Datenschutz / 3.1 Allgemeines

Die Bestimmungen des BDSG über die Anforderungen an eine zulässige Datenverarbeitung konkretisieren und aktualisieren den Schutz des Rechts auf informationelle Selbstbestimmung.[1]

Rechtsgrundlagen DSGVO und BDSG

Das Bundesdatenschutzgesetz wurde zum 25.5.2018 sowie zum 26.11.2019[2] den Vorgaben der DSGVO entsprechend novelliert.[3] Das BDSG regelt in erster Linie die automatisierte Datenverarbeitung. Nach § 1 Abs. 1 BDSG findet das Gesetz Anwendung auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch öffentliche Stellen – dazu zählen die öffentlichen Arbeitgeber – und durch nichtöffentliche Stellen wie den privaten Arbeitgeber[4], soweit sie die Daten in oder aus Dateien geschäftsmäßig oder für berufliche oder gewerbliche Zwecke verarbeiten oder nutzen. Verpflichtet nach dem BDSG ist jeder "Verantwortliche" (vgl. Art. 4 Nr. 7 1. Halbsatz DSGVO) – darunter ist jede "natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet". Im Arbeitsverhältnis gehören dazu dritte Dienstleister des Arbeitgebers, aber auch Betriebsräte etc., die Zugriff und Umgang mit Arbeitnehmerdaten haben.

Für nicht automatisierte Dateien gilt das BDSG nur eingeschränkt.[5] Allerdings greift die Ausnahme rein persönlicher oder familiärer Datenverarbeitung im Zusammenhang mit dem Arbeitsverhältnis nicht. Aufgrund der Vorgaben der DSGVO änderte sich im BDSG die Terminologie: die DSGVO versteht unter Datenverarbeitung als Oberbegriff sämtliche Formen des Umgangs mit Daten anderer. Dies wurde vom BDSG in seiner aktuellen Neufassung übernommen. Die einzelnen Erscheinungsformen wie Datenerhebung, -speicherung oder -verarbeitung im bisherigen Sinne fallen sämtlich unter diesen Begriff und bestimmen demzufolge den Anwendungsbereich der neuen arbeitsrechtlichen Spezialregelung des § 26 BDSG.[6] Das Gesetz verpflichtet den Arbeitgeber nicht mehr ausdrücklich zur Datenvermeidung und Datensparsamkeit (vgl. dazu den früheren § 3a BDSG a. F.). An ihre Stelle ist der Grundsatz der "Datenminimierung" in der DSGVO getreten.[7] Der Begriff geht deutlich weiter.

Da das BDSG somit der Umsetzung des EU-Rechts dient, ist die diesbezügliche Rechtsprechung des EuGH zu berücksichtigen. Danach gilt das EU-Datenschutzrecht für die ganz, teilweise oder nicht automatisierte Verarbeitung personenbezogener Daten, die in einer Datei gespeichert sind oder gespeichert werden sollen. Als eine solche Datei mit personenbezogenen Daten gilt jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, gleichgültig, ob diese Sammlung zentral, dezentralisiert oder nach funktionalen oder geografischen Gesichtspunkten aufgeteilt geführt wird.[8]

Gesetzliche Grundlage oder schriftliche Einwilligung erforderlich

Jegliche Form der Datenverarbeitung im Sinne des BDSG erfordert eine allgemeine oder spezielle verfassungsgemäße gesetzliche Grundlage oder die nach ausreichender Information (Zweck und beabsichtigter Umfang der Datenverarbeitung) und auf freier Entscheidung beruhende Einwilligung der Betroffenen.[9] Die wichtigste spezialgesetzliche Grundlage ist § 26 Abs. 1 BDSG, danach ist eine Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses unter den dort genannten Umständen und unter Beachtung der DSGVO erlaubt. Die Einwilligung nach § 26 Abs. 2 BDSG als weiterer, von § 26 Abs. 1 BDSG zu unterscheidender Erlaubnistatbestand im Rahmen eines Beschäftigungsverhältnisses kann in Schriftform oder elektronisch (praktisch insbesondere per E-Mail) erfolgen.[10] Ausnahmen zu diesen Formerfordernissen sind nur dann zulässig, wenn aufgrund besonderer Umstände darauf verzichtet werden kann – welche dies sein könnten, ist derzeit schwer zu beurteilen. In Betracht kommen z. B. Beschäftigte im Auslandseinsatz, auf Montage oder mit einem Heimarbeitsplatz. Zusätzlich muss der Arbeitgeber den Beschäftigten über den Zweck der Datenverarbeitung und sein Widerrufsrecht in Textform unterrichten. Insoweit genügt z. B. ein standardisiertes Merkblatt. Eine Nebenpflicht des Arbeitnehmers aus dem Arbeitsverhältnis, der Erhebung, Verarbeitung und Veröffentlichung seiner Daten – soweit erforderlich[11] – zuzustimmen, besteht nicht. Die Einwilligung kann vom Betroffenen jederzeit widerrufen werden. Dieses Widerrufsrecht folgt unmittelbar aus Art. 7 Abs. 3 DSGVO. Wird eine Einverständnisklausel im Arbeitsvertrag aufgenommen, ist sie optisch besonders herauszuheben.[12] Gemäß § 26 Abs. 2 i. V. m. § 51 Abs. 2 BDSG muss das Ersuchen einer Einwilligung formal und inhaltlich eindeutig erkennbar und verständlich gefasst sein. Endet das Arbeitsverhältnis, erlischt eine darauf bezogene Einwilligung nicht automatisch. Der Arbeitnehmer muss seine Einwilligung ausdrücklich widerrufen.[13]§ 26 Abs. 2 BDSG enthält eine auf Art. 6, 7 und 88 DSGVO beruhende, spezielle Regelung der Einwilligung des Beschäftigten.[14] Die schrif...

Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr? Dann testen Sie hier live & unverbindlich Haufe Personal Office Platin 30 Minuten lang und lesen Sie den gesamten Inhalt.


Meistgelesene beiträge