt und der Arbeitgeber dazu verpflichtet ist, hierauf, oder abhängig von der Lage auf die einschlägige Rechtsgrundlage, zu verweisen, muss er noch seine Kontaktdaten und die des Datenschutzbeauftragten mit dem Beschäftigten teilen.

Weiterhin hat er Angaben zu der Speicherdauer der verwendeten Daten zu machen und muss mögliche Empfänger dieser Daten, etwa innerhalb der Unternehmensgruppe, nennen.

Sofern etwaige Drittstaatentransfers einschlägig sind, muss er seinen Beschäftigten auch hierüber aufklären und die hiermit in Zusammenhang stehenden Datenschutzregelungen nennen.

Auch das Beschwerderecht des Betroffenen bei der zuständigen Aufsichtsbehörde ist ebenfalls von der Informationspflicht erfasst.

Außerdem muss er den Beschäftigten über seine Rechte im Sinne der DSGVO, insbesondere über sein Auskunftsrecht, sein Recht auf Berichtigung, sein Recht auf Löschung, sein Recht auf Einschränkung der Verarbeitung, sein Recht auf Datenübertragbarkeit und sein Widerspruchsrecht nach den Artikeln 15 bis 21 DSGVO in Kenntnis setzen.

Üblicherweise werden diese Informationen beim Abschluss des Arbeitsvertrags besprochen und gemeinsam mit dem Arbeitsvertrag ausgehändigt, jedoch sind sie oftmals in den Betrieben ausgehangen und auch über das Intranet leicht zugänglich für die Beschäftigten abrufbar.

Die Rolle des Betriebsrats

Der Betriebsrat übernimmt die Aufgabe der Vertretung der Arbeitnehmer gegenüber dem Arbeitgeber und vertritt die Interessen der Beschäftigten. Im Rahmen seines Tätigkeitsfelds kommen dem Betriebsrat verschiedene Aufgaben zu, die in § 80 Betriebsverfassungsgesetz (BetrVG) geregelt sind. Während der Betriebsrat als Interessenvertreter an erster Stelle auf die Einhaltung von den einschlägigen Gesetzen und Vorschriften im Betrieb achtet, ist er in bestimmten Maßnahmen aktiv vom Arbeitgeber einzubinden. Somit ist es auch anerkannt, dass der Arbeitgeber den Betriebsrat über die Datenverarbeitung personenbezogener Daten der Arbeitnehmer in Kenntnis setzt. Möchte der Arbeitgeber technische Einrichtungen, die zur Überwachung des Verhaltens oder der Leistung der Arbeitnehmer dienen soll, einführen und anwenden, so steht dem Betriebsrat gemäß § 87 Absatz 1 Nr. 6 BetrVG ein Mitbestimmungsrecht zu.

Outsourcing von HR-Aufgaben = Datenschutzproblematik?

Arbeitgeber neigen zunehmend dazu, bestimmte Aufgaben der Personalabteilung im Wege des Outsourcings auf externe Dienstleister zu übertragen. So ist es mittlerweile üblich, dass Bereiche, wie Personalverwaltung und Abrechnung, von externen Dritten übernommen und überwacht werden.

Hierbei stellt sich jedoch die Frage, wie der Umgang mit personenbezogenen Daten der Beschäftigten erfolgt und wie der Datenschutz gewährleistet werden kann, denn für die Bearbeitung von arbeitnehmerbezogenen Themen werden an diese Dienstleister der Zugriff auf datenschutzsensible Informationen gewährt.

Für diese Fälle schließen der Arbeitgeber und der Dienstleister eine Auftragsverarbeitungsvereinbarung nach Artikel 28 DSGVO ab. Im Rahmen dieser Vereinbarung wird der Dienstleister, der „Auftragsverarbeiter“, dazu verpflichtet, die gesetzlichen Anforderungen des personenbezogenen Datenschutzes sicherzustellen und hierfür entsprechende Garantien im Sinne der DSGVO zu bieten. Ohne vorherige Absprache mit dem Arbeitgeber darf der Auftragsverarbeiter keine Dritten als Unterauftragsverarbeiter in den Prozess einbinden. Außerdem darf der Auftragsverarbeiter die personenbezogenen Daten nur auf dem vom Verantwortlichen zugewiesenen Weise verarbeiten und muss neben der Einhaltung aller Vertraulichkeitspflichten auch für die Sicherheit der Datenverarbeitung im Sinne des Artikels 32 DSGVO sorgen. Nach Abschluss der Datenverarbeitung müssen die personenbezogenen Daten gelöscht oder zurückgegeben werden.

Was passiert mit den Daten nach Beendigung des Beschäftigungsverhältnisses?

Nach Artikel 17 DSGVO haben betroffene Personen das Recht auf Löschung personenbezogener Daten, wenn diese nicht mehr erforderlich sind, jedoch gibt es Ausnahmetatbestände, die zu einer längeren Aufbewahrung dieser Daten führen können, etwa im Falle einer Kündigungsschutzklage oder Vertragspflichten, die noch nach Beendigung des Beschäftigungsverhältnisses bestehen, etwa bei einer betrieblichen Altersvorsorge oder einem Wettbewerbsverbot. Dann ist es möglich, die notwendigen Daten so lange aufzubewahren, bis dies notwendig erscheint (wie etwa Ablauf der Frist).

Zudem gibt es gesetzliche Aufbewahrungspflichten, die ebenfalls zu einer verlängerten Speicherung der Daten führt, wie etwa Buchungsbelege oder Handelsbriefe.


SBS LEGAL - Fachanwalt für Datenschutzrecht und Experte für Arbeitsrecht

Als Fachanwalt für Datenschutzrecht haben wir die passende Expertise für Ihren Fall aus dem Datenschutzrecht. Sprechen Sie uns über einen der vielen Kommunikationskanäle schnell und unverbindlich an.

Haben Sie noch Fragen zum Datenschutzrecht oder zum Arbeitsrecht?

Der Erstkontakt zu SBS LEGAL ist kostenlos.

 


SBS Direktkontakt

telefonisch unter (+49) 040 / 7344086-0 oder
per E-Mail unter mail@sbs-legal.de oder
per unten angebotenem SBS Direktkontakt.

Ich habe die Datenschutz-Richtlinien gelesen und stimmen diesen hiermit zu.