Entwicklung und aktueller Stand im Beschäftigtendatenschutz - Ein Beitrag zur neuen Rechtslage

Die Wogen haben sich inzwischen zwar etwas geglättet, aber der datenschutzrechtliche Alltag beschäftigt die Verantwortlichen doch mehr oder weniger täglich. Ein Teilbereich der Thematik betrifft den Beschäftigtendatenschutz, der in Deutschland durch eine begleitende Neufassung des Bundesdatenschutzgesetzes (BDSG) und hier in § 26 BDSG eine für den betrieblichen Anwendungsbereich wichtige Spezialvorschrift erhalten hat. Verschiedene Aspekte sind es wert, hier betrachtet zu werden.

1. Ausgangspunkt aller datenschutzrechtlichen Betrachtungen ist der Grundsatz, dass die Verarbeitung personenbezogener (Beschäftigten-)Daten grundsätzlich verboten ist, wenn sie nicht ausdrücklich vom Gesetz erlaubt wird oder eine Einwilligung der betroffenen Person vorliegt («Verbot mit Erlaubnisvorbehalt»). Neben spezialgesetzlichen Regelungen, wie bspw. im Einkommenssteuergesetz oder im vierten Sozialgesetzbuch (SGB IV), die den Arbeitgeber zur Erfassung und Verarbeitung von Steuermerkmalen oder Sozialversicherungsnummer ermächtigen, enthält Artikel 6 DSGVO eine Art Generalklausel, welche allgemein für verschiedene Anwendungsfälle die erforderliche Rechtsgrundlage bildet. Ausdrücklich erlaubt § 26 BDSG die Verarbeitung personenbezogener Daten zum Zwecke eines Beschäftigungsverhältnisses. Dabei ist der Begriff der Beschäftigten sehr weit zu verstehen ist. Schon dieser kleine Einblick zeigt, dass es ein enges Geflecht datenschutzrechtlicher Vorschriften gibt.

2. Die im Datenschutzrecht anzutreffende Normenvielfalt verfolgt ein Ziel: Einen passenden Schutz der Betroffenen, namentlich der Beschäftigten zu gewährleisten. Dem dienen auch die allgemeinen aus Artikel 5 DSGVO folgenden Datenschutzgrundsätze, was sich durch das Gebot der Datenvermeidung und der Datensparsamkeit ebenso auszeichnet wie das Transparenzprinzip. Wie in allen anderen Bereichen des Datenschutzes gilt auch im Beschäftigtendatenschutz, dass unter Berücksichtigung dieser Grundsätze nicht nur Daten erhobenwerden können, sondern dass auch von Anfang an geklärt sein muss, wie lang die Daten gespeichert und wann sie zu löschen sind. Die Verantwortung für ein entsprechendes Datenschutzmanagement liegt auch in diesem Bereich voll und ganz beim Arbeitgeber. Damit korrespondiert ein umfassendes Auskunftsrecht des Mitarbeiters. Macht ein Arbeitnehmer hiervon Gebrauch, kann er damit den Arbeitgeber ganz schön «auf Trab halten». Das Landesarbeitsgericht Baden-Württemberg hat in einer aktuellen Entscheidung noch einmalausdrücklich hervorgehoben, dass der Auskunftsanspruch nach § 15 DSGVO ein umfassender Rechtsanspruch der Arbeitnehmer ist. Er kann deswegen eine Kopie aller über ihn gespeicherten Daten verlangen und das ist umfassend zu verstehen, so dass bspw. zu prüfen ist, wo und wann welche E-Mail geschrieben und gespeichert wurde, die entweder von diesem Mitarbeiter stammen, an ihn gerichtet sind oder die ihn im Adressatenfeld auch lediglich in Kopie eingebunden hatten. Die Beantwortung dieses Auskunftsanspruchs kann für den (ehemaligen) Arbeitgeber zur Sisyphusarbeit werden.

Im Folgenden soll an ausgewählten Beispielen die Anwendbarkeit und praktische Auswirkung typischer datenschutzrechtlicher Vorgänge in einem Beschäftigungsverhältnis aufgezeigt werden, welche in klassischen Konstellationen überall vorkommen können.

3. Zu den im Fokus stehenden personenbezogenen Daten gehören alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Diese gesetzliche Definition der DSGVO erfasst u.a. alle Bewerberdaten. Deshalb gehört auch die Phase der Anbahnung des Arbeitsverhältnisses zu den datenschutzrechtlich relevanten Themen. Für den Umgang mit Bewerberdaten gilt, dass Bewerbungsunterlagen grundsätzlich nur von Mitarbeitenden mit Personalentscheidungskompetenz und konkreter Zuständigkeit eingesehen werden dürfen. Um diesen Grundsatz zu gewährleisten, ist darauf zu achten, dass auch bei einer internen E-Mail die Daten verschlüsselt übermittelt werden. Die hiernach zu beachtende Zugriffsbegrenzungen sind insbesondere auch bei der Zurverfügungstellung von Bewerberportalen zu berücksichtigen. Hier ist auf der Homepage der ausdrückliche Hinweis vorzusehen, dass Bewerbungen nur über eine speziell für Bewerbungen zu nutzende E-Mail-Adresse des potentiellen Arbeitgebers zugesandt werden sollten. Auf diesem Wege lässt sich eine Zugriffsbegrenzung am ehesten rechtssicher gewährleisten.

Eine konzernweite Zurverfügungstellung von Bewerberdaten setzt eine darauf gerichtete Einwilligung des Bewerbers voraus. Eine datenschutzrechtlich konforme Einwilligung liegt nur vor, wenn diese freiwillig erfolgt ist, also frei von jedwedem Sachzwang oder jedweder Drucksituation. Eine in diesem Sinne nicht rechtskonforme Einwilligung oder gar eine Nutzung oder Verarbeitung von einwilligungsbedürftigen Daten ohne Beachtung dieser Formalie, kann im Einzelfall sehr kostspielige Sanktionen auslösen. Die Verantwortung für eine ordnungsgemässe Einwilligung liegt beim potentiellen Arbeitgeber.

4. Ist das Bewerbungsverfahren für beide Seiten erfolgreich zu Ende geführt, ist darauf zu achten, dass die DSGVO an die Verarbeitung besonderer Kategorien personenbezogener Daten noch einmal erhöhte Anforderungen stellt. Insbesondere der Umgang mit Gesundheitsdatenbedürfen eines sorgfältigen Umgangs. Auch hier gilt, dass lediglich die Personen im Unternehmen Zugriff auf diese Daten haben dürfen, bei denen ein berechtigtes Interesse vorliegt. Entsprechend müssen die Zugriffskompetenzen rechtssicher geregelt sein. Soweit im Zusammenhang mit der Veröffentlichung von Schichtplänen der Ausfall von Mitarbeitenden für die Belegschaft sichtbar gemacht wird, darf die Form der Kennzeichnung keine Rückschlüsse darauf zulassen, dass der fehlende Mitarbeiter bspw. wegen einer Erkrankung ausfällt.

5. Ein dem Mitarbeitenden zugeordneter Schrank (Spind) und dessen Inhalt gehören zur rechtlich geschützten Privatsphäre, die der Arbeitgeber selbst dann zu wahren hat, wenn er zur Überlassung eines Schranks verpflichtet ist. Spindkontrollen setzen daher ebenfallseine Einwilligung des betroffenen Arbeitnehmers voraus, wenn dort eingebrachte persönliche Sachen aufbewahrt werden. Heimliche Spindkontrollen sind hiernach unzulässig, selbst wenn vermutet wird, dass dort dem Arbeitgeber oder Kollegen entwendete Gegenstände aufbewahrt werden. Unter Verstoss gegen diese Regelung erlangte Beweismittelsind in einem anschliessenden Gerichtsverfahren nicht verwertbar. Ferner drohen nach der aktuellen Rechtsprechung des Bundesarbeitsgerichts (BAG) Ansprüche des betroffenen Arbeitnehmers auf Schadensersatz und Schmerzensgeld.

6. Von ähnlicher Brisanz ist die im laufenden Arbeitsverhältnis gelegentlich anzutreffende Videoüberwachung. Zunächst gilt, dass die Überwachung öffentlich zugänglicher Räume, wie etwa von Verkaufsräumen, mit optisch-elektronischen Einrichtungen erlaubt ist, soweit dies zur Wahrnehmung des Hausrechts oder anderer, konkret festgelegter und berechtigter Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen von Betroffenen überwiegen. Eine lückenlose technische Überwachung am Arbeitsplatz ist indes regelmässig ausgeschlossen und kann weder auf das Direktionsrecht noch auf das Hausrecht des Arbeitgebers gestützt werden. Die Aufnahmen sind nur dann erlaubt, wenn das Kontrollinteresse des Arbeitgebers das Persönlichkeitsrecht des Arbeitnehmers eindeutig überragt. Dazu genügt es nicht, dass der Arbeitgeber schlicht überprüfen will, ob und wie gearbeitet wird. Es müssen vielmehr rechtlich geschützte Güter des Arbeitgebers schwerwiegend beeinträchtigt sein, etwa durch gegen ihn gerichtete Straftaten. Zudem ist ein konkreter Tatverdacht in Bezug auf eine konkrete strafbare Handlung oder andere schwere Verfehlung zu Lasten des Arbeitgebers gegen einen zumindest räumlich und funktional abgrenzbaren Kreis von Arbeitnehmern erforderlich. Nur eine gegen einen auf diese Weise eingegrenzter Personenkreis gerichtete Überwachungsmassnahme ist zulässig. Rechtlich ausgeschlossen sind Videoüberwachungen, die die Intimsphäre der im Betrieb Beschäftigten betrifft. Dies ist nicht nur datenschutzrechtlich unzulässig, sondern zusätzlich vom Strafgesetzbuch unter Strafe gestellt.

7. Ähnliche Überlegungen wie bei der Videoüberwachung gelten, wenn der Arbeitgeberdurch den Einsatz eines Software-Keyloggers verdeckt überprüfen will, ob sein Arbeitnehmer seinen Dienst-PC vorschriftsgemäss benutzt. Eine Überwachung «ins Blaue hinein» verletzt nach einer aktuellen Gerichtsentscheidung das informationelle Selbstbestimmungsrecht. Ausnahmen sind nur dann denkbar, wenn ein auf einen bestimmten Arbeitnehmer bezogener, durch konkrete Tatsachen begründeter Verdacht einer Straftat besteht.

8. Ein «Dauerbrenner» ist auch die Überwachung der IT-Nutzung. Wenn der Arbeitgeber den Privatgebrauch generell untersagt, sind stichprobenartige Kontrollen zur Prüfung der Einhaltung des Verbotes zulässig. Anders verhält es sich, wenn der Arbeitgeber die Privatnutzung erlaubt oder zumindest duldet. In diesen Fällen gilt der Arbeitgeber als Anbieter von Telekommunikationsdiensten und unterliegt damit dem Telekommunikationsgeheimnis. Ein Verstoss dagegen wiegt genauso schwer wie ein Verstoss gegen das Brief- oder Fernmeldegeheimnis. Spätestens jetzt unter dem Regime der DSGVO ist dringend anzuraten, klare Spielregeln für die IT-Nutzung einzuführen und insbesondere, wenn die Privatnutzung– wenn auch eingeschränkt– gestattet werden soll, eindeutige und verlässliche Benutzungsregeln vereinbart werden. In den Kanon der Überwachungsmassnahmen gehört auch die Observation von Arbeitnehmern durch den Einsatz von Detektiven, was letztlich auch einen schwerwiegenden Eingriff in das allgemeine Persönlichkeitsrecht darstellt. Vor Inkrafttreten der DSGVO war ein verdeckter Detektiveinsatz zwar dann für rechtmässig gehalten worden, wenn ein konkreter Verdacht einer Straftat bestand.

Die Aufzählung von Alltagsbeispielen liesse sich schon jetzt fortsetzen. Man darf aber sicher sein, dass es auch in Zukunft neue Beispiele und datenschutzrechtliche Probleme geben wird. Im Hinblick auf die drohenden Sanktionen bei Rechtsverstössen ist es für jeden Unternehmer angezeigt, die Weiterentwicklung im Blick zu halten.