Arbeitnehmerdatenschutz

Arbeitnehmerdatenschutz ist der Schutz personenbezogener Daten von Arbeitnehmern, die vom Arbeitgeber zu Zwecken des Beschäftigungsverhältnisses verarbeitet werden. Synonym werden auch die Begriffe Mitarbeiterdatenschutz, Beschäftigtendatenschutz und Personaldatenschutz oder Betriebsdatenschutz verwendet.

Dieser Artikel oder Absatz stellt die Situation in Deutschland dar. Bitte hilf uns dabei, die Situation in anderen Staaten zu schildern.

Top-Fragen

Zeitleiste

Chat

Kontext

Europarecht

Die Datenschutz-Grundverordnung in zwar allen Mitgliedstaaten der Europäischen Union seit dem 25. Mai 2018 unmittelbar geltendes Recht (Art. 99 Abs. 2 DSGVO), sie enthält jedoch keine spezifischen Vorschriften zur Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext. Vielmehr können die Mitgliedstaaten nach der Öffnungsklausel in Art. 88 durch Rechtsvorschriften oder durch Kollektivvereinbarungen „Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person, insbesondere im Hinblick auf die Transparenz der Verarbeitung, die Übermittlung personenbezogener Daten innerhalb einer Unternehmensgruppe oder einer Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, und die Überwachungssysteme am Arbeitsplatz“ vorsehen.

Diese Klausel lässt nach der Rechtsprechung des Europäischen Gerichtshofs nur im Vergleich zur DSGVO „spezifischere Vorschriften“ zu, aber gerade keine bloße Wiederholung der Bestimmungen der DSGVO.^[1] Für das nationale Recht gilt ein Normwiederholungsverbot: Nationale Vorschriften dürfen sich „nicht auf eine Wiederholung der Bestimmungen der DSGVO beschränken, sondern müssen auf den Schutz der Rechte und Freiheiten der Beschäftigten hinsichtlich der Verarbeitung ihrer personenbezogenen Daten im Beschäftigungskontext abzielen und geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person umfassen.“^[2]

Die entsprechenden nationalen Vorschriften müssen gem. Art. 88 Abs. 3 DSGVO der Europäischen Kommission mitgeteilt werden.^[3]

Bundesdatenschutzgesetz

Das Bundesdatenschutzgesetz (BDSG) wurde mit Wirkung zum 25. Mai 2018 an die DSGVO und die Richtlinie (EU) 2016/680 zum Datenschutz in Strafsachen angepasst.^[4] Seitdem ist die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses in § 26 BDSG geregelt.^[5]

Am 17. Januar 2022 hat der interdisziplinäre Beirat zum Beschäftigtendatenschutz seine Thesen und Empfehlungen zur Fortentwicklung des Beschäftigtendatenschutzes an den Bundesminister für Arbeit und Soziales, Hubertus Heil, übergeben.^[6]

Zulässige Verarbeitungszwecke

Vertragsdurchführung

Personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist (§ 26 Abs. 1 Satz 1 BDSG). Ein Verarbeitungsvorgang ist in seiner Gesamtheit richterlich zu überprüfen. Eine „Atomisierung eines einheitlichen Kontrollvorgangs“ dahingehend, dass betreffend jedes ausgewertete Datum (z. B. jede E-Mail) gesondert eine Prüfung anhand von § 26 Abs. 1 Satz 1 BDSG zu erfolgen hat, ist unzulässig.^[7]

Da die Generalklausel des § 26 Abs. 1 Satz 1 BDSG auf die Erforderlichkeit für die Vertragserfüllung abstellt, besteht kein wesentlicher Unterschied zum Wortlaut des Art. 6 Abs. 1 lit. b DSGVO. § 26 Abs. 1 Satz 1 BDSG erfüllt mithin nicht die Mindestanforderungen an eine Konkretisierung der DSGVO gem. Art. 88 Abs. 2 DSGVO und muss unangewendet bleiben.^[8] Maßgebliche Rechtsgrundlage ist insoweit unmittelbar Art. 6 Abs. 1 lit. b, lit. f DSGVO.^[9]

Aufdeckung von Straftaten am Arbeitsplatz

Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind (§ 26 Abs. 1 Satz 2 BDSG).^[10]

Auch Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, gelten als Beschäftigte (§ 26 Abs. 8 Satz 2 BDSG).

Da diese Vorschrift spezifischer ist als Art. 6 DSGVO, könnte sie im Hinblick auf die Rechtsprechung des EuGH zu § 26 Abs. 1 Satz 1 BDSG zulässig ein.^[9]

Verarbeitungsvoraussetzungen

Erfolgt die Verarbeitung auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen (§ 26 Abs. 2 Satz 1 BDSG). Die Einwilligung muss grundsätzlich schriftlich oder elektronisch zu erfolgen (§ 26 Abs. 2 Satz 3 BDSG). Der Arbeitgeber hat die beschäftigte Person über den Zweck der Datenverarbeitung und über ihr Widerrufsrecht nach Art. 7 Abs. 3 (DSGVO) in Textform aufzuklären (§ 26 Abs. 2 Satz 4 BDSG).

Durch Art. 12 des Zweiten Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) vom 20. November 2019^[11] wurde § 26 Abs. 2 Satz 3 BDSG im Hinblick auf die Anforderungen zur Form der Einwilligung geändert. Die Wörter „bedarf der Schriftform“ wurden durch die Wörter „hat schriftlich oder elektronisch zu erfolgen“ ersetzt.

In der Gesetzesbegründung^[12] heißt es dazu:

Die Änderung des § 26 Absatz 2 Satz 3 erleichtert die Voraussetzungen, unter denen im Beschäftigungsverhältnis eine Einwilligung eingeholt werden kann. Die Verordnung (EU) 2016/679 sieht kein Schriftformerfordernis vor. Vielmehr verlangt Artikel 4 Nummer 11 der Verordnung (EU) 2016/679 nur nach „einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Da die Einwilligung elektronisch erfolgen kann, genügt es beispielsweise, dass der Arbeitgeber sie als E-Mail abspeichert. Die Erleichterung der Voraussetzungen, unter denen eine Einwilligung eingeholt werden kann, entspricht dem Ziel des Koalitionsvertrages, alle Gesetze auf ihre Digitaltauglichkeit zu überprüfen; insbesondere soll eine „erneute, ehrgeizige Überprüfung der Schriftformerfordernisse“ erfolgen.

Besonderer Kategorien personenbezogener Daten von Beschäftigten

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist abweichend von Art. 9 Abs. 1 DSGVO zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Außerdem muss sich die Einwilligung ausdrücklich auf diese Daten beziehen (§ 26 Abs. 3 BDSG).^[13]

Grundsätze für die Verarbeitung personenbezogener Daten

Der Arbeitgeber muss geeignete Maßnahmen ergreifen, um sicherzustellen, dass insbesondere die in Art. 5 DSGVO dargelegten Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden.

Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben durch § 26 BDSG unberührt (§ 26 Abs. 6 BDSG). Zu den allgemeinen Aufgaben des Betriebsrats gehört es gem. § 80 BetrVG, die Einhaltung der datenschutzrechtlichen Bestimmungen zu überwachen. Dazu muss der Arbeitgeber den Betriebsrat rechtzeitig und umfassend unterrichten (§ 80 Abs. 2 BetrVG). Ein Mitbestimmungsrecht beim Datenschutz besteht gem. § 87 Abs. 1 Nr. 6 BetrVG bei Einführung und Anwendung von technischen Einrichtungen, die zur Leistungs- und Verhaltenskontrolle bestimmt sind.^[14]

Rechtslage vor dem 25. Mai 2018

Geschichte des Arbeitnehmerdatenschutzes in Deutschland

1984–2000

Das Land Hessen nahm 1986 in das Hessische Datenschutzgesetz (HDSG) eine Vorschrift zum Beschäftigtendatenschutz auf. § 34 HDSG bestimmte, dass Beschäftigtendaten nur verarbeitet werden dürfen, wenn dies zur Eingehung, Durchführung, Beendigung oder Abwicklung des Dienst- oder Arbeitsverhältnisses oder zur Durchführung innerdienstlicher, planerischer, organisatorischer, sozialer und personeller Maßnahmen erforderlich ist oder eine Rechtsvorschrift, ein Tarifvertrag oder eine Dienstvereinbarung es vorsieht. Diese Vorschrift war die erste ihrer Art in Deutschland. Sie gilt mit einigen Veränderungen bis heute, allerdings nur im Land Hessen und auch nur für Behörden und andere öffentliche Arbeitgeber.

Im Jahr 1984 forderten die Datenschutzbeauftragten des Bundes und der Länder erstmals bereichsspezifische gesetzliche Bestimmungen zum Arbeitnehmerdatenschutz. 1992 stellten sie Grundsätze für ein Arbeitnehmerdatenschutzgesetz auf.^[15] Auch die Gewerkschaften setzten sich für eine gesetzliche Regelung ein. So legte beispielsweise der Deutsche Gewerkschaftsbund im Jahr 1999 Eckpunkte für ein Gesetz zum Arbeitnehmerdatenschutz vor.^[16]

Der Deutsche Bundestag und der Bundesrat sahen ebenfalls Handlungsbedarf. Der Bundestag fasste mehrere Beschlüsse, in denen er die jeweilige Bundesregierung aufforderte, einen entsprechenden Gesetzentwurf zu erarbeiten.^[17]

Im Jahr 2000 plante die von Gerhard Schröder geführte Bundesregierung nach eigenem Bekunden die Vorlage eines entsprechenden Gesetzes, welches die Bezeichnung „Gesetz über Information und Kommunikation im Arbeitsverhältnis“ haben sollte.^[18] Das Vorhaben wurde jedoch nicht verwirklicht. Die Arbeiten am Gesetz wurden eingestellt.

2001–2010

Einen Teilbereich des Arbeitnehmerdatenschutzes regelt das im Jahr 2009 beschlossene Gendiagnostikgesetz (GenDG). In Abschnitt 5 des Gesetzes ist geregelt, unter welchen Voraussetzungen genetische Untersuchungen im Arbeitsleben zulässig sind. Dabei gilt der Grundsatz, dass ein Arbeitgeber nicht verlangen darf, dass ein Beschäftigter oder Bewerber genetischen Untersuchungen oder Analysen an sich vornehmen lässt. Der Arbeitgeber darf Untersuchungsergebnisse auch nicht entgegennehmen oder verwerten (§ 19 GenDG). Von diesem Verbot ausgenommen sind diagnostische genetische Untersuchungen im Rahmen von arbeitsmedizinischen Vorsorgeuntersuchungen für Beschäftigte an bestimmten Arbeitsplätzen (§ 20 GenDG). Die arbeitsrechtlichen Vorschriften des Gendiagnostikgesetzes traten am 1. Februar 2010 in Kraft.

In den Jahren 2008/2009 wurde bekannt, dass bedeutende deutsche Unternehmen wie der Lebensmitteldiscounter Lidl und die Deutsche Bahn ihre Beschäftigten mit teilweise unzulässigen Methoden überwacht hatten. Besondere Aufmerksamkeit erlangte die Überwachungsaffäre der Deutschen Telekom. Auf Grund dieser Vorfälle entschied sich die mittlerweile von Angela Merkel geführte Bundesregierung im Februar 2009, die Arbeit an einem Arbeitnehmerdatenschutzgesetz wieder aufzunehmen.^[19] Das Bundesministerium für Arbeit und Soziales erstellte daraufhin den Entwurf für ein Gesetz zum Datenschutz im Beschäftigungsverhältnis (Beschäftigtendatenschutzgesetz – BDatG), der von Bundesarbeitsminister Olaf Scholz im September 2009 in die Diskussion eingebracht wurde.^[20] Angesichts der bevorstehenden Bundestagswahl wurde der Entwurf nicht mehr von der CDU/CSU-SPD-Bundesregierung verabschiedet.

Nach dem Regierungswechsel im Herbst 2009 verständigten sich CDU/CSU und FDP darauf, kein eigenes Gesetz zum Arbeitnehmerdatenschutz zu schaffen, sondern stattdessen das Bundesdatenschutzgesetz um ein Kapitel zum Datenschutz für Beschäftigte zu ergänzen.^[21] Die Federführung für dieses Gesetzesvorhaben wurde dem Bundesministerium des Innern übertragen. Am 1. April 2010 stellte Bundesinnenminister Thomas de Maizière Eckpunkte für ein neues Beschäftigtendatenschutzrecht vor.^[22]

Bundesdatenschutzgesetz a.F.

Trotz seiner großen praktischen Bedeutung war der Arbeitnehmerdatenschutz in Deutschland bis 2009 gesetzlich nicht expliziert geregelt. Seit 1978 griff die Praxis daher auf die allgemeinen Regelungen des Bundesdatenschutzgesetzes zurück. Forderungen nach Schaffung eines speziellen Arbeitnehmerdatenschutzgesetzes wurden nicht erfüllt.

In den Jahren 2008/2009 wurde bekannt, dass bedeutende deutsche Unternehmen wie der Lebensmitteldiscounter Lidl und die Deutsche Bahn ihre Beschäftigten mit teilweise unzulässigen Methoden überwacht hatten. Besondere Aufmerksamkeit erlangte die Überwachungsaffäre der Deutschen Telekom. Auf Grund dieser Vorfälle entschied sich die Bundesregierung im Februar 2009, die Arbeit an einem Arbeitnehmerdatenschutzgesetz wieder aufzunehmen.^[19] Als „Sofortmaßnahme“ wurde das Bundesdatenschutzgesetz um § 32 BDSG ergänzt. Bei dieser Vorschrift handelt es sich um eine Regelung zur Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses. Sie trat am 1. September 2009 in Kraft.

Derzeit bestehen neben dem neuen, seit 1. September 2009 geltenden § 32 BDSG verschiedene bereichsspezifische Vorschriften, die (auch) das informationelle Selbstbestimmungsrecht der Beschäftigten regeln, beispielsweise im Telemediengesetz, im Bundesbeamtengesetz, in der Bildschirmarbeitsverordnung, im Betriebsverfassungsgesetz und in den Personalvertretungsgesetzen. Genetische Untersuchungen im Arbeitsleben sind seit Februar 2010 im Gendiagnostikgesetz geregelt.

Gesetzentwürfe

Am 4. September 2009 legte Bundesarbeitsminister Olaf Scholz den Entwurf für ein Gesetz zum Datenschutz im Beschäftigungsverhältnis (Beschäftigtendatenschutzgesetz – BDatG) vor. Das geplante Gesetz sollte laut Scholz die bestehenden Vorschriften und Gerichtsurteile zum Beschäftigtendatenschutz vereinheitlichen und bestehende Lücken schließen.^[23] Der Entwurf und seine Vorlage kurz vor der Bundestagswahl 2009 erfuhren sowohl Lob als auch Kritik.^[24] Die Koalitionsvereinbarung der zweiten Regierung Merkel sieht eine Erweiterung des Bundesdatenschutzgesetzes um einen eigenen Bereich Arbeitnehmerdatenschutz vor, ein separates Gesetz soll es nicht mehr geben. Anfang April 2010 brachte der Bundesinnenminister einen ersten Referentenentwurf zum erweiterten § 32 BDSG in die Ressortabstimmung ein, der einen eigenen Unterabschnitt Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses mit 14 Ziffern zum § 32 BDSG vorsieht^[25]. Die Änderung der datenschutzrechtlichen Vorschriften in diesem Bereich wurde bereits länger diskutiert. Ziel ist es, die uneinheitliche Rechtsprechung der Arbeitsgerichte zu vereinen und so mehr Rechtssicherheit für Arbeitnehmer und Arbeitgeber zu schaffen. Grundlage für die gesetzliche Ausgestaltung soll sowohl die betriebliche Praxis wie auch die bisher ergangene Rechtsprechung der Arbeitsgerichte sein.^[26]

Das Bundeskabinett hat am 25. August 2010 den Entwurf des Gesetzes zur Regelung des Beschäftigtendatenschutzes beschlossen.^[27] Inzwischen ist am 15. Dezember 2010 die Bundestags-Drucksache 17/4230^[28] mit einem neuen, überarbeiteten Entwurf eines Beschäftigtendatenschutzgesetzes erschienen.

Vorschläge des DGB

Es liegt ein Vorschlag^[29][30] des Deutschen Gewerkschaftsbundes (DGB) zum Arbeitnehmerdatenschutz vor. Darin werden insbesondere Bewegungsprofile und Überwachungen von Pausenräumen untersagt.

Rechtsprechung zum Recht auf informationelle Selbstbestimmung am Arbeitsplatz

Da die Gesetze den Datenschutz im Arbeitsverhältnis nur sehr lückenhaft regeln und nicht alle Details durch Betriebsvereinbarungen geklärt sind, werden viele Fragen von den Arbeitsgerichten entschieden. Zu nennen sind beispielsweise die Grundsatzurteile des Bundesverfassungsgerichts zum rechtswidrigen Mithören nicht-öffentlicher Kommunikation^[31] und des Bundesarbeitsgerichts zur Videoüberwachung am Arbeitsplatz^[32] und zum Mithören von dienstlichen Telefongesprächen^[33].

Der Arbeitnehmerdatenschutz muss die Besonderheiten des Arbeitsverhältnisses im Hinblick auf den Datenschutz des Arbeitnehmers berücksichtigen. Arbeitgeber und Arbeitnehmer stehen sich zwar rechtlich als gleichwertige Partner gegenüber, der Arbeitgeber ist dem Arbeitnehmer aber wirtschaftlich und strukturell überlegen. Der Arbeitgeber bestimmt nämlich die konkrete Ausgestaltung des Arbeitsvertrags und legt die Arbeitsbedingungen fest. Er ordnet an, wann, wo und wie der Arbeitnehmer tätig werden muss. Der Arbeitnehmer kann sich diesen Vorgaben in der Regel nicht entziehen. Besteht in einem Vertragsverhältnis eine einseitige Bestimmungsmacht, gebietet die Verfassung einen besonderen Schutz für den schwächeren Vertragspartner,^[34] insbesondere für Vertragsinhalte, welche Eingriffe in das allgemeine Persönlichkeitsrecht erlauben.

Arbeitgeber dürfen nicht nach billigem Ermessen in das Recht auf informationelle Selbstbestimmung des Arbeitnehmers eingreifen. Sowohl die Vorgaben des Gesetzgebers in § 75 Abs. 2 Satz 1 Betriebsverfassungsgesetz (BetrVG), als auch Art. 2 Abs. 2 Satz 3 Grundgesetz (GG), und die Entscheidungen des Bundesverfassungsgerichts^[35] bieten keinen Ermessensspielraum:

Das Recht auf informationelle Selbstbestimmung ist der Einschränkung im überwiegenden Allgemeininteresse zugänglich. Diese bedarf jedoch einer gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenklarheit entspricht und verhältnismäßig ist (vgl. BVerfGE 65, 1 <43 f.>; 120, 378 <401 ff.>; BVerfGK 10, 330 <337>). Anlass, Zweck und Grenzen des Eingriffs müssen in der Ermächtigung bereichsspezifisch, präzise und normenklar festgelegt werden (vgl. BVerfGE 65, 1 <44 ff.>; 100, 313 <359 f.>; BVerfGK 10, 330 <337 f.>).

Neben den vom Gesetzgeber ermächtigten Eingriffen in das Recht auf informationelle Selbstbestimmung, etwa durch fiskalische Rechtsnormen (HGB, AO) und Sozialgesetzgebung (SGB), können sich Beschränkungen des allgemeinen Persönlichkeitsrechts dort ergeben, wo sie mit gleich oder höherrangigen Grundrechten anderer Grundrechtsträger kollidieren. Zusätzlich können Eingriffe und Beschränkungen durch Verträge individuell rechtswirksam vereinbart werden, soweit die betreffenden Vertragsinhalte durch einseitige Bestimmungsmacht keine faktische Fremdbestimmung verwirklichen^[36]. Zulässige Eingriffe auf formell-gesetzlicher Grundlage oder individuell vertraglicher Vereinbarung, sowie Beschränkungen des allgemeinen Persönlichkeitsrechts durch Konkurrenz mit anderen Grundrechtsträgern, sind der Regelungskompetenz der Betriebsparteien zugänglich.

Personalakten

Dem Grundrecht des Arbeitnehmers auf informationelle Selbstbestimmung steht ein nur bedingt gleichrangiges Recht des Arbeitgebers gegenüber, für das Arbeitsverhältnis maßgebliche Informationen über die Persönlichkeit des Arbeitnehmers, sowie seinen Fähigkeiten, Fertigkeiten und innerbetriebliches Verhalten zu erheben, verarbeiten und zu nutzen, soweit dies zur Begründung, Durchführung oder Beendigung eines Arbeitsverhältnisses erforderlich ist. Seit 2009 ist dieses Recht in § 32 Bundesdatenschutzgesetz (BDSG) normiert. Die Zweckbindung personenbezogener Daten verpflichtet den Arbeitgeber, die Personalakte sorgfältig zu verwahren und ihren Inhalt vertraulich zu behandeln. Da keine Rechtsnorm dem Arbeitgeber eine Erhebung und Nutzung von Detailinformationen zur Gesundheit eines Beschäftigten gestattet, dürfen derartige Informationen, soweit der Arbeitgeber durch Einwilligung des Arbeitnehmer von diesen Kenntnis erlangt, aufgrund ihrer strengen Zweckbindung kein regulärer Teil einer Personalakte sein. Sie müssen getrennt vom sonstigen Inhalt der Personalakte aufbewahrt und gegen zweckfremde Kenntnisnahme besonders gesichert werden.^[37]

Betriebsvereinbarungen

In größeren Unternehmen werden datenschutzrechtlich relevante Sachverhalte häufig auch in Betriebsvereinbarungen nach dem BetrVG geregelt, im öffentlichen Dienst in Dienstvereinbarungen. Eine derartige Vereinbarung kann Eingriffe in das informationelle Selbstbestimmungsrecht der Arbeitnehmer nicht rechtfertigen, aber regeln. Dabei schreibt sie aber auch die Grenzen fest, die der Arbeitgeber nicht überschreiten darf. Typische Fälle sind Betriebsvereinbarungen, die die Nutzung von E-Mail- und Internetdiensten im Betrieb, den Einsatz von Trouble-Ticket-Systemen, Anzeigen auf Telefonanlagen u. ä. regeln und festschreiben, wann und wie der Arbeitgeber die Einhaltung dieser Nutzungsregeln kontrollieren darf.

Datenschutz bei Leistungs- und Verhaltenskontrollen

Berührungspunkte zwischen dem Datenschutz der Arbeitnehmer und den Interessen des Arbeitgebers ergeben sich insbesondere dann, wenn der Arbeitgeber Leistungs- und Verhaltenskontrollen durchführt. Hat der Arbeitgeber ein berechtigtes Interesse an den Kontrollen und beeinträchtigen die Kontrollen die Rechte des Arbeitnehmers nicht oder nur gering, so handelt der Arbeitgeber im Regelfall rechtmäßig. Greift der Arbeitgeber zur Überwachung auf technische Einrichtungen zurück, beispielsweise auf Videokameras, Zeiterfassungssysteme oder elektronische Zutrittskontrollen, so hat der Betriebs- oder Personalrat ein Mitbestimmungsrecht, § 87 Abs. 1 Nr. 6 BetrVG.

Oft können für den Datenschutz erforderliche Verfahrensbeschreibungen nach § 4e BDSG bei Betriebsvereinbarungen oder Dienstvereinbarungen zur Leistungs- und Verhaltenskontrolle durch technische Einrichtungen wiederverwendet werden und damit die Zusammenarbeit zwischen Betriebsrat und Betriebsleitung erheblich vereinfachen.

Überwachung von Telekommunikation

Das Bundesverfassungsgericht hat bereits in der Entscheidung vom 9. Oktober 2002 die verfassungsrechtlichen Rahmenbedingungen zum Zugriff auf Kommunikationsinhalte konkretisiert:^[38]

1. Der Schutz des Fernmeldegeheimnisses (Art. 10 Abs. 1 GG) erstreckt sich auf die von Privaten betriebenen Telekommunikationsanlagen.
2. Art. 10 Abs. 1 GG begründet ein Abwehrrecht gegen die Kenntnisnahme des Inhalts und der näheren Umstände der Telekommunikation durch den Staat und einen Auftrag an den Staat, Schutz auch insoweit vorzusehen, als private Dritte sich Zugriff auf die Kommunikation verschaffen.

Das Grundrecht des Fernmeldegeheimnisses dient der freien Entfaltung der Persönlichkeit durch einen Kommunikationsaustausch mit Hilfe des Fernmeldeverkehrs. Es ist unerheblich, um welche Inhalte es sich handelt und ob sie privater, geschäftlicher oder politischer Art sind (vgl. BVerfGE 100, 313 <358>). Der Schutz ist nicht auf die früher von der Deutschen Bundespost genutzten Technologien und angebotenen Fernmeldedienste (wie Telefon, Telefax oder Teletext) beschränkt, sondern umfasst sämtliche mit Hilfe der verfügbaren Telekommunikationstechniken erfolgenden Übermittlungen von Informationen. Auf die konkrete Übermittlungsart (etwa über Kabel oder Funk, durch analoge oder digitale Vermittlung) und Ausdrucksform (etwa Sprache, Bilder, Töne, Zeichen oder sonstige Daten) kommt es nicht an. Mit Rücksicht auf die zwischenzeitlich erfolgte technologische Entwicklung ist der früher üblich gewesene Begriff des Fernmeldewesens in anderen Bestimmungen des Grundgesetzes zwischenzeitlich durch den der Telekommunikation ersetzt worden (vgl. Art. 73 Nr. 7, Art. 87f GG).

Gemäß den Vorgaben des BVerfG gilt der verfassungsmäßige Schutz durch Art. 10 Abs. 1 GG für alle Inhalte (privat ebenso wie geschäftlich) und für alle Arten der Übertragung (Telefon, Fax, IP-Telefonie, E-Mail, SMS, MMS, Instant Messaging/XMPP, Skype, Facetime etc.).

Videoüberwachung am Arbeitsplatz

Eine Videoüberwachung durch den Arbeitgeber stellt wegen des mit ihr verbundenen Überwachungsdrucks einen erheblichen Eingriff in das allgemeine Persönlichkeitsrecht der betroffenen Arbeitnehmer dar. Deshalb ist sie nur in besonderen Ausnahmefällen zulässig. Anerkannte Gründe für eine zulässige Videoüberwachung sind ein besonderes Sicherheitsbedürfnis (z. B. Videoüberwachung des Schalterraums einer Bank). Vom letzten Mittel in einer Notwehr- oder notwehrähnlichen Situation abgesehen, muss die Videoüberwachung „offen“ erfolgen. Die Videoüberwachung unterliegt zudem der Mitbestimmung des Betriebsrats.

Das Bundesarbeitsgericht hat sich im Beschluss vom 29. Juni 2004 sehr ausführlich mit einer Betriebsvereinbarung einer Einigungsstelle zur Videoüberwachung in einem Betrieb auseinandergesetzt und diese Betriebsvereinbarung aufgrund schwerwiegender Mängel aufgehoben.^[39] Im Beschluss vom 26. August 2008 hat das Bundesarbeitsgericht erneut eine Betriebsvereinbarung zur Videoüberwachung im Betrieb analysiert und dargestellt, aufgrund welcher Sicherungsvorkehrungen die vorgelegte Vereinbarung (bis auf ein paar kleinere Fehler) akzeptabel ist.^[40] Demgegenüber beschreibt das ältere BAG-Urteil vom 27. März 2003, unter welchen besonderen Voraussetzungen eine eigenmächtige heimliche Videoüberwachung durch den Arbeitgeber in einem konkreten Einzelfall von einem Beweisverwertungsverbot ausgenommen sein kann.^[41] Siehe auch die Analyse im BAG-Urteil vom 16. Dezember 2010, Randnummer 29ff.

Im März 2008 berichtete das Magazin Stern von heimlichen Überwachungsmaßnahmen bei der Discounterkette Lidl. Mitarbeiter und Kunden seien ohne ihr Wissen gefilmt und abgehört worden.^[42] Das Unternehmen räumte ein, dass es „mit Kameraanlagen und in Filialen mit extrem hohen Inventurverlusten zeitlich begrenzt mit Detekteien“ zusammenarbeite. Dies geschehe, um „durch Diebstahl verursachte Inventurverluste zu vermeiden“. Eine systematische Bespitzelung sei nicht gewollt gewesen.^[43] Im September 2008 verhängten die für Lidl zuständigen Aufsichtsbehörden für den Datenschutz Bußgelder in Höhe von insgesamt 1,462 Millionen Euro.^[44]

Netzwerke und PC-Überwachung

Zugangsregeln und Zugriffsregeln gehören zur Datensicherheit unabdingbar dazu. Daher muss sich jeder Nutzer an einem sicheren Netzwerk identifizieren. Ein anonymer Zugriff ist in der Regel nicht erlaubt, die Zugriffe auf schutzwürdige und gesicherte Daten und Änderungen daran werden zudem einzeln protokolliert. Das fordert bereits das international genormte Vorgehensmodell nach ISO 15408 (Common Criteria).

Regelungen in Bezug auf die Überwachung der PC-Tätigkeiten von Arbeitnehmern finden sich unter anderem in der Bildschirmarbeitsverordnung und im Betriebsverfassungsgesetz. Gemäß Ziffer 22 des Anhangs zur Bildschirmarbeitsverordnung darf „[o]hne Wissen der Benutzer […] keine Vorrichtung zur qualitativen oder quantitativen Kontrolle verwendet werden“. Damit ist dem Arbeitgeber ein heimlicher Einsatz von Überwachungssoftware und -hardware wie beispielsweise Keyloggern verboten. § 87 Abs. 1 Nr. 6 BetrVG bestimmt darüber hinaus, dass „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen“, der Mitbestimmung des Betriebsrats bzw. im öffentlichen Dienst des Personalrats, vgl. § 80 Abs. 1 Nr. 21 BPersVG unterliegen.

Literatur

• Britta Mester: Arbeitnehmerdatenschutz. Notwendigkeit und Inhalt einer gesetzlichen Regelung. Oldenburger Verlag für Wirtschaft, Informatik und Recht, Oldenburg 2008, ISBN 978-3-939704-29-4.
• Johannes Habermalz: Die datenschutzrechtliche Einwilligung des Beschäftigten, JurPC Web-Dok. 132/2011, Abs. 1 - 92 Stand: 30. August 2011.
• Stephan Weth, Maximilian Herberg, Michael Wächter (Hrsg.): Daten- und Persönlichkeitsschutz im Arbeitsverhältnis. Praxishandbuch zum Arbeitnehmerdatenschutz. 1. Auflage. C. H. Beck, München 2014, ISBN 978-3-406-63194-8.
• Lutz Bergmann, Roland Möhrle, Armin Herb (Hrsg.): Kommentar zum Datenschutzrecht. Boorberg-Verlag. Stuttgart: Stand: 65. Lieferung. Januar 2024, ISBN 978-3-415-00616-4. Ausführliche Kommentierung zu § 26 BDSG
• Tassilo-Rouven König: Beschäftigtendatenschutz in der Beratungspraxis 1. Auflage. Nomos-Verlag 2020, ISBN 978-3-8487-5702-2.
• Thomas Götz: Big Data im Personalmanagement. Datenschutzrecht und betriebliche Mitbestimmung. Nomos-Verlag, 2020. ISBN 978-3-8487-7619-1.
• Oliver Zöll, Christian Schönbach: Die digitale Personalakte. Digitalisierung und Datenschutz. AuA 2018, S. 217–220. PDF.
• Alparslan Akkilic: Der Umgang mit unzulässig erhobenen Daten im arbeitsgerichtlichen Verfahren. NZA 2020, S. 623 ff.
• Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg: Unsere Freiheiten: Daten nützen – Daten schützen. Ratgeber Beschäftigtrndatenschutz. April 2020. PDF.

Einzelnachweise

1. EuGH, Urteil vom 30. März 2023 – C-34/21.
2. EuGH, Rs. C-34/21, Rz. 65.
3. vgl. für Deutschland: BT-Drs. 19/5155 S. 88, 89 (Stand: 27. September 2018).
4. Gesetz zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-E) vom 30. Juni 2017, BGBl. I S. 2097
5. vgl. Kurzpapier Nr. 14: Beschäftigtendatenschutz. Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 24. September 2020.
6. BMAS veröffentlicht Ergebnisse des unabhängigen, interdisziplinären Beirats zum Beschäftigtendatenschutz. BMAS, 22. Januar 2022.
7. LAG Baden-Württemberg, Urteil vom 27. Januar 2023 - 12 Sa 56/21 LS 8.
8. EuGH, Rs. C-34/21, Rz. 89.
9. Gregor Thüsing: Alles neu im Beschäftigtendatenschutz? Haufe.de, 17. April 2023.
10. vgl. beispielsweise zur Speicherung von Bildsequenzen aus einer offenen Videoüberwachung, die vorsätzliche Handlungen eines Arbeitnehmers zulasten des Eigentums des Arbeitgebers zeigen BAG, Urteil vom 23. August 2018 - 2 AZR 133/18 zu § 32 BDSG a.F.
11. BGBl. I S. 1626, 1633
12. Drucksache 19/11181 vom 26. Juni 2019, Seite 19
13. vgl. Cristina Bittner: Umgang mit besonderen Datenkategorien. Stiftung Datenschutz, abgerufen am 3. Februar 2024.
14. Als Betriebsrat beim Datenschutz mitbestimmen. Weka Group, 21. September 2020.
15. Entschließung der 43. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 23./24. März 1992. (Memento vom 8. September 2012 im Webarchiv archive.today)
16. Eckpunkte für ein Arbeitnehmerdatenschutzgesetz. (Memento des Originals vom 6. Oktober 2014 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.einblick-archiv.dgb.de DGB-Bundesvorstandsbeschluss vom 7. September 1999.
17. Bundestags-Drucksache 13/7699 vom 16. Mai 1997; Bundestags-Drucksache 14/4329 vom 13. Oktober 2000; Bundestags-Drucksache 16/4882 vom 28. März 2007.
18. Patrick Pfalzgraf: Arbeitnehmerüberwachung. Verlag Dr. Kovač, Hannover 2003, ISBN 978-3-8300-1099-9, S. 237.
19. Bundeskabinett beschließt Grundsatzregelung zum Datenschutz der Arbeitnehmer. (Memento vom 14. September 2009 im Internet Archive) Pressemitteilung des Bundesinnenministeriums vom 18. Februar 2009.
20. Scholz will Arbeitnehmer besser schützen. (Memento vom 1. Juli 2011 im Internet Archive) Pressemitteilung des Bundesarbeitsministeriums vom 4. September 2009.
21. Wachstum, Bildung, Zusammenhalt. Koalitionsvertrag zwischen CDU, CSU und FDP vom 26. Oktober 2009. S. 106.
22. Datenschutz in der Arbeitswelt - Eckpunktepapier zum Beschäftigtendatenschutz. (Memento des Originals vom 29. November 2011 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bmi.bund.de Meldung des Bundesinnenministeriums vom 1. April 2010.
23. Scholz will Arbeitnehmer besser schützen. (Memento vom 1. Juli 2011 im Internet Archive) Pressemitteilung des Bundesministeriums für Arbeit und Soziales vom 4. September 2009.
24. Cordula Eubel u. Heike Jahberg: Datenschutz auf die Schnelle. In: Tagesspiegel. 5. September 2009 (Online).
25. Bundesminister des Innern: Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes (Memento des Originals vom 22. September 2010 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bmi.bund.de
26. Datenschutz in der Arbeitswelt - Eckpunktepapier zum Beschäftigtendatenschutz. (Memento des Originals vom 21. März 2015 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.bmi.bund.de Veröffentlichung des Bundesinnenministeriums vom 1. April 2010.
27. Bundeskabinett beschließt Gesetzentwurf zur Regelung des Beschäftigtendatenschutzes (Memento vom 29. Juni 2013 im Internet Archive)
28. Deutscher Bundestag: Gesetzentwurf der Bundesregierung: Entwurf eines Gesetzes zur Regelung des Beschäftigtendatenschutzes, BT-Drs. 17/4230 vom 15. Dezember 2010 (PDF; 578 kB).
29. DGB Position (Memento des Originals vom 25. Januar 2010 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.einblick.dgb.de
30. DGB Broschüre (Memento des Originals vom 28. Januar 2016 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.dgb-bestellservice.de
31. 1 BvR 1611/96 vom 9. Oktober 2002
32. BAG, 1 ABR 16/07 vom 26. August 2008 (Memento des Originals vom 28. Januar 2016 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/juris.bundesarbeitsgericht.de
33. BAG, 6 AZR 189/08 vom 23. April 2009 (Memento des Originals vom 23. Juni 2018 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/juris.bundesarbeitsgericht.de
34. vergl. BVerfG, Beschluss vom 23. Oktober 2006, Az. 1 BvR 2072/02, Randnummern 33–40.
35. z. B. BVerfG, Beschluss vom 11. August 2009, Az. 2 BvR 941/08, Randnummern 16–19.
36. vergl. o. g. 1 BvR 2072/02 vom 23. Oktober 2006, Randnummern 33–40.
37. BAG, Urteil vom 12. September 2006, Az. 9 AZR 271/06.
38. BVerfG, 1 BvR 1611/96 vom 9. Oktober 2002, Leitsätze 1 und 2, sowie Absätze/Randnummern 19–21.
39. 1 ABR 21/03 Beschluss vom 29. Juni 2004
40. 1 ABR 16/07 Beschluss vom 26. August 2008
41. 2 BAG-Urtei vom 27. März 2003
42. Der Lidl-Skandal. (Memento vom 29. März 2008 im Internet Archive) Berichterstattung bei www.stern.de
43. Lidl-Stellungnahme vom März 2008. (Memento des Originals vom 30. März 2008 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.lidl.de
44. Pressemitteilung des Innenministeriums Baden-Württemberg vom 11. September 2008. PDF-Datei (Memento des Originals vom 5. März 2016 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.datenschutzzentrum.de

Bitte den Hinweis zu Rechtsthemen beachten!