Datenschutz im Unternehmen

Zweck des Datenschutzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird. Was bedeutet das für die betriebliche Praxis?

Datenschutz meint auch das "Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (BVerfG, Beschluß vom 27.2.2008, 1 BvR 595/07). Diese Schutzbedürftigkeit ist besonders bei elektronischer Datenverarbeitung sehr wichtig.

Datenschutz im Unternehmen - rechtliche Grundlagen

Eine speziell datenschutzrechtliche Grundlage für das Arbeitsverhältnis existiert (noch) nicht, sodass die allgemeinen Vorschriften, insbesondere das Bundesdatenschutzgesetz (BDSG) anzuwenden sind. Allerdings enthalten einzelne Landesdatenschutzgesetze Sonderregelungen für Dienst- und Arbeitsverhältnisse. Datenschutzrechtliche Bestimmungen enthalten zudem das BetrVG und das PersVG.

Durch die Europäische Datenschutz-Grundverordnung (DSGVO) werden sämtliche nationalen Datenschutznormen verdrängt, soweit die DSGVO keine Abweichungen zulässt und Öffnungsklauseln enthält.

Eine solche Öffnungsklausel enthält die Verordnung in Art. 88 DSGVO, speziell für den Bereich des "Beschäftigungskontextes". Es gilt daher, sowohl die DSGVO als auch die speziellen nationalen Regelungen zu beachten.

Mehr zum Thema Datenschutz-Grundverordnung in den beiden Top-Themen:

DSGVO: Inkrafttreten und Umsetzung

Aufgaben und Funktion des Datenschutzbeauftragten nach der DSGVO

Datenschutz umsetzen im Unternehmen

Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist nur innerhalb der arbeitsvertraglichen Zwecksetzung zulässig. Die Reichweite dieses Zweckbezugs ist umstritten. Eine Reduzierung nur auf den gegenseitigen Leistungsaustausch erscheint im Hinblick auf die überragende Bedeutung des Schutzguts Persönlichkeitsrecht nicht vertretbar.

Richtigerweise wird – unter Zugrundelegung des Schutzzwecks – jegliche mit dem Arbeitsverhältnis in Verbindung stehende Datenverarbeitung erfasst. Der zeitliche Anwendungsbereich der Regelung ist ebenfalls umfassend. Insbesondere wird bereits das vorvertragliche Stadium erfasst. Die Daten können sich weiterhin auf die Durchführung sowie die Beendigung des Arbeitsverhältnisses beziehen.

Eine Übermittlung von arbeitnehmerbezogenen Daten unterliegt den gleichen Anforderungen. Die arbeitsvertragsbezogene Übermittlung ist bspw. gerechtfertigt bei der Weitergabe an überbetriebliche Sozialeinrichtungen, an andere Unternehmen im Konzernverbund, sofern das Arbeitsverhältnis Konzernbezug hat (Versetzungsbefugnis) oder bei Mitteilung an Banken zur bargeldlosen Lohnzahlung.

Die Datenerhebung kann präventiv oder repressiv erfolgen. Umfasst wird sowohl die automatisierte als auch die nicht automatisierte Datenverarbeitung.

Datenschutz am Arbeitsplatz - Grundlagen

§ 26 BDSG umfasst die allgemeinen Daten des Arbeitnehmers, wie Geschlecht, Alter, Ausbildung, betrieblicher Werdegang, auch Konfession, Gewerkschaftszugehörigkeit, Krankheiten, was problematisch sein kann. Insofern bedarf es der Abwägung im Einzelfall unter Berücksichtigung der jeweiligen Umstände des Arbeitsverhältnisses.

Zulässig ist die Verarbeitung von Krankheits- und Fehlzeitendaten, auch für Datenläufe, mit denen auf einzelne Arbeitnehmer bezogene Aussagen über krankheitsbedingte Fehlzeiten, attestfreie Fehlzeiten und unentschuldigte Fehlzeiten erarbeitet werden sollen. Besonders zu beachten sind die sensiblen Daten i. S. von Art. 9 DSGVO, § 22 BDSG, deren Erhebung und Verarbeitung besonderen Anforderungen unterliegen. Arbeitsrechtlich relevant sind hier insbesondere die Merkmale Gewerkschaftszugehörigkeit und Gesundheit, u. U. aber auch ethnische Herkunft, Religionszugehörigkeit und politische Meinungen.

In diesem Zusammenhang sind die Diskriminierungsverbote des AGG auch datenschutzrechtlich zu beachten. Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung dieser Daten als "besondere Kategorien personenbezogener Daten" grundsätzlich verboten. Dazu gehören nach Art. 9 Abs. 1 DSGVO auch genetische oder biometrische Daten. Ausnahmen sind nach Art. 9 Abs. 2 a) DSGVO aufgrund einer wirksamen Einwilligung und nach Art. 9 Abs. 2 b) DSGVO in bestimmten arbeitsrechtlichen Zusammenhängen möglich.

§ 26 Abs. 3 Satz 1 BDSG regelt darauf aufbauend den Bereich der sensiblen Daten. Ihre Verarbeitung ist zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und schutzwürdige Interesse der betroffenen Person der Verarbeitung nicht entgegenstehen. Die Grundsätze wirksamer Einwilligung sind hier ebenfalls zu beachten, insbesondere muss der Arbeitgeber sicherstellen, dass sich die Einwilligung ausdrücklich auf diese Daten bezieht.

Auf den Datenschutz verpflichtet und in den Verantwortungsbereich der DSGVO einbezogen wird neben dem Arbeitgeber auch jede dritte Stelle, derer sich ein Unternehmen zur Datenverarbeitung bedient, der sog. Auftragsverarbeiter (Art. 28 DSGVO). Für die Erteilung von Auftragsdatenverarbeitung durch den Arbeitgeber an Dritte gelten strenge Anforderungen, die sich im Detail gemäß Art. 28 DSGVO auf die Auswahl und Überwachung dieses Dienstleisters beziehen. Die Nichteinhaltung dieser Vorgaben stellt eine datenschutzrechtliche, aber auch arbeitsvertragliche Pflichtverletzung des Arbeitgebers dar.

Nach der DSGVO müssen alle Verarbeitungen von personenbezogenen Daten dokumentiert werden. Mit dem Haufe-Formular Verzeichnis von Verarbeitungstätigkeiten (Anforderung nach DSGVO) können Sie Ihre Verarbeitungstätigkeiten dokumentieren.

Datenschutz am Arbeitsplatz - Erforderlichkeitsprüfung

Die Datenverarbeitung im Arbeitsverhältnis ist gem. Art. 88 DSGVO, § 26 BDSG nur dann zulässig, wenn sie mit Bezug auf das Arbeitsverhältnis erforderlich ist. Der unbestimmte Rechtsbegriff der Erforderlichkeit ist auch bei der datenschutzrechtlichen Neuregelung in § 26 BDSG vom Gesetzgeber übernommen worden. Damit bleiben die damit verbundenen Konkretisierungsprobleme bestehen.

Im Kern wird es auch zukünftig um die Anwendung des Verhältnismäßigkeitsgrundsatzes und eine damit verbundene Interessenabwägung gehen. Zunächst setzt die Erforderlichkeit voraus, dass ein konkreter Bedarf für die Datenverarbeitung besteht. Zusätzlich müssen die zu verarbeitenden Daten aber auch einen ausreichenden – erforderlichen – Bezug zum Arbeitsverhältnis haben. Dieser Bezug kann nicht allgemein bestimmt werden, sondern hat sich wiederum an den konkreten Anforderungen des jeweiligen Arbeitsverhältnisses zu orientieren. Dem Arbeitgeber dürfen keine ebenso effektiven, den Arbeitnehmer weniger belastenden Möglichkeiten zur Zweckerreichung zur Verfügung stehen.

Schließlich ist eine Verhältnismäßigkeitsprüfung i. S. einer Abwägung zwischen dem Verarbeitungsinteresse des Arbeitgebers und der Eingriffstiefe in Bezug auf das Persönlichkeitsrecht des Arbeitnehmers vorzunehmen. Das BAG verlangt eine am Verhältnismäßigkeitsprinzip orientierte, die Interessen des Arbeitgebers und des Beschäftigten berücksichtigende Abwägung im Einzelfall.

An diesen Grundsätzen ändert die Neuregelung durch § 26 Abs. 1 Satz 1 BDSG nichts. Erweitert wird die Regelung insoweit, als nunmehr die Daten auch zur Erfüllung gesetzlicher oder kollektivvertraglicher Rechte und Pflichten der Interessenvertretung der Beschäftigten erhoben, verarbeitet und genutzt werden können. Diese Erweiterung orientiert sich an Art. 88 DSGVO. Allerdings spricht die DSGVO von gesetzlich oder kollektivvertraglich begründeten Rechten und Pflichten der Beschäftigten, während sich die Erweiterung in § 26 BDSG auf die Rechte und Pflichten der Interessenvertretung bezieht.

Zur Konkretisierung der Erforderlichkeit von § 26 Abs. 1 Satz 1 BDSG können die in Art. 88 DSGVO genannten Zwecke herangezogen werden. Dies sind ganz allgemein Management-, Planungs- und Organisationszwecke, Gleichheit und Diversität am Arbeitsplatz, der Sicherheits- und Gesundheitsschutz, der Eigentumsschutz des Arbeitgebers und der Kunden.

Datenschutzunterweisung Mitarbeiter

Im Alltag fallen an vielen Stellen Daten über jeden von uns an, ob beim Internetsurfen, beim Einkauf oder bei Behörden. Diese Haufe Präsentation Allgemeine Datenschutz-Sensibilisierung zeigt ohne trockene Paragrafen, warum Datenschutz wichtig ist, wie man die eigenen Daten schützen kann und kann dazu verwendet werden, das Bewusstsein zum Thema Datenschutz bei Mitarbeitern grundsätzlich zu schärfen.

Schlagworte zum Thema:  Datenschutz, Datenschutz-Grundverordnung