Datenschutz und neue Medien in der Personalabteilung / 1.2.3 Konkrete Zweckbindung von Beschäftigtendaten

Die Verarbeitung von Beschäftigtendaten ist grundsätzlich nur in einem engen Rahmen zulässig. Beschäftigtendaten dürfen in Einklang mit § 26 BDSG regelmäßig verarbeitet werden, wenn dies

• zur Begründung,
• Durchführung und
• Beendigung

des Beschäftigungsverhältnisses erforderlich ist. Der Begriff der "Erforderlichkeit" ist hierbei eng auszulegen. Nur, wenn die Verarbeitung unmittelbar in Zusammenhang mit der Begründung, Durchführung oder Beendigung steht, ist diese zulässig.

Zur Aufdeckung einer Straftat dürfen personenbezogene Daten über den verdächtigen Arbeitnehmer erst nach einer Interessenabwägung erhoben (verarbeitet oder genutzt) werden. Hierbei sind folgende Voraussetzungen zu beachten:

• Zu dokumentierende Anhaltspunkte für eine Straftat, begangen im Beschäftigungsverhältnis müssen vorliegen (wichtig: Präventive Maßnahmen sind hiervon nicht erfasst!).
• Die Daten müssen erforderlich sein für die Aufdeckung und
• im Rahmen einer Interessenabwägung ist zu entscheiden, ob nicht das (rechtmäßige) schutzwürdige Interesse des Betroffenen das Aufklärungsinteresse des Arbeitgebers überwiegt, mithin also ein unverhältnismäßig tiefer Eingriff in den Persönlichkeitsschutz des Beschäftigten vorliegt.

Nachfolgend einige Klarstellungen zum Begriff "Erforderlichkeit":

• Die Aufbewahrung von Bewerberunterlagen zum Abwarten der Klagefristen nach dem AGG für die Dauer von 6 Monaten ist zulässig und vom überwiegenden Interesse des Arbeitgebers.
• Die Recherche von Bewerberdaten in sozialen Netzwerken kann nach Art. 6 Abs. 1 Buchst. f DSGVO ggf. zulässig sein, sofern es sich um überwiegend berufliche Netzwerke (wie z. B. Xing oder LinkedIn) handelt. Werden durch die Recherche Daten erhoben, ist der Bewerber nach Art. 14 DSGVO über diese Erhebung zu informieren.
• Weiterhin ist die Erlaubnis zur Datennutzung beim Verdacht von Straftaten auf repressive Maßnahmen beschränkt. Was mit Datenerhebungen passieren darf, die der Vorbeugung und damit Verhinderung von Straftaten dienen, wie beispielsweise das Loggen von besuchten Internetseiten zur Missbrauchskontrolle oder präventiven Maßnahmen zur Korruptionsbekämpfung hat mittlerweile durch die Rechtsprechung einen gewissen Rahmen erfahren. Hier war insbesondere das schon erwähnte Urteil des BAG vom Juni 2013^[1] wegweisend.^[2] Die Anforderungen an die in § 26 BDSG geforderte Interessenabwägung, insbesondere im Rahmen der dort geforderten Erforderlichkeit der Maßnahme, sollten vom Arbeitgeber künftig genau dokumentiert werden. Dabei sollte die Dokumentation für ggf. gerichtliche Maßnahmen sowohl auf unternehmerische Schadens- wie auch Compliance-Aspekte abzielen. Dies betrifft etwa die gesetzliche Verpflichtung zur Durchführung von Aufsichtsmaßnahmen aus §§ 130, 30, 9 OWiG oder die möglichen Folgen des Bekanntwerdens von Gesetzesverstößen im Unternehmen, insbesondere auch Ansehens- und Rufschäden. Neben Straftaten wie Diebstählen kommen durch gesetzliche Aufsichtspflichten außerdem noch einige weitere mögliche Pflichtverletzungen mit Unternehmensbezug in Betracht, wie z. B. Korruptionsdelikte, Untreue, Verrat von Geschäftsgeheimnissen oder Kartellverstöße.^[3]

ungeklärt. Es spricht allerdings einiges für die Auffassung, dass das Verbot von Screenings nicht für präventive Maßnahmen gilt.

[1] BAG, Urteil v. 20.6.2013, 2 AZR 546/12.

[2] S. dazu Abschn. 2.

[3] Vgl. hierzu umfassend: Brink/Wybitul: Der "neue Datenschutz" des BAG – Vorgaben zum Umgang mit Beschäftigtendaten und Handlungsempfehlungen zur Umsetzung, ZD 2014 S. 225.