2. Datenschutz
Das Persönlichkeitsrecht umfasst auch den Schutz der eigenen personenbezogenen Daten. Dies gilt allgemein und auch im Arbeitsverhältnis. Seit dem 25.05.2018 ist die EU-DSGVO maßgeblich. Geregelt ist der Schutz der persönlichen Daten auch allgemein im Bundesdatenschutzgesetz (BDSG) und in den Landesdatenschutzrechten. Für das Arbeitsrecht gibt es zusätzlich Bestimmungen im BetrVG bez. des Datenschutzes der Arbeitnehmer.
Warum?
Schutz der Grundrechte und Grundfreiheiten natürlicher Personen, insbesondere deren Recht auf Schutz personenbezogener Daten
Infoseite: https://deinedatendeinerechte.de/
→ Konfliktpotential zwischen…
- Jeder sollte möglichst weitgehend kontrollieren können was mit den eigenen Daten geschieht.
und…
- Gleichzeitig sollen die Verwaltung (oder auch Dritte) mit den Daten einzelner Personen ohne deren Zustimmung (oder vielleicht sogar gegen deren Willen) arbeiten können.
Rechtsquellen:
- DSGVO: Datenschutzgrundverordnung
- BDSG: Bundesdatenschutzgesetz
- GeWO: Gewerbeordnung
- Betriebsvereinbarungen
- BetrVG: Betriebsverfassungsgesetz
Art 4 Nr. 1 DSGVO: Definition personenbezogener Daten
Art 5 DSGVO: Grundsätze
Art 28 (3) DSGVO: Vertrag über Auftragsverarbeitung (z.B. externes Lohnabrechnungsunternehmen)
§ 26 BDSG: Im Rahmen eines Arbeitsverhältnisses dürfen Arbeitgeber personenbezogene Arbeitnehmerdaten speichern
Rechte Arbeitnehmer:
- Art 13 DSGVO: Informationspflicht bezüglich Datenschutzbeauftragten + Zweck der Verarbeitung
- Art 15 DSGVO: Auskunftsrecht: Welche Daten werden verarbeitet? Warum? Wie lange?…
- Art 16 DSGVO: Berichtigungsrecht: Falsche Daten müssen berichtigt werden
- Art 17 DSGVO: Löschungsanspruch: nicht benötigte Daten müssen auf Verlangen gelöscht werden
- Art 20 DSGVO: Recht auf Datenübertragbarkeit
Weitere wichtige Regelungen:
- § 83 BetrVG: Jeder Arbeitnehmer darf seine Personalakte einsehen → Begleitung eines Betriebsratsmitglieds ist erlaubt
- § 38 BDSG: Beauftragter für den Datenschutz ab > 20 Arbeitnehmer
- § 87 (1) Nr. 6 BetrVG: Mitbestimmungsrechte Betriebsrat
Folgen:
→ erfolglose Bewerbungsunterlagen → zurückschicken und/oder löschen
→ Fotos von Arbeitnehmern dürfen nur mit schriftlicher Einwilligung im Internet veröffentlicht werden
→ Nach Beendigung von Arbeitsverhältnissen → Löschen von Mitarbeiterseiten
→ keine Kontrolle von als privat erkennbarer Kommunikation
→ keine Weitergabe von Personaldaten an Dritte
→ keine allgemeine Videoüberwachung erlaubt (Ausnahme, z.B. Kassenraum Bankfiliale; Überwachung Produktionsvorgang)
→ heimliche Überwachung ist nur bei der Aufklärung von Straftaten erlaubt
Bestellung eines Datenschutzbeauftragten (Hinweis zu Übung 120)
Ab wie vielen Mitarbeitern braucht ein Unternehmen einen Datenschutzbeauftragten?
In Deutschland gilt: Ab 20 Beschäftigten, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss ein Datenschutzbeauftragter bestellt werden.
Gesetzliche Grundlagen
1. Nationale Regelung (entscheidend ist die Mitarbeiterzahl)
§ 38 Abs. 1 Satz 1 BDSG (neu seit Ende 2019)
Ein Datenschutzbeauftragter ist zu benennen,
soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Wichtig dabei:
-
Es zählen nicht alle Mitarbeiter, sondern nur die,
-
die regelmäßig personenbezogene Daten verarbeiten
-
z. B. Personalabteilung, Buchhaltung, Kundenverwaltung, IT
-
-
„Automatisiert“ = mit IT / Computer / Software
2. Unabhängig von der Mitarbeiterzahl (EU-weit)
Art. 37 Abs. 1 DSGVO
Ein Datenschutzbeauftragter ist immer zu bestellen, wenn:
-
Kerntätigkeit in der umfangreichen Verarbeitung personenbezogener Daten liegt oder
-
besonders sensible Daten verarbeitet werden
(z. B. Gesundheitsdaten, Strafdaten)
z. B.:
-
Arztpraxis
-
Krankenhaus
-
Sicherheitsdienste
-
Auskunfteien
Zählen Azubis, Teilzeitkräfte, Aushilfen?
Ja, wenn sie:
-
regelmäßig
-
personenbezogene Daten
-
automatisiert verarbeiten
Nicht entscheidend ist:
-
Vollzeit / Teilzeit
-
befristet / unbefristet
Typische Beispiele
Beispiel 1
Ein Unternehmen hat:
-
30 Mitarbeiter
-
davon 22 arbeiten regelmäßig mit Kundendaten am PC
Datenschutzbeauftragter erforderlich (§ 38 BDSG)
Beispiel 2
Ein Handwerksbetrieb:
-
25 Mitarbeiter
-
nur 5 im Büro mit Kundendaten
Kein Datenschutzbeauftragter nötig
Rechtsprechung (zur Einordnung)
- EuGH, Urteil vom 09.03.2023 – C-453/21
→ Nationale Schwellenwerte (wie die 20-Personen-Grenze in Deutschland) sind zulässig und DSGVO-konform.
| Regelung | Schwelle |
|---|---|
| § 38 BDSG | ab 20 datenverarbeitende Personen |
| Art. 37 DSGVO | unabhängig von Anzahl, bei sensiblen Daten |
Übungsaufgaben
Übungsband - Übung 119
Personalakten dürfen nur personenbezogene Daten eines Beschäftigten enthalten, wenn dies für die Entscheidung über die Begründung des Beschäftigungsverhältnisses, während der Beschäftigung oder für dessen Beendigung erforderlich ist. Dies ergibt sich aus § 26 BDSG.
a) Beschreiben Sie was man unter personenbezogenen Daten versteht.
b) Welche der folgenden Daten darf ein Arbeitgeber speichern?
- Geschlecht
- Familienstand
- Gewerkschaftsmitglied
- Parteimitgliedschaft
- Ausbildung in Lehr- und anderen Berufen
- Fachschulausbildung
- Sprachkenntnisse
c) Welche Grundsätze sind bei der Verarbeitung personenbezogener Daten zu beachten?
Lösung - Übung 119
a) Nach Art. 4 Nr. 1 DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifzierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere durch Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Onlinekennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, welche Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
b) Geschlecht, Familienstand, Ausbildung in Lehr- und anderen Berufen, Fachschulausbildung, Sprachkenntnisse
c) Nach Art. 5 Abs. 1 DSGVO gelten folgende Grundsätze:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Außerdem ist der Verantwortliche für die Einhaltung des Art. 5 Abs. 1 DSGVO verantwortlich und muss dessen Einhaltung nachweisen können (Rechenschaftspflicht) nach Art. 5 Abs. 2 DSGVO.
Übungsband - Übung 120
a) Wann muss ein Unternehmen einen Datenschutzbeauftragten bestellen?
b) Nennen Sie mindestens drei Aufgaben, die der Datenschutzbeauftragte zu erfüllen hat.
Lösung - Übung 120
a) Nach § 38 Abs. 1 BDSG muss ein Unternehmen einen Datenschutzbeauftragten benennen, wenn es i.d.R. mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
b) Dem Datenschutzbeauftragten obliegen nach Artikel 39 DSGVO zumindest folgende Aufgaben:
- Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten.
- Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen
- Beratung - auf Anfrage - im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35
- Zusammenarbeit mit der Aufsichtsbehörde
- Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen
Der Datenschutzbeauftragte trägt bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung, wobei er die Art, den Umfang, die Umstände und die Zwecke der Verarbeitung berücksichtigt.
Übungsband - Übung 121
Wegen einer Alkoholabhängigkeit nimmt Arbeitnehmer Simon in Absprache mit der Power AG an verschiedenen Entziehungsmaßnahmen teil. Anschließend besucht er regelmäßig die betriebliche Suchtberatung und arbeitet in der Selbsthilfegruppe der Anonymen Alkoholiker. In verschiedenen Schreiben zwischen ihm und der Power AG sind diese Vorgänge sachlich dokumentiert. Herr Simon möchte nun wissen, ob er Einblick in seine Akte nehmen darf.
a) Hat Herr Simon ein Einsichtsrecht? Geben Sie die betreffende Rechtsnorm an.
b) Als Herr Simon um Einsicht in seine Personalakte bittet, muss er feststellen, dass die Dokumente bez. seiner Alkoholerkrankung standardmäßig in seiner Personalakte abgelegt sind. Dagegen wehrt sich Herr Simon und möchte, dass diese Dokumente aus seiner Akte herausgenommen und gesondert unter Verschluss genommen werden.
Hat Herr Simon diesen Anspruch?
Lösung- Übung 121
a) Ja, gemäß § 83 BetrVG. Danach kann der Arbeitnehmer ohne besonderen Anlass in die über ihn geführten Personalakten Einsicht nehmen und ein Betriebsratsmitglied hinzuziehen. (Artikel 15 DSGVO - Auskunftsrecht der betreffenden Person, passt auch)
b) Herr Simon kann verlangen, dass seine Gesundheitsdaten gesondert unter Verschluss genommen werden:
Gesundheitsdaten zählen nach Art. 9 Abs. 1 DSGVO zu den besonderen Kategorien personenbezogener Daten.Nach § 26 Abs. 3 BDSG ist die Verarbeitung besonderer Kategorien personenbezogener Daten für Zwecke des Beschäftigungsverhältnisses zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.
Nach § 22 Abs. 2 BDSG sind angemessene und spezifische Maßnahmen zur Wahrung der Interessen der betroffenen Person vorzusehen.
Daher muss der Arbeitgeber solche Daten vor einer zufälligen Kenntnisnahme schützen, indem sie etwa in einem verschlossenen Umschlag in der Personalakte zur Akte genommen werden, damit sie ein Personalsachbearbeiter nicht zufällig lesen kann.
Übungsband - Übung 122
Die Logistik AG betreibt ein Briefverteilzentrum. In dem Verteilzentrum wird überwiegend mit Handsortierung gearbeitet. In den vergangenen zehn Monaten meldeten 250 Kunden Verluste von Briefsendungen. In der Vergangenheit hatte der Betriebsrat zweimal anlässlich konkreter Verdachtsmomente gegen einzelne Arbeitnehmer der vorübergehenden Installierung einer verdeckten Videokamera zugestimmt. Nun möchte die Logistik AG eine stationäre Videoüberwachungsanlage einrichten. Voraussetzung für den Betrieb der Videoanlage im Aufzeichungsmodus während der Betriebszeiten soll ein auf konkrete Personen bezogener Verdacht sein, dass Sendungen beschädigt oder gestohlen werden. Zudem soll nur in den Bereichen des Verteilzentrums überwacht werden, auf die sich der Verdacht bezieht. Dagegen wendet sich der Betriebsrat u.a. mit dem Hinweis auf die Persönlichkeitsrechte der überwachten Arbeitnehmer.
Ist die stationäre Videoüberwachung zulässig?
Lösung - Übung 122
Der Arbeitgeber muss die Verarbeitung personenbezogener Daten auf eine Rechtsgrundlage stützen können. Nach § 26 Abs. 1 Satz 2 BDSG dürfen zur Aufdeckung von Straftaten personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Durch die vorgesehene Videoüberwachung wird erheblich in die allgemeinen Persönlichkeitsrechte der Arbeitnehmer eingegriffen. Zwar ist die Videoüberwachung vom Vorliegen eines konkreten Verdachts abhängig und räumlich und zeitlich beschränkt. Trotzdem müssen die Arbeitnehmer, für die der jeweilige Betrieb der Videoanlage nicht erkennbar ist, immer damit rechnen, dass gerade eine Situation vorliegt, in der sie gefilmt werden.
Andererseits hat die Logistik AG ein berechtigtes Interesse daran, dass die von ihr beförderten Briefsendungen möglichst nicht abhanden kommen, beschädigt oder gestohlen werden. Zudem ist sie gegenüber ihren Kunden zur Wahrung des Postgeheimnisses verpflichtet. Außerdem hat sie ein berechtigtes Interesse an der Aufklärung und der Verhinderung von weiteren Diebstählen in ihrem Verteilzentrum.
Daher ist die geplante Videoüberwachung letztendlich zulässig.
Übungsband - Übung 123
Arbeitnehmer Adam ist seit Jahren bei der Power AG beschäftigt. Im Zusammenhang mit der Freigabe eines Netzwerks teilte die Power AG im Oktober 2018 mit, dass der gesamte “Internet-Traffic” und die Benutzung ihrer Systeme “mitgeloggt” werde. Sie installierte auf dem Dienst-PC von Herrn Adam eine Software, die sämtliche Tastatureingaben protokolliert und regelmäßig Screenshots fertigt. Die Power AG hatte keinen Verdacht gegenüber Herrn Adam, dass er bei der Nutzung des Netzwerks eine Straftat begehe oder schwerwiegend gegen seine Arbeitnehmerpflichten verstoße.
Ist der Einsatz eines solchen Software-Keyloggers zulässig?
Lösung - Übung 123
Nach einem Urteil des BAG von 27.07.2017 (2 AZR 681/16) ist der Einsatz eines Software-Keyloggers, mit dem alle Tastatureingaben an einem dienstlichen Computer für eine verdeckte Überwachung und Kontrolle des Arbeitnehmers aufgezeichnet werden, nach § 26 Abs. 1 BDSG unzulässig, wenn keine auf den Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung besteht. Weil die Power AG beim Einsatz der Software gegenüber dem Arbeitnehmer Adam keinen auf Tatsachen beruhenden Verdacht einer Straftat oder einer anderen schwerwiegenden Pflichtverletzung hatte, war die von ihr “ins Blaue hinein” veranlasste Überwachung mit dem Software-Keylogger unzulässig.
Hinweis zu Übung 123
§ 26 Abs. 1 BDSG – Datenverarbeitung im Beschäftigungsverhältnis
§ 26 Abs. 1 Satz 1 BDSG erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten, wenn sie für die Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.
Wichtig: Erforderlichkeit ist hier das Schlüsselwort.
Konkret für den Fall
-
Keylogger + Screenshots = massiver Eingriff
-
kein konkreter Verdacht
-
flächendeckende, dauerhafte Überwachung
→ nicht erforderlich
→ § 26 Abs. 1 BDSG verletzt
Passender DSGVO-Artikel (ergänzend!)
Der Fall lässt sich zusätzlich sehr gut mit der DSGVO begründen.
Art. 6 Abs. 1 DSGVO – Rechtmäßigkeit der Verarbeitung
In Betracht käme:
- Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Arbeitgebers)
Vorsicht!!! scheidet aber aus, weil:
-
Interessenabwägung zulasten des Arbeitnehmers
-
vollständige Protokollierung aller Tastatureingaben
-
kein Anlass, kein Verdacht
Ergebnis: Verhältnismäßigkeit fehlt
Auch verletzt sind die Grundsätze der Datenverarbeitung:
Art. 5 Abs. 1 DSGVO
-
Datenminimierung
-
Zweckbindung
-
Verhältnismäßigkeit
Ein Keylogger verstößt gegen alle drei.
Maßgebliches Urteil (zentrale Grundlage)
BAG, Urteil vom 27.07.2017 – 2 AZR 681/16
Kernaussage des BAG:
Der Einsatz eines Software-Keyloggers zur umfassenden Überwachung eines Arbeitnehmers ist unzulässig, wenn kein durch konkrete Tatsachen begründeter Verdacht einer Straftat oder schwerwiegenden Pflichtverletzung besteht.
Das BAG stellt ausdrücklich auf:
-
fehlenden Verdacht
-
anlasslose Überwachung
-
Verletzung des Persönlichkeitsrechts
Hinweis:
Wenn ein konkreter Verdacht bestanden hätte (z. B. Straftat), könnte ein Keylogger ausnahmsweise zulässig sein – aber:
-
zeitlich begrenzt
-
zweckgebunden
-
verhältnismäßig
Übungsband - Übung 124
Dass ein Arbeitnehmer während seiner Arbeitszeit tatsächlich arbeitet und keine privaten Angelegenheiten erledigt, ist selbstverständlich. Fraglich ist, inwieweit dies der Arbeitgeber kontrollieren darf. Die Power AG modernisiert sämtliche Telefonanlagen. Mit der neuen Anlage können folgende Daten erfasst werden: Datum und Uhrzeit eines Gesprächs, Dauer des Gesprächs und die Nummer des Angerufenen.
a) Ist die Verarbeitung dieser Daten durch den Arbeitgeber zulässig? Begründen Sie Ihre Antwort.
b) Darf die Power AG Privatgespräche mithören? Begründen Sie ihre Antwort.
c) Muss die Power AG vor der Installation der neuen Anlage Beteiligungsrechte des Betriebsrats beachten? Wenn ja, welche?
Lösung - Übung 124
a) Ja, diese Art der Kontrolle des Telefonverhaltens der Arbeitnehmer ist nach dem BDSG zulässig. Eine Zustimmung des Arbeitnehmers ist nicht erforderlich. (besser: Die Verarbeitung der Verbindungsdaten ist nach § 26 Abs. 1 Satz 1 BDSG zulässig, da sie für die Durchführung des Beschäftigungsverhältnisses erforderlich ist. Eine Einwilligung der Arbeitnehmer ist daher nicht erforderlich.)
b) Nein, weil ein unzulässiger Eingriff in die Privatsphäre gegeben wäre.
c) Ja, der Betriebsrat hat ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG, da die neue Telefonanlage als technische Kontrolleinrichtung zur Überwachung von Mitarbeitern geeignet ist.
Hinweis zu Übung 124
Passender Paragraph für Teilfrage a)
§ 26 Abs. 1 Satz 1 BDSG
§ 26 Abs. 1 Satz 1 BDSG erlaubt die Verarbeitung personenbezogener Daten von Beschäftigten, wenn sie:
für die Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.
Auf den Fall bezogen:
-
Erfasst werden:
-
Datum und Uhrzeit von Gesprächen
-
Gesprächsdauer
-
angerufene Nummer
-
-
Keine Inhalte der Gespräche
-
Zweck:
-
Organisation
-
Kostenkontrolle
-
Arbeitszeit- und Arbeitsablaufkontrolle
-
Diese Datenverarbeitung ist:
-
zweckgebunden
-
verhältnismäßig
-
erforderlich für das Arbeitsverhältnis
Einwilligung des Arbeitnehmers ist nicht nötig, da § 26 BDSG eine gesetzliche Erlaubnisnorm ist.
Zusatz:
Man kann die Zulässigkeit auch DSGVO-konform absichern:
Art. 6 Abs. 1 lit. b DSGVO
(Datenverarbeitung zur Durchführung eines Vertrags)
→ Arbeitsvertrag = Schuldverhältnis
→ Telefonie im Betrieb gehört zur Vertragserfüllung
Für die Prüfung reicht aber § 26 BDSG völlig aus.
Abgrenzung zu Teilfrage b)
-
Verbindungsdaten → zulässig (§ 26 BDSG)
-
Mithören von Gesprächen → unzulässig
(Eingriff in Persönlichkeitsrecht, Art. 2 Abs. 1 i. V. m. Art. 1 Abs. 1 GG)
Merke:
„Verbindungsdaten ja – Gesprächsinhalte nein.“