Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

Aktuelles Recht

Ein umfassendes Beschäftigten­datenschutzrecht gibt es derzeit nicht. Die DS-GVO enthält keine konkreten, bereichsspezifischen Regelungen. Vielmehr
richtet sich der Beschäftigten­datenschutz zunächst nach den allgemeinen Regelungen der DS-GVO, die für jedes Rechtsverhältnis gelten. Allerdings enthält Artikel 88 Absatz 1 DS-GVO für den Beschäftigten­datenschutz eine sogenannte Öffnungsklausel. Sie ermöglicht den Mitgliedstaaten spezifischere Vorschriften für die Verarbeitung personenbezogener Daten im Beschäftigten­kontext zu erlassen, die den inhaltlichen Anforderungen des Artikels 88 Absatz 2
DS-GVO entsprechen müssen.
Der deutsche Gesetzgeber hat auf Bundesebene von dieser Öffnungsklausel durch Erlass des § 26 Bundesdatenschutzgesetz (BDSG) Gebrauch gemacht. Für
Beschäftigte bei Behörden und sonstigen öffentlichen Stellen des Bundes und der Länder – einschließlich der Kommunen – gelten besondere bundes- und
landesspezifische Regelungen (zum Beispiel beamtenrechtliche Vorschriften).

Inhalt § 26 BDSG

I) Datenverarbeitung zum Zweck des Beschäftigten­verhältnisses

1.) Grundsatz, § 26 Absatz 1 Satz 1, 1. Halbsatz BDSG

Nach § 26 Absatz 1 Satz 1 BDSG dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, soweit dies insbesondere für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

2.) Kollektivvereinbarungen, § 26 Absatz 1 Satz 1 und Absatz 4 BDSG

In § 26 Absatz 1 Satz 1 und Absatz 4 BDSG ist ausdrücklich geregelt, dass die Verarbeitung von Beschäftigten­daten auch auf der Grundlage von Kollektivvereinbarungen zulässig ist. Dazu gehören Tarifverträge sowie Betriebs- und Dienstvereinbarungen (vergleiche Erwägungsgrund 155 zur DS-GVO). Die
Verhandlungspartner haben die inhaltlichen Vorgaben des Artikels 88 Absatz 2 DS-GVO zu beachten.
Demnach sind geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person zu ergreifen. Diese Vorgaben stellen sicher, dass Kollektivvereinbarungen nicht das Schutzniveau der DS-GVO absenken.

Beschäftigten­daten dürfen auch verarbeitet werden, soweit es für die Rechte und Pflichten der Interessenvertretungen der Beschäftigten erforderlich ist; unabhängig davon, ob sich diese aus einem Gesetz, Tarifvertrag beziehungsweise einer Betriebs- oder Dienstvereinbarung ergeben (§ 26 Absatz 1 Satz 1, 2. Halbsatz BDSG).

3.) Einwilligung

Im Beschäftigungsverhältnis kommt eine wirksame Einwilligung regelmäßig nicht in Betracht. Nur ausnahmsweise können Beschäftigte in die Verarbeitung ihrer personenbezogenen Daten durch ihre Arbeitgeber einwilligen. Rechtswirksam ist diese Einwilligung nur, wenn sie freiwillig erteilt wird (vgl. Artikel 7 DS-GVO in Verbindung mit Erwägungsrund 43). Wegen des zwischen den Arbeitgebern und den Beschäftigten bestehenden Über-/Unterordnungsverhältnisses steht jedoch regelmäßig in Frage, ob Beschäftigte gegenüber ihrem Arbeitgeber oder ihrer Arbeitgeberin tatsächlich freiwillig ihre Einwilligung zur Verarbeitung ihrer personenbezogenen Daten erteilen. Die Freiwilligkeit dürfte bereits entfallen, wenn sich die betroffenen Person im Beschäftigungsverhältnis beeinflusst, gedrängt, bestimmt oder gezwungen sieht, ohne dass es einer Zwangsausübung bedarf.

§ 26 Absatz 2 BDSG nennt Kriterien, wann unter anderem von der Freiwilligkeit einer durch einen Beschäftigten erteilten Einwilligung ausgegangen werden kann: Wenn der Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erhält oder wenn Arbeitgeber oder Arbeitgeberin und Beschäftigte gleichgelagerte Interessen verfolgen.

Im Hinblick auf diese gesetzlichen Regelvermutungen kommt aufgrund des Über-/Unterordnungsverhältnisses eine Datenverarbeitung mittels einer Einwilligung nur ausnahmsweise zum Tragen. Dieses wird in der Praxis überwiegend in Konstellationen möglich sein, die nicht das Arbeitsverhältnis als solches, sondern Zusatzleistungen des Arbeitgebers oder der Arbeitgeberin betreffen (wie zum Beispiel bei der Gestattung privater Nutzung dienstlicher Fahrzeuge, Telefone und EDV-Geräte; Einführung eines betrieblichen Gesundheits­managements zur Gesundheitsförderung; Aufnahme in Geburtstagslisten).

Die Einwilligung hat nach § 26 Absatz 2 Satz 3 BDSG grundsätzlich in schriftlicher oder elektronischer Form zu erfolgen, um die informationelle Selbstbestimmung der betroffenen Beschäftigten abzusichern. Damit wird zugleich die Nachweispflicht des Arbeitgebers oder der Arbeitgeberin im Sinne des Artikels 7 Absatz 1 DS-GVO konkretisiert. Hinzu kommen die Pflicht des Arbeitgebers oder der Arbeitgeberin zur Aufklärung in Textform über den Zweck der Datenverarbeitung und der jederzeit mögliche Widerruf durch die Beschäftigten sowie die damit verbundenen Folgen nach Artikel 7 Absatz 3 DS-GVO.

Im Bereich öffentlicher Stellen wird die Einwilligung im Dienst- oder Arbeitsverhältnis entsprechend nur unter engen Voraussetzungen in Betracht kommen, insbesondere wenn eine auf eine Einwilligung gestützte Datenverarbeitung explizit in den jeweiligen Landesgesetzen vorgesehen ist.

II) Zur Aufdeckung von Straftaten

Nach § 26 Absatz 1 Satz 2 BDSG dürfen Daten zur Aufdeckung von Straftaten verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat. Verarbeitungen zur Verdachtserforschung sind daher grundsätzlich nicht zulässig.

Die Verarbeitung muss zur Aufdeckung erforderlich sein und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung darf nicht überwiegen. Insbesondere dürfen Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sein.

Die Verarbeitung darf erst erfolgen, nachdem die Anhaltspunkte vorliegen. Die vorsorgliche Verarbeitung „auf Vorrat“ ist daher unzulässig. Arbeitgeber oder Arbeitgeberinnen dürfen Daten also nicht für den Fall erheben, dass später eine Straftat im Beschäftigten­verhältnis begangen werden könnte. Zudem müssen sich die Maßnahmen gegen bestimmte verdächtigte Beschäftigte richten, nicht gegen größere Gruppen von Beschäftigten.

III) Besondere Kategorien personenbezogener Daten

Die Verarbeitung besonderer Kategorien personenbezogener Daten (siehe Artikel 9 Absatz 1 DS-GVO) ist im Beschäftigten­kontext unter anderem unter den Voraussetzungen des § 26 Absatz 3 Satz 1 BDSG möglich. Gemäß § 26 Absatz 3 Satz 2 in Verbindung Beschäftigten­datenschutz Stand: 24.09.2020 Seite 3 mit § 26 Absatz 2 BDSG kann sich auch eine wirksame Einwilligung auf diese Datenkategorien erstrecken, sofern sich die Einwilligung ausdrücklich auf diese Daten bezogen hat.

Nach § 26 Absatz 3 Satz 3 BDSG hat der Verantwortliche zudem § 22 Absatz 2 BDSG zu beachten und angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen (siehe beispielhafte Auflistung technischer und organisatorischer Maßnahmen in § 22 Absatz 2 Satz 2 BDSG).

Gemäß § 26 Absatz 4 BDSG können auch Kollektivvereinbarungen Rechtsgrundlagen für die Verarbeitung besonderer Kategorien personenbezogener Daten darstellen. Dabei haben die Verhandlungspartner – wie oben dargelegt – die inhaltlichen Vorgaben des Artikel 88 Absatz 2 DS-GVO zu beachten.

§ 26 Absatz 5 BDSG enthält einen Verweis auf Artikel 5 Absatz 1 DS-GVO (Verarbeitungsgrundsätze). Es wird besonders hervorgehoben, dass bei der Verarbeitung von Beschäftigten­daten vom Verantwortlichen geeignete Maßnahmen zur Einhaltung der Verarbeitungsgrundsätze zu ergreifen sind. Damit wird insbesondere das Erfordernis der rechtmäßigen Verarbeitung ebenso betont, wie die Sicherung vor unbefugter beziehungsweise unrechtmäßiger Verarbeitung und die Begrenzung der Speicherung auf das erforderliche Maß.

IV) Verarbeitung außerhalb von Dateisystemen

Gemäß § 26 Absatz 7 BDSG gilt der gesamte § 26 BDSG auch für solche Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Damit ist der Anwendungsbereich des § 26 BDSG weiter gefasst, als der Anwendungsbereich der DSGVO.

Auf das Vorhandensein einer zumindest strukturierten Sammlung von Daten (Dateisystem) im Sinne des Artikels 4 Nummer 6 DS-GVO kommt es daher nicht an. Somit unterfallen alle Formen der Verarbeitung von personenbezogenen Daten im Beschäftigungsverhältnis – papiergebundene sowie mündliche Formen, aber auch rein tatsächliche Handlungen – den datenschutzrechtlichen Bestimmungen (vergleiche zum Beispiel Urteil des Bundesarbeitsgerichts vom 20.06.2013, Aktenzeichen 2 AZR 546/12). Dies können zum Beispiel handschriftliche Notizen des Arbeitgebers oder der Arbeitgeberin über Beschäftigte sein.

V) Definition „Beschäftigte“

§ 26 Absatz 8 BDSG enthält die Definition des Begriffs „Beschäftigte“. Darin wird klargestellt, dass die Beschäftigten­eigenschaft von Leiharbeitnehmern
und Leiharbeitnehmerinnen auch im Verhältnis zum Entleiher – also nicht nur zum Verleiher – vorliegt.

Anwendbarkeit der DS-GVO im Übrigen

I) Allgemein

Die Reichweite des § 26 BDSG oder landesrechtlicher Regelungen und damit die verbleibende Anwendbarkeit der DS-GVO im Beschäftigten­kontext ist im jeweiligen Einzelfall zu prüfen. Hierbei ist auch der Sinn und Zweck des Artikels 88 DS-GVO in Verbindung mit den jeweiligen Rechtsvorschriften zu berücksichtigen.

II) Zweckänderung

Im Beschäftigten­kontext erfolgt – von Einzelfällen auf Basis einer freiwilligen Einwilligung abgesehen – die Verarbeitung von Daten überwiegend auf Grundlage gesetzlicher Regelungen. Zudem erfolgt die Verarbeitung im Rahmen eines Über-/ Unterordnungsverhältnisses. Sowohl die Bewertung der Kriterien des Artikels 6 Absatz 4 DS-GVO als auch die Interessenabwägung nach Artikel 6 Absatz 1 Buchstabe f DSGVO wird daher grundsätzlich zu dem Ergebnis kommen müssen, dass auch für neue Verwendungszwecke noch ein innerer Zusammenhang zum Beschäftigten­verhältnis im weitesten Sinne bestehen muss. Eine Verwendung zu gänzlich anderen Zwecken (zum Beispiel Verkauf an Dritte zu Werbezwecken) wird demnach ausgeschlossen sein; ein solcher Zweck ist mit dem ursprünglichen unvereinbar beziehungsweise es überwiegen in solchen Konstellationen die Interessen, Grundrechte und Grundfreiheiten der Betroffenen. Im Übrigen sind in diesem Zusammenhang auch § 23 („Verarbeitung zu anderen Zwecken durch öffentliche Stellen“) und § 24 BDSG („Verarbeitung zu anderen Zwecken durch nichtöffentliche Stellen“) sowie landesrechtliche Regelungen zu beachten.

III) Rechtsfolgen bei Verstoß

Ein Verstoß gegen die Pflichten des § 26 BDSG ist gemäß Artikel 83 Absatz 5 Buchstabe d DS-GVO mit einem Bußgeldrahmen von bis zu 20 Millionen EUR
(beziehungsweise 4 % des weltweiten Jahresumsatzes) sanktioniert. Strafrechtliche Regelungen enthält § 42 BDSG.

Für den öffentlichen Bereich gelten besondere Regelungen.

Ausblick

Der Gesetzgeber hat sich vorbehalten, konkretere Vorschriften zum Beschäftigten­datenschutz zu erlassen. Ein solches Beschäftigten­datenschutzgesetz
könnte unter anderem das Fragerecht bei der Einstellung von Bewerberinnen und Bewerbern, die Problematik eines Pre-Employment-Screenings, die
Grenzen zulässiger Kontrollen von Beschäftigten, die Begrenzung von Lokalisierungen (GPS) und die Verwendung biometrischer Authentifizierungs- und Autorisierungssysteme oder die Nutzung künstlicher Intelligenz zum Gegenstand haben.