Kurzpapier Nr. 14: Beschäftigtendatenschutz
Dieses Kurzpapier der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DS-GVO) im praktischen Vollzug angewendet werden sollte. Diese Auffassung steht unter dem Vorbehalt einer zukünftigen - möglicherweise abweichenden - Auslegung des Europäischen Datenschutzausschusses.
Aktuelles Recht
Ein umfassendes Beschäftigtendatenschutzrecht gibt es derzeit nicht. Die DS-GVO enthält keine konkreten, bereichsspezifischen Regelungen. Vielmehr
richtet sich der Beschäftigtendatenschutz zunächst nach den allgemeinen Regelungen der DS-GVO, die für jedes Rechtsverhältnis gelten. Allerdings enthält Artikel 88 Absatz 1 DS-GVO für den Beschäftigtendatenschutz eine sogenannte Öffnungsklausel. Sie ermöglicht den Mitgliedstaaten spezifischere Vorschriften für die Verarbeitung personenbezogener Daten im Beschäftigtenkontext zu erlassen, die den inhaltlichen Anforderungen des Artikels 88 Absatz 2
DS-GVO entsprechen müssen.
Der deutsche Gesetzgeber hat auf Bundesebene von dieser Öffnungsklausel durch Erlass des § 26 Bundesdatenschutzgesetz (BDSG) Gebrauch gemacht. Für
Beschäftigte bei Behörden und sonstigen öffentlichen Stellen des Bundes und der Länder – einschließlich der Kommunen – gelten besondere bundes- und
landesspezifische Regelungen (zum Beispiel beamtenrechtliche Vorschriften).
Inhalt § 26 BDSG
I) Datenverarbeitung zum Zweck des Beschäftigtenverhältnisses
1.) Grundsatz, § 26 Absatz 1 Satz 1, 1. Halbsatz BDSG
Nach § 26 Absatz 1 Satz 1 BDSG dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, soweit dies insbesondere für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.
2.) Kollektivvereinbarungen, § 26 Absatz 1 Satz 1 und Absatz 4 BDSG
In § 26 Absatz 1 Satz 1 und Absatz 4 BDSG ist ausdrücklich geregelt, dass die Verarbeitung von Beschäftigtendaten auch auf der Grundlage von Kollektivvereinbarungen zulässig ist. Dazu gehören Tarifverträge sowie Betriebs- und Dienstvereinbarungen (vergleiche Erwägungsgrund 155 zur DS-GVO). Die
Verhandlungspartner haben die inhaltlichen Vorgaben des Artikels 88 Absatz 2 DS-GVO zu beachten.
Demnach sind geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person zu ergreifen. Diese Vorgaben stellen sicher, dass Kollektivvereinbarungen nicht das Schutzniveau der DS-GVO absenken.
Beschäftigtendaten dürfen auch verarbeitet werden, soweit es für die Rechte und Pflichten der Interessenvertretungen der Beschäftigten erforderlich ist; unabhängig davon, ob sich diese aus einem Gesetz, Tarifvertrag beziehungsweise einer Betriebs- oder Dienstvereinbarung ergeben (§ 26 Absatz 1 Satz 1, 2. Halbsatz BDSG).
3.) Einwilligung
Im Beschäftigungsverhältnis kommt eine wirksame Einwilligung regelmäßig nicht in Betracht. Nur ausnahmsweise können Beschäftigte in die Verarbeitung ihrer personenbezogenen Daten durch ihre Arbeitgeber einwilligen. Rechtswirksam ist diese Einwilligung nur, wenn sie freiwillig erteilt wird (vgl. Artikel 7 DS-GVO in Verbindung mit Erwägungsrund 43). Wegen des zwischen den Arbeitgebern und den Beschäftigten bestehenden Über-/Unterordnungsverhältnisses steht jedoch regelmäßig in Frage, ob Beschäftigte gegenüber ihrem Arbeitgeber oder ihrer Arbeitgeberin tatsächlich freiwillig ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten erteilen. Die Freiwilligkeit dürfte bereits entfallen, wenn sich die betroffenen Person im Beschäftigungsverhältnis beeinflusst, gedrängt, bestimmt oder gezwungen sieht, ohne dass es einer Zwangsausübung bedarf.
§ 26 Absatz 2 BDSG nennt Kriterien, wann unter anderem von der Freiwilligkeit einer durch einen Beschäftigten erteilten Einwilligung ausgegangen werden kann: Wenn der Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erhält oder wenn Arbeitgeber oder Arbeitgeberin und Beschäftigte gleichgelagerte Interessen verfolgen.
Im Hinblick auf diese gesetzlichen Regelvermutungen kommt aufgrund des Über-/Unterordnungsverhältnisses eine Datenverarbeitung mittels einer Einwilligung nur ausnahmsweise zum Tragen. Dieses wird in der Praxis überwiegend in Konstellationen möglich sein, die nicht das Arbeitsverhältnis als solches, sondern Zusatzleistungen des Arbeitgebers oder der Arbeitgeberin betreffen (wie zum Beispiel bei der Gestattung privater Nutzung dienstlicher Fahrzeuge, Telefone und EDV-Geräte; Einführung eines betrieblichen Gesundheitsmanagements zur Gesundheitsförderung; Aufnahme in Geburtstagslisten).
Die Einwilligung hat nach § 26 Absatz 2 Satz 3 BDSG grundsätzlich in schriftlicher oder elektronischer Form zu erfolgen, um die informationelle Selbstbestimmung der betroffenen Beschäftigten abzusichern. Damit wird zugleich die Nachweispflicht des Arbeitgebers oder der Arbeitgeberin im Sinne des Artikels 7 Absatz 1 DS-GVO konkretisiert. Hinzu kommen die Pflicht des Arbeitgebers oder der Arbeitgeberin zur Aufklärung in Textform über den Zweck der Datenverarbeitung und der jederzeit mögliche Widerruf durch die Beschäftigten sowie die damit verbundenen Folgen nach Artikel 7 Absatz 3 DS-GVO.
Im Bereich öffentlicher Stellen wird die Einwilligung im Dienst- oder Arbeitsverhältnis entsprechend nur unter engen Voraussetzungen in Betracht kommen, insbesondere wenn eine auf eine Einwilligung gestützte Datenverarbeitung explizit in den jeweiligen Landesgesetzen vorgesehen ist.
II) Zur Aufdeckung von Straftaten
Nach § 26 Absatz 1 Satz 2 BDSG dürfen Daten zur Aufdeckung von Straftaten verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat. Verarbeitungen zur Verdachtserforschung sind daher grundsätzlich nicht zulässig.
Die Verarbeitung muss zur Aufdeckung erforderlich sein und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung darf nicht überwiegen. Insbesondere dürfen Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sein.
Die Verarbeitung darf erst erfolgen, nachdem die Anhaltspunkte vorliegen. Die vorsorgliche Verarbeitung „auf Vorrat“ ist daher unzulässig. Arbeitgeber oder Arbeitgeberinnen dürfen Daten also nicht für den Fall erheben, dass später eine Straftat im Beschäftigtenverhältnis begangen werden könnte. Zudem müssen sich die Maßnahmen gegen bestimmte verdächtigte Beschäftigte richten, nicht gegen größere Gruppen von Beschäftigten.
III) Besondere Kategorien personenbezogener Daten
Die Verarbeitung besonderer Kategorien personenbezogener Daten (siehe Artikel 9 Absatz 1 DS-GVO) ist im Beschäftigtenkontext unter anderem unter den Voraussetzungen des § 26 Absatz 3 Satz 1 BDSG möglich. Gemäß § 26 Absatz 3 Satz 2 in Verbindung Beschäftigtendatenschutz Stand: 24.09.2020 Seite 3 mit § 26 Absatz 2 BDSG kann sich auch eine wirksame Einwilligung auf diese Datenkategorien erstrecken, sofern sich die Einwilligung ausdrücklich auf diese Daten bezogen hat.
Nach § 26 Absatz 3 Satz 3 BDSG hat der Verantwortliche zudem § 22 Absatz 2 BDSG zu beachten und angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen (siehe beispielhafte Auflistung technischer und organisatorischer Maßnahmen in § 22 Absatz 2 Satz 2 BDSG).
Gemäß § 26 Absatz 4 BDSG können auch Kollektivvereinbarungen Rechtsgrundlagen für die Verarbeitung besonderer Kategorien personenbezogener Daten darstellen. Dabei haben die Verhandlungspartner – wie oben dargelegt – die inhaltlichen Vorgaben des Artikel 88 Absatz 2 DS-GVO zu beachten.
§ 26 Absatz 5 BDSG enthält einen Verweis auf Artikel 5 Absatz 1 DS-GVO (Verarbeitungsgrundsätze). Es wird besonders hervorgehoben, dass bei der Verarbeitung von Beschäftigtendaten vom Verantwortlichen geeignete Maßnahmen zur Einhaltung der Verarbeitungsgrundsätze zu ergreifen sind. Damit wird insbesondere das Erfordernis der rechtmäßigen Verarbeitung ebenso betont, wie die Sicherung vor unbefugter beziehungsweise unrechtmäßiger Verarbeitung und die Begrenzung der Speicherung auf das erforderliche Maß.
IV) Verarbeitung außerhalb von Dateisystemen
Gemäß § 26 Absatz 7 BDSG gilt der gesamte § 26 BDSG auch für solche Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Damit ist der Anwendungsbereich des § 26 BDSG weiter gefasst, als der Anwendungsbereich der DSGVO.
Auf das Vorhandensein einer zumindest strukturierten Sammlung von Daten (Dateisystem) im Sinne des Artikels 4 Nummer 6 DS-GVO kommt es daher nicht an. Somit unterfallen alle Formen der Verarbeitung von personenbezogenen Daten im Beschäftigungsverhältnis – papiergebundene sowie mündliche Formen, aber auch rein tatsächliche Handlungen – den datenschutzrechtlichen Bestimmungen (vergleiche zum Beispiel Urteil des Bundesarbeitsgerichts vom 20.06.2013, Aktenzeichen 2 AZR 546/12). Dies können zum Beispiel handschriftliche Notizen des Arbeitgebers oder der Arbeitgeberin über Beschäftigte sein.
V) Definition „Beschäftigte“
§ 26 Absatz 8 BDSG enthält die Definition des Begriffs „Beschäftigte“. Darin wird klargestellt, dass die Beschäftigteneigenschaft von Leiharbeitnehmern
und Leiharbeitnehmerinnen auch im Verhältnis zum Entleiher – also nicht nur zum Verleiher – vorliegt.
Anwendbarkeit der DS-GVO im Übrigen
I) Allgemein
Die Reichweite des § 26 BDSG oder landesrechtlicher Regelungen und damit die verbleibende Anwendbarkeit der DS-GVO im Beschäftigtenkontext ist im jeweiligen Einzelfall zu prüfen. Hierbei ist auch der Sinn und Zweck des Artikels 88 DS-GVO in Verbindung mit den jeweiligen Rechtsvorschriften zu berücksichtigen.
II) Zweckänderung
Im Beschäftigtenkontext erfolgt – von Einzelfällen auf Basis einer freiwilligen Einwilligung abgesehen – die Verarbeitung von Daten überwiegend auf Grundlage gesetzlicher Regelungen. Zudem erfolgt die Verarbeitung im Rahmen eines Über-/ Unterordnungsverhältnisses. Sowohl die Bewertung der Kriterien des Artikels 6 Absatz 4 DS-GVO als auch die Interessenabwägung nach Artikel 6 Absatz 1 Buchstabe f DSGVO wird daher grundsätzlich zu dem Ergebnis kommen müssen, dass auch für neue Verwendungszwecke noch ein innerer Zusammenhang zum Beschäftigtenverhältnis im weitesten Sinne bestehen muss. Eine Verwendung zu gänzlich anderen Zwecken (zum Beispiel Verkauf an Dritte zu Werbezwecken) wird demnach ausgeschlossen sein; ein solcher Zweck ist mit dem ursprünglichen unvereinbar beziehungsweise es überwiegen in solchen Konstellationen die Interessen, Grundrechte und Grundfreiheiten der Betroffenen. Im Übrigen sind in diesem Zusammenhang auch § 23 („Verarbeitung zu anderen Zwecken durch öffentliche Stellen“) und § 24 BDSG („Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen“) sowie landesrechtliche Regelungen zu beachten.
III) Rechtsfolgen bei Verstoß
Ein Verstoß gegen die Pflichten des § 26 BDSG ist gemäß Artikel 83 Absatz 5 Buchstabe d DS-GVO mit einem Bußgeldrahmen von bis zu 20 Millionen EUR
(beziehungsweise 4 % des weltweiten Jahresumsatzes) sanktioniert. Strafrechtliche Regelungen enthält § 42 BDSG.
Für den öffentlichen Bereich gelten besondere Regelungen.
Ausblick
Der Gesetzgeber hat sich vorbehalten, konkretere Vorschriften zum Beschäftigtendatenschutz zu erlassen. Ein solches Beschäftigtendatenschutzgesetz
könnte unter anderem das Fragerecht bei der Einstellung von Bewerberinnen und Bewerbern, die Problematik eines Pre-Employment-Screenings, die
Grenzen zulässiger Kontrollen von Beschäftigten, die Begrenzung von Lokalisierungen (GPS) und die Verwendung biometrischer Authentifizierungs- und Autorisierungssysteme oder die Nutzung künstlicher Intelligenz zum Gegenstand haben.
Anmerkung zur Nutzung dieses Kurzpapiers:
Dieses Kurzpapier darf – ohne Rückfrage bei einer Aufsichtsbehörde – kommerziell und nicht kommerziell genutzt, insbesondere vervielfältigt, ausgedruckt, präsentiert, verändert, bearbeitet sowie an Dritte übermittelt oder auch mit eigenen Daten und Daten Anderer zusammengeführt und zu selbständigen neuen Datensätzen verbunden werden, wenn der folgende Quellenvermerk angebracht wird:
„Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz). Datenlizenz Deutschland – Namensnennung – Version 2.0 (www.govdata.de/dl-de/by-2-0)".