2. Datenschutz

Das Persönlichkeitsrecht umfasst auch den Schutz der eigenen personenbezogenen Daten. Dies gilt allgemein und auch im Arbeitsverhältnis. Seit dem 25.05.2018 ist die EU-DSGVO maßgeblich. Geregelt ist der Schutz der persönlichen Daten auch allgemein im Bundesdatenschutzgesetz (BDSG) und in den Landesdatenschutzrechten. Für das Arbeitsrecht gibt es zusätzlich Bestimmungen im BetrVG bez. des Datenschutzes der Arbeitnehmer.

Warum? Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz personenbezogener Daten

Infoseite: https://deinedatendeinerechte.de/

---

→ Konfliktpotential zwischen…

• Jeder sollte möglichst weitgehend kontrollieren können was mit den eigenen Daten geschieht.
  
  

und…

• Gleichzeitig sollen die Verwaltung (oder auch Dritte) mit den Daten einzelner Personen ohne deren Zustimmung (oder vielleicht sogar gegen deren Willen) arbeiten können.

---

Rechtsquellen:

• DSGVO: Datenschutzgrundverordnung
  
• BDSG: Bundesdatenschutzgesetz
  
• GeWO: Gewerbeordnung
  
• Betriebsvereinbarungen
  
• BetrVG: Betriebsverfassungsgesetz
  

Art 4 Nr. 1 DSGVO: Definition personenbezogener Daten
Art 5 DSGVO: Grundsätze
Art 28 (3) DSGVO: Vertrag über Auftragsverarbeitung (z.B. externes Lohnabrechnungsunternehmen)
§ 26 BDSG: Im Rahmen eines Arbeitsverhältnisses dürfen Arbeitgeber personenbezogene Arbeitnehmerdaten speichern

---

Rechte Arbeitnehmer:

• Art 13 DSGVO: Informationspflicht bezüglich Datenschutzbeauftragten + Zweck der Verarbeitung
  
• Art 15 DSGVO: Auskunftsrecht: Welche Daten werden verarbeitet? Warum? Wie lange?…
  
• Art 16 DSGVO: Berichtigungsrecht: Falsche Daten müssen berichtigt werden
  
• Art 17 DSGVO: Löschungsanspruch: nicht benötigte Daten müssen auf Verlangen gelöscht werden
  
• Art 20 DSGVO: Recht auf Datenübertragbarkeit

---

Weitere wichtige Regelungen:

• § 83 BetrVG: Jeder Arbeitnehmer darf seine Personalakte einsehen → Begleitung eines Betriebsratsmitglieds ist erlaubt
  
• § 38 BDSG: Beauftragter für den Datenschutz ab > 20 Arbeitnehmer
  
• § 87 (1) Nr. 6 BetrVG: Mitbestimmungsrechte Betriebsrat

---

Folgen: → erfolglose Bewerbungsunterlagen → zurückschicken und/oder löschen
→ Fotos von Arbeitnehmern dürfen nur mit schriftlicher Einwilligung im Internet veröffentlicht werden
→ Nach Beendigung von Arbeitsverhältnissen → Löschen von Mitarbeiterseiten
→ keine Kontrolle von als privat erkennbarer Kommunikation
→ keine Weitergabe von Personaldaten an Dritte
→ keine allgemeine Videoüberwachung erlaubt (Ausnahme, z.B. Kassenraum Bankfiliale; Überwachung Produktionsvorgang)
→ heimliche Überwachung ist nur bei der Aufklärung von Straftaten erlaubt

Übungsaufgaben

Übungsband - Übung 119

Personalakten dürfen nur personenbezogene Daten eines Beschäftigten enthalten, wenn dies für die Entscheidung über die Begründung des Beschäftigungsverhältnisses, während der Beschäftigung oder für dessen Beendigung erforderlich ist. Dies ergibt sich aus § 26 BDSG.

a) Beschreiben Sie was man unter personenbezogenen Daten versteht.

b) Welche der folgenden Daten darf ein Arbeitgeber speichern?

• Geschlecht
  
• Familienstand
  
• Gewerkschaftsmitglied
  
• Parteimitgliedschaft
  
• Ausbildung in Lehr- und anderen Berufen
  
• Fachschulausbildung
  
• Sprachkenntnisse
  
  

c) Welche Grundsätze sind bei der Verarbeitung personenbezogener Daten zu beachten?

Lösung - Übung 119

a) Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifzierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Onlinekennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, welche Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

b) Geschlecht, Familienstand, Ausbildung in Lehr- und anderen Berufen, Fachschulausbildung, Sprachkenntnisse

c) Nach Art. 5 Abs. 1 DSGVO gelten folgende Grundsätze:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität und Vertraulichkeit

Außerdem ist der Verantwortliche für die Einhaltung des Art. 5 Abs. 1 DSGVO verantwortlich und muss dessen Einhaltung nachweisen können (Rechenschaftspflicht) nach Art. 5 Abs. 2 DSGVO.

Übungsband - Übung 120

a) Wann muss ein Unternehmen einen Datenschutzbeauftragten bestellen?

b) Nennen Sie mindestens drei Aufgaben, die der Datenschutzbeauftragte zu erfüllen hat.

Lösung - Übung 120

a) Nach § 38 Abs. 1 BDSG muss ein Unternehmen einen Datenschutzbeauftragten benennen, wenn es i.d.R. mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.

b) Dem Datenschutzbeauftragten obliegen nach § 39 DSGVO zumindest folgende Aufgaben:

• Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten.
• Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
• Beratung - auf Anfrage - im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35
• Zusammenarbeit mit der Aufsichtsbehörde
• Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen

Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.

Übungsband - Übung 121

Wegen einer Alkoholabhängigkeit nimmt Arbeitnehmer Simon in Absprache mit der Power AG an verschiedenen Entziehungsmaßnahmen teil. Anschließend besucht er regelmäßig die betriebliche Suchtberatung und arbeitet in der Selbsthilfegruppe der Anonymen Alkoholiker. In verschiedenen Schreiben zwischen ihm un der Power AG sind diese Vorgänge sachlich dokumentiert. Herr Simon möchte nun wissen, ob er Einblick in seine Akte nehmen darf.

a) Hat Herr Simon ein Einsichtsrecht? Geben Sie die betreffende Rechtsnorm an.

b) Als Herr Simon um Einsicht in seine Personalakte bittet, muss er feststellen, dass die Dokumente bez. seiner Alkoholerkrankung standardmäßig in seiner Personalakte abgelegt sind. Dagegen wehrt sich Herr Simon und möchte, dass diese Dokumente aus seiner Akte herausgenommen und gesondert unter Verschluss genommen werden.

Hat Herr Simon diesen Anspruch?

Lösung- Übung 121

a) Ja, gemäß § 83 BetrVG. Danach kann der Arbeitnehmer ohne besonderen Anlass in die über ihn geführten Personalakten Einsicht nehmen und ein Betriebsratsmitglied hinzuziehen.

b) Herr Simon kann verlangen, dass seine Gesundheitsdaten gesondert unter Verschluss genommen werden:
Gesundheitsdaten zählen nach Art. 9 Abs. 1 DSGVO zu den besonderen Kategorien personenbezogener Daten.

Nach § 26 Abs. 3 BDSG ist die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.

Nach § 22 Abs. 2 BDSG sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen.

Daher muss der Arbeitgeber solche Daten vor einer zufälligen Kenntnisnahme schützen, indem sie etwa in einem verschlossenen Umschlag in der Personalakte zur Akte genommen werden, damit sie ein Personalsachbearbeiter nicht zufällig lesen kann.

Übungsband - Übung 122

Die Logistik AG betreibt ein Briefverteilzentrum. In dem Verteilzentrum wird überwiegend mit Handsortierung gearbeitet. In den vergangenen zehn Monaten meldeten 250 Kunden Verluste von Briefsendungen. In der Vergangenheit hatte der Betriebsrat zweimal anlässlich konkreter Verdachtsmomente gegen einzelne Arbeitnehmer der vorübergehenden Installierung einer verdeckten Videokamera zugestimmt. Nun möchte die Logistik AG eine stationäre Videoüberwachungsanlage einrichten. Voraussetzung für den Betrieb der Videoanlage im Aufzeichungsmodus während der Betriebszeiten soll ein auf konkrete Personen bezogener Verdacht sein, dass Sendungen beschädigt oder gestohlen werden. Zudem soll nur in den Bereichen des Verteilzentrums überwacht werden, auf die sich der Verdacht bezieht. Dagegen wendet sich der Betriebsrat u.a. mit dem Hinweis auf die Persönlichkeitsrechte der überwachten Arbeitnehmer.

Ist die stationäre Videoüberwachung zulässig?

Lösung - Übung 122

Der Arbeitgeber muss die Verarbeitung personenbezogener Daten auf eine Rechtsgrundlage stützen können. Nach § 26 Abs. 1 Satz 2 BDSG dürfen zur Aufdeckung von Straftaten personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.

Durch die vorgesehene Videoüberwachung wird erheblich in die allgemeinen Persönlichkeitsrechte der Arbeitnehmer eingegriffen. Zwar ist die Videoüberwachung vom Vorliegen eines konkreten Verdachts abhängig und räumlich und zeitlich beschränkt. Trotzdem müssen die Arbeitnehmer, für die der jeweilige Betrieb der Videoanlage nicht erkennbar ist, immer damit rechnen, dass gerade eine Situation vorliegt, in der sie gefilmt werden.

Andererseits hat die Logistik AG ein berechtigtes Interesse daran, dass die von ihr beförderten Briefsendungen möglichst nicht abhanden kommen, beschädigt oder gestohlen werden. Zudem ist sie gegenüber ihren Kunden zur Wahrung des Postgeheimnisses verpflichtet. Außerdem hat sie ein berechtigtes Interesse an der Aufklärung und der Verhinderung von weiteren Diebstählen in ihrem Verteilzentrum.

Daher ist die geplante Videoüberwachung letztendlich zulässig.

Übungsband - Übung 123

Arbeitnehmer Adam ist seit Jahren bei der Power AG beschäftigt. Im Zusammenhang mit der Freigabe eines Netzwerks teilte die Power AG im Oktober 2018 mit, dass der gesamte “Internet-Traffic” und die Benutzung ihrer Systeme “mitgeloggt” werde. Sie installierte auf dem Dienst-PC von Herrn Adam eine Software, die sämtliche Tastatureingaben protokolliert und regelmäßig Screenshots fertigt. Die Power AG hatte keinen Verdacht gegenüber Herrn Adam, dass er bei der Nutzung des Netzwerks eine Straftat begehe oder schwerwiegend gegen seine Arbeitnehmerpflichten verstoße.

Ist der Einsatz eines solchen Software-Keyloggers zulässig?

Lösung - Übung 123

Nach einem Urteil des BAG von 27.07.2017 (2 AZR 681/16) ist der Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, nach § 26 Abs. 1 BDSG unzulässig, wenn keine auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. Weil die Power AG beim Einsatz der Software gegenüber dem Arbeitnehmer Adam keinen auf Tatsachen beruhenden Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung hatte, war die von ihr “ins Blaue hinein” veranlasste Überwachung mit dem Software-Keylogger unzulässig.

Übungsband - Übung 124

Dass ein Arbeitnehmer während seiner Arbeitszeit tatsächlich arbeitet und keine privaten Angelegenheiten erledigt, ist selbstverständlich. Fraglich ist, inwieweit dies der Arbeitgeber kontrollieren darf. Die Power AG modernisiert sämtliche Telefonanlagen. Mit der neuen Anlage können folgende Daten erfasst werden: Datum und Uhrzeit eines Gesprächs, Dauer des Gesprächs und die Nummer des Angerufenen.

a) Ist die Verarbeitung dieser Daten durch den Arbeitgeber zulässig? Begründen Sie Ihre Antwort.

b) Darf die Power AG Privatgespräche mithören? Begründen Sie ihre Antwort.

c) Muss die Power AG vor der Installation der neuen Anlage Beteiligungsrechte des Betriebsrats beachten? Wenn ja, welche?

Lösung - Übung 124

a) Ja, diese Art der Kontrolle des Telefonverhaltens der Arbeitnehmer ist nach dem BDSG zulässig. Eine Zustimmung des Arbeitnehmers ist nicht erforderlich.

b) Nein, weil ein unzulässiger Eingriff in die Privatsphäre gegeben wäre.

c) Ja, der Betriebsrat hat ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG, da die neue Telefonanlage als technische Kontrolleinrichtung zur Überwachung von Mitarbeitern geeignet ist.