Dr. iur. Matthias Lachenmann
Rz. 21
§ 26 BDSG füllt die Abwägung der Interessen der Rechte der Beschäftigten und Verantwortlichen aus und stellt die maßgebliche Norm zum Beschäftigtendatenschutz im deutschen Recht dar. Die Norm gibt die Grundsätze wieder, die die arbeitsgerichtliche Rechtsprechung in den letzten Jahren entwickelt hatte, zuvor kodifiziert in § 32 BDSG a.F. Das Erforderlichkeitsmerkmal des § 26 Abs. 1 S. 1 BDSG ist auf den Maßstabsrahmen zu beziehen, der der DSGVO zugrunde liegt. Denn die Mitgliedsstaaten können keine eigenständigen nationalen Erlaubnistatbestände neben denen der DSGVO schaffen.
Rz. 22
Diverse Einschränkungen der Betroffenenrechte, die sich aus der durch den BAG entwickelten Rechtsprechung ergeben, bspw. zur heimlichen Mitarbeiterüberwachung in strengen Einzelfällen, können als europarechtlich zulässig eingestuft werden, da die strengen Vorgaben des BAG die abstrakten Vorgaben der Interessenabwägung nach Art. 6 Abs. 1 S. 1 Buchst. f, Art. 88 DSGVO einhalten. So geht das BAG undifferenziert davon aus, dass § 26 BDSG weiterhin neben der DSGVO Anwendung finde, da sich die Norm im Rahmen des Art. 88 DSGVO bewege und § 26 Abs. 1 S. 1 BDSG – (nur) unter Hinzuziehung von § 26 Abs. 5 BDSG – europarechtlich zulässig sei. Demgegenüber legte das BAG die Reichweite des Kündigungsschutzes des Datenschutzbeauftragten, also vom Verhältnis zwischen Art. 37 f. DSGVO zu §§ 6, 38 BDSG, dem EuGH vor. Selbst wenn davon ausgegangen werden kann, dass die bisherige Rechtsprechung des BAG zu § 32 Abs. 1 S. 1 BDSG a.F. grundsätzlich direkt übernommen werden kann, sollte jeweils im Einzelfall geprüft werden, ob die Abwägungsmaßstäbe der DSGVO eingehalten wurden. Dies wird vielfach der Fall sein, da ausgewogene und beschäftigtenfreundliche Vorgaben gemacht worden waren, die zudem meist auf die Vorgaben der DSRL rekurrierten und so europäisches Recht bereits berücksichtigten.
Rz. 23
Zusätzlich zu den spezifischen Vorschriften zum Beschäftigtendatenschutz gelten die allgemeinen Datenschutzvorgaben der DSGVO. Arbeitgeber können sich daher nicht darauf beschränken, ihr bisheriges Verhalten unverändert fortzuführen. Sie müssen auch die ergänzenden Vorgaben der DSGVO berücksichtigen. So gelten bspw. die Transparenzverpflichtungen und Betroffenenrechte der Art. 12 ff. DSGVO auch im Beschäftigungsverhältnis. Auch bei Verarbeitung von Beschäftigtendaten müssen Datenschutz-Folgenabschätzungen nach Art. 35 f. DSGVO durchgeführt werden und muss die Berücksichtigung in den Verzeichnissen von Verarbeitungstätigkeiten (Art. 30 DSGVO) erfolgen, ebenso ist die Absicherung der Transfers von Beschäftigtendaten in Drittstaaten erforderlich. Das Recht des Beschäftigtendatenschutzes setzt sich damit einerseits durch die BAG-Vorgaben zur Zulässigkeit von Verarbeitungsvorgängen von Beschäftigtendaten, andererseits durch die allgemeinen Vorschriften der DSGVO mit einer Vielzahl formaler Pflichten zusammen. In dieser Gemengelage ist nachfolgend die Systematisierung der wichtigsten Grundlagen der Verarbeitung von Beschäftigtendaten vorzunehmen.