Wir verwenden Cookies auf unserer Webseite, um Ihren Besuch effizienter zu machen und Ihnen eine möglichst angenehme Nutzung bieten zu können und die Zugriffe auf unsere Website zu analysieren. Dafür setzen wir Google Analytics ein. Weitere Informationen finden Sie in unserer DATENSCHUTZERKLÄRUNG.
Artikel:

Arbeitnehmerdatenschutz - Ein Thema, dem Arbeitgeber auch im eigenen Interesse ihre Aufmerksamkeit widmen sollten

01. April 2016

Nach wie vor messen viele Arbeitgeber dem Arbeitnehmerdatenschutz keine oder eine nur untergeordnete Bedeutung zu. Die Gründe dafür mögen vielfältig sein; so mag mancher Arbeitgeber angesichts verhältnismäßig geringer Bußgeldandrohungen - aktuell können Verstöße gegen datenschutzrechtliche Regelungen mit Bußgeldern bis zu maximal EUR 300.000 geahndet werden - auf eine vertiefte Auseinandersetzung mit dieser Thematik verzichten. In anderen Fällen könnte schlicht eine Fehleinschätzung bestimmter Sachverhalte als nicht datenschutzrelevant oder „unproblematisch“ der Grund dafür sein, dass rechtliche Vorgaben des Arbeitnehmerdatenschutzes seitens des Arbeitgebers nicht hinreichend beachtet werden. Dabei weisen sehr viele, vielfach für den Arbeitgeber alltägliche Sachverhalte bzw. Situationen arbeitnehmerdatenschutzrechtliche Relevanz auf. Zu denken ist etwa daran,

  • welche Daten der (künftige) Arbeitgeber im Rahmen von Bewerbungsverfahren erheben darf und wie dies erfolgen darf (z.B. Erhebung von Daten aus sozialen Netzwerken?),
  • ob Arbeitnehmer bei Beginn des Arbeitsverhältnisses gesondert auf das Datengeheimnis zu verpflichten sind,
  • inwieweit die Personalbetreuung und/oder Gehaltsabrechnung durch eine zentrale, z.B. bei einer anderen Konzerngesellschaft gebildete, Personalabteilung erfolgen kann,
  • inwieweit Arbeitnehmerdaten z.B. aus Gründen des Konzerncontrollings oder zur Bemessung variabler Vergütungsbestandteile an Konzern-/Muttergesellschaften übermittelt werden dürfen,
  • welche Daten über einen Arbeitnehmer in die Personalakte aufgenommen werden dürfen, in welcher Form und wie die Zugriffsrechte zu regeln sind,
  • wie und in welchem Umfang der Arbeitgeber die Nutzung von dienstlichen Internet-, E-Mail- und Telefonanschlüssen durch die Arbeitnehmer kontrollieren oder z.B. bei Abwesenheit eines Arbeitnehmers auf dessen dienstlichen E-Mail-Account zugreifen darf,
  • ob ein Datenschutzbeauftragter im Unternehmen zu bestellen ist, oder
  • welche Mitbestimmungsrechte des Betriebsrats im Zusammenhang mit Arbeitnehmerdatenschutz durch den Arbeitgeber zu berücksichtigen sind.

Bereits hieraus wird deutlich, dass Arbeitgeber in jeder Phase der Anbahnung oder des bestehenden Arbeitsverhältnisses mit Situationen bzw. Sachverhalten konfrontiert sind, die arbeitnehmerdatenschutzrechtliche Relevanz aufweisen.

Neue EU-Datenschutzgrundverordnung (EU-DSGVO)

Am 15. Dezember 2015 haben sich Europäischer Rat, Europäische Kommission und Europäisches Parlament nach langjährigen Verhandlungen auf eine EU-Datenschutzgrundverordnung (EU-DSGVO) geeinigt. Die EU-DSGVO soll im Jahr 2018 in Kraft treten und wird dann in den Mitgliedsstaaten unmittelbar geltendes Recht darstellen.

Ziel ist es, das europäische Datenschutzrecht zu vereinheitlichen. Die EU-DSGVO eröffnet jedoch hinsichtlich verschiedener Regelungskomplexe Möglichkeiten für nationale Sonderreglungen, so auch zum Arbeitnehmerdatenschutz. Es bleibt damit abzuwarten, inwieweit der deutsche Gesetzgeber von seiner verbleibenden Regelungskompetenz betreffend den Arbeitnehmerdatenschutz Gebrauch machen wird. Das Schutzniveau der EU-DSGVO darf dabei jedoch nicht unterschritten werden.

Was erwartet Arbeitgeber? - Ausgewählte Inhalte der EU-DSGVO bezogen auf Arbeitnehmerdatenschutz

In wesentlichen Teilen knüpft die EU-DSGVO an bereits geltende datenschutzrechtliche Grundprinzipien an. So findet sich insbesondere der Grundsatz des »Verbots mit Erlaubnisvorbehalt« auch in der EU-DSGVO wieder.

"Verbot mit Erlaubnisvorbehalt"

Das "Verbot mit Erlaubnisvorbehalt" ist durch Arbeitgeber bereits nach den aktuell geltenden Regelungen des Bundesdatenschutzgesetzes (BDSG) zu beachten. Vereinfacht ausgedrückt bedeutet dies, dass die Verwendung personenbezogener Arbeitnehmerdaten untersagt ist, es sei denn, eine gesetzliche Regelung erlaubt dies. Nach § 4 Abs. 1 BDSG dürfen personenbezogene Daten nur erhoben, verarbeitet und genutzt werden, soweit das BDSG oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Zentrale Ermächtigungsnorm für den Arbeitnehmerdatenschutz ist dabei nach aktueller Rechtslage § 32 BDSG. Dieser regelt die Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses. Als „andere Rechtsvorschrift“ kann insbesondere eine Betriebsvereinbarung als Legitimationsnorm dienen.

Ähnlich ausgestaltet ist die EU-DSGVO. Nach Art. 6 EU-DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn u.a.

  •     die betroffene Person ihre Einwilligung gegeben hat,
  •     die Datenverarbeitung zur Vertragserfüllung erforderlich ist,
  •     die Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist,
  •     die Verarbeitung zur Wahrung berechtigter Interessen erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten des Betroffenen überwiegen, oder
  •     eine andere in der Vorschrift genannte Ausnahme gegeben ist.

Für (deutsche) Arbeitgeber bedeutet dies im Grundsatz zunächst einmal wenige Änderungen. Denn die EU-DSGVO ähnelt insoweit den Vorschriften des BDSG. Aufgrund des durch die EU-DSGVO deutlich verschärften Sanktionsrahmens bei Datenschutzverstößen (dazu sogleich) jedoch ist es für Arbeitgeber mehr denn je wichtig, einen datenschutzkonformen Umgang mit Arbeitnehmerdaten zu gewährleisten; dies nicht nur aber insbesondere auch in den vorstehend beispielhaft aufgezeigten Alltagssituationen.

Auf einige im Kontext mit Arbeitsverhältnissen relevante Regelungen der EU-DSGVO soll im Folgenden kurz eingegangen werden:

"Einwilligung des Betroffenen"

Die Einwilligung des Betroffenen als Legitimationsgrundlage für die Verarbeitung personenbezogener Daten ist bereits aus den
aktuell geltenden Regelungen des BDSG bekannt. Ähnlich der Regelung des § 4a BDSG knüpft auch Art. 7 EU-DSGVO die Wirksamkeit einer solchen Einwilligung an verschiedene formale und inhaltliche Voraussetzungen. Im Vergleich zu der aktuell geltenden Rechtslage erhöht die EU-DSGVO jedoch die Anforderungen an eine wirksame Einwilligung. In formaler Hinsicht muss die Einwilligung freiwillig, spezifisch, informiert und eindeutig sein. Nachzuweisen ist sie durch den Arbeitgeber.

In den Erwägungsgründen zu der EU-DSGVO ist ausgeführt, dass eine freiwillige Einwilligung als Legitimationsgrundlage nicht möglich sein soll, wenn zwischen der betroffenen Person und dem für die Verarbeitung Verantwortlichen ein „klares Ungleichgewicht“ besteht. Die „Freiwilligkeit“ einer Einwilligung wird bereits nach aktuell geltender Rechtslage im Zusammenhang mit der Einwilligung von Arbeitnehmern diskutiert und teils wegen des typischerweise bestehenden Über-/Unterordnungsverhältnisses zwischen Arbeitgeber und Arbeitnehmer verneint. Vom Bundesarbeitsgericht wird sie jedoch grundsätzlich für zulässig und möglich erachtet. Ob es hierbei unter Geltung der EU-DSGVO bleibt, wird abzuwarten sein. Die Erwägungsgründe führen das Verhältnis Arbeitgeber zu Arbeitnehmer explizit jedenfalls nicht (mehr) als Beispiel für ein „klares Ungleichgewicht“ auf.  Nach Art. 82 EU-DSGVO bleibt es aber den Mitgliedstaaten - und damit auch dem deutschen Gesetzgeber - möglich, spezifischere Vorschriften vorzusehen.

"Zur Vertragserfüllung und zur Erfüllung rechtlicher Verpflichtungen erforderliche Datenverarbeitung"

Rechtmäßig soll die Verarbeitung personenbezogener Daten nach den Regelungen der EU-DSGVO sein, wenn dies für die Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen, die auf Antrag der betroffenen Person erfolgen, oder sonst zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Ein Vertrag in diesem Sinne ist auch der Arbeitsvertrag. Ähnliches gilt bereits nach geltender Rechtslage. So sieht etwa auch § 32 Abs. 1 S. 1 BDSG vor, dass personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist. Auch in Zukunft wird damit die nicht immer eindeutige Abgrenzung vorzunehmen sein, wann die Verarbeitung von Arbeitnehmerdaten für die Begründung - etwa im Rahmen des Bewerbungsverfahrens - oder Durchführung des Arbeitsverhältnisses erforderlich ist. Auch in Zukunft werden damit die eingangs erwähnten (alltäglichen) Sachverhalte datenschutzrechtliche Relevanz aufweisen.

"Zur Wahrung berechtigter Interessen erforderlich" - Konzernprivileg?

Die notwendige Erforderlichkeit der Datenverarbeitung für die Durchführung des Arbeitsverhältnisses führt aktuell dazu, dass der Transfer von Arbeitnehmerdaten von der Anstellungsgesellschaft zu anderen Konzernunternehmen regelmäßig einer gesonderten Rechtsgrundlage - wie z.B. einer Betriebsvereinbarung - bedarf und nicht allein durch § 32 Abs. 1 BDSG legitimiert werden kann. Dies stellt Arbeitgeber vor besondere rechtliche Herausforderungen, wenn beispielsweise in Konzernen die Personalbetreuung durch eine zentrale Personalabteilung bei einer anderen Konzerngesellschaft und nicht durch den Arbeitgeber selbst erfolgen soll. Entsprechendes gilt, wenn Arbeitnehmerdaten an eine andere Konzerngesellschaft / die Muttergesellschaft übermittelt werden sollen, etwa zur Umsetzung eines konzernweit geltenden Bonussystems. Denn Erleichterungen der Datenübermittlung im Konzern bzw. ein Konzernprivileg bestehen nach aktuell geltender Rechtslage nicht. Insoweit könnten sich unter Geltung der EU-DSGVO künftig Erleichterungen für den Arbeitgeber ergeben. Nach Art. 6 Nr. 1 (f) EU-DSGVO soll die Verarbeitung personenbezogener Daten auch dann rechtmäßig sein, wenn sie zur Wahrung berechtigter Interessen des für die Verarbeitung Verantwortlichen - im Arbeitsverhältnis ist dies der Arbeitgeber - erforderlich ist, sofern nicht die Interessen oder Grundrechte der betroffenen Person - im Arbeitsverhältnis des Arbeitnehmers - überwiegen.

In den Erwägungsgründen zu dieser Regelung ist vorgesehen, dass Gesellschaften, die Teil einer Unternehmensgruppe sind, ein berechtigtes Interesse in diesem Sinne daran haben können, innerhalb der Unternehmensgruppe für interne Verwaltungszwecke Beschäftigtendaten zu übermitteln. Hierin kann eine gewisse Privilegierung und Erleichterung der Übermittlung von Arbeitnehmerdaten an andere Konzerngesellschaften des Arbeitgebers gesehen werden. Insofern können sich für Arbeitgeber künftig unter Geltung der EU-DSGVO Erleichterungen bei der Umsetzung einer zentralen, bei einer anderen Gruppengesellschaft eingerichteten Personalverwaltung ergeben. Besonderheiten werden jedoch bei internationalen Übermittlungen von Arbeitnehmerdaten zu berücksichtigen sein.

Rechte der von der Datenverarbeitung betroffenen Beschäftigten

Besondere Aufmerksamkeit sollten Arbeitgeber künftig auch den Rechten der von der Datenverarbeitung betroffenen Arbeitnehmer widmen. So statuiert die EU-DSGVO verschiedene Informationspflichten des Arbeitgebers. Insbesondere sind Arbeitnehmer in besonders definierter Art und über im Einzelnen normierte Umstände zu informieren, z.B. über Kontaktdaten der verantwortlichen Stelle und des Datenschutzbeauftragten sowie über Zwecke der Datenverarbeitung und Empfänger der Daten.

Mit den Informationspflichten des Arbeitgebers korrespondieren sog. Betroffenenrechte der Arbeitnehmer. Die EU-DSGVO sieht insoweit etwa Auskunftsrechte, ein Recht auf Berichtigung und auf Löschung („Recht auf Vergessen“), ein Recht auf Einschränkung der Bearbeitung sowie auf Widerspruch und Mitteilungspflichten vor.
 
Bußgeldandrohungen bei Verstößen

Erhebliche Änderungen im Vergleich zu der aktuellen Rechtslage ergeben sich durch die EU-DSGVO für Unternehmen in Bezug auf mögliche Sanktionen bei Verstößen gegen datenschutzrechtliche Regelungen. Derzeit kann ein Verstoß gegen datenschutzrechtliche Regelungen mit einer Geldbuße von maximal EUR 300.000 geahndet werden. Die EU-DSGVO sieht bei Datenschutzverstößen jedoch - abhängig von der Art des Verstoßes - Geldbußen von bis zu EUR 10 Mio. oder 2 % des weltweiten Jahresumsatzes bzw. EUR 20 Mio. oder 4 % des weltweiten Jahresumsatzes, je nachdem, welcher der Beträge höher ist, vor.

Fazit

Auch wenn die EU-DSGVO aus deutscher Sicht an bekannte datenschutzrechtliche Grundprinzipien anknüpft, wird sie für Arbeitgeber zahlreiche Neuerungen mit sich bringen. Arbeitgebern drohen bei Verstößen gegen das Datenschutzrecht unter Umständen Bußgelder in Millionenhöhe. Nicht zuletzt deshalb sollten Arbeitgeber dem Arbeitnehmerdatenschutz künftig deutlich größere Bedeutung beimessen. Unternehmen sind gut beraten, zeitnah sämtliche arbeitnehmerdatenschutzrechtlich relevanten Vorgänge daraufhin zu überprüfen, ob sie den Mindestvorgaben der EU-DSGVO entsprechen, und etwaigen Anpassungsbedarf zu ermitteln. Denn die Vorbereitung und Umsetzung notwendiger Anpassungen an die Regelungen der EU-DSGVO wird einen gewissen Zeitraum in Anspruch nehmen. So ist daran zu denken, dass u.U. Betriebsvereinbarungen neu abgeschlossen oder angepasst werden müssen, bereits bestehende arbeitsvertragliche Regelungen ergänzt und neu abzuschließende Arbeitsverträge soweit als möglich bereits den Vorgaben der EU-DSGVO entsprechend gestaltet werden müssen. All dies sollte bis zum Inkrafttreten der EU-DSGVO erfolgen, um das Risiko der deutlich verschärften Bußgeldandrohungen zu vermeiden.