Beschäftigtendatenschutz nach DSGVO und BDSG

Beschäftigtendatenschutz ist eine komplexe Aufgabe. Schließlich machen die Daten der Arbeitnehmer meistens den Großteil des Datenbestandes innerhalb des Unternehmens aus. Bei der Datenverarbeitung müssen stets die Interessen des Arbeitgebers an einem möglichst effektiven und reibungslosen Betriebsablauf gegen die Persönlichkeitsrechte der Beschäftigten abgewogen werden. Alle Fragen rund um den Beschäftigtendatenschutz nach der DSGVO und dem BDSG sind Thema des heutigen Beitrags.

Was ist Arbeitnehmerdatenschutz und wieso gibt es ihn?

Im Prinzip geht es im Arbeitnehmerdatenschutz also auch um die Wahrung des Rechts auf Informationelle Selbstbestimmung – und das am Arbeitsplatz. Die Besonderheit hierbei ist, dass ein Über- und Unterordnungsverhältnis zwischen Arbeitgeber und Beschäftigten besteht. Der Arbeitgeber verfügt über ein Weisungsrecht. Dies gilt insbesondere auch bei den eingesetzten technischen Systemen. Diese Systeme verarbeiten neben den bereits vorhandenen personenbezogene Daten des Beschäftigten auch zusätzliche Daten mit Personenbezug des Mitarbeiters.

Mit dem Einsatz von Tools und Software und der technologischen Entwicklung steigt auch das Bedürfnis, personenbezogene Daten in diesem Verhältnis umso mehr zu schützen. Daher deckt der Mitarbeiterdatenschutz einen speziellen Bereich im Datenschutzrecht ab, wobei auch spezielle Normen hierfür zu beachten sind. Der Datenschutz im Beschäftigtenkontext zielt auf einen angemessenen Ausgleich der Interessen des Arbeitgebers und des Arbeitnehmers ab.

Geschichte des Arbeitnehmerdatenschutzes in Deutschland

In den meisten Koalitionsverträgen der letzten 20 Jahre finden sich Selbstverpflichtungen zur Verabschiedung eines Gesetzes zum Arbeitnehmerdatenschutz. Bisher scheiterten jedoch alle Versuche überwiegend am Widerstand der Arbeitgeberseite. Lediglich in der 16. Legislaturperiode 2005 wurden von der Presse derart viele Überwachungsskandale aufgedeckt, wie z. B. Privatdetektive bei LIDL und der Deutschen Bahn, Telekomgate, die illegale Videoüberwachung bei IKEA und Burger King sowie die Abnahme von Blutproben von Bewerbern bei mehreren großen deutschen Unternehmen wie Daimler, NDR, Beiersdorf und Merck, dass die Regierung sich gezwungen sah, als Minimalkonsens noch kurz vor der nächsten Bundestagswahl 2009 den § 32 BDSG alt zu verabschieden.

Der nahezu zeitgleich vorgelegte Entwurf für ein Beschäftigtendatenschutzgesetz schaffte es hingegen vor der Wahl nicht mehr durch das Gesetzgebungsverfahren. Die darauffolgende schwarz-gelbe Regierung wollte den § 32 BDSG lediglich ergänzen. Der Entwurf wurde über Jahre zwischen den Akteuren hin- und hergereicht und von allen Seiten gab es Kritik. Eine überraschend angekündigte Abstimmung über den Entwurf im Bundestag kurz vor Ende der 17. Legislaturperiode im Jahr 2013 wurde ebenso kurzfristig wieder abgesagt. Diese Entscheidung wurde unter anderem mit der Kritik an den Änderungen der Regelungen zur Videoüberwachung am Arbeitsplatz begründet.

In der darauffolgenden 18. Legislaturperiode zeichnete sich das Zustandekommen neuer europäischer Regeln für den Datenschutz ab. Also gab es zunächst keinen Bedarf für ein Beschäftigtendatenschutzgesetz. Im Hinblick auf die bisherigen Diskussionen wurde im Koalitionsvertrag der Bundesregierung für die 18. Legislaturperiode zu den Verhandlungen der Datenschutz-Grundverordnung (DSGVO) festgehalten, dass man das nationale Datenschutzniveau – auch bei der grenzüberschreitenden Datenverarbeitung – erhalten und über das Europäische Niveau hinausgehende Standards ermöglichen wolle. Als die DSGVO schließlich verabschiedet wurde, scheiterte eine Einigung erneut. Anstatt die die Öffnungsklausel des Art. 88 DSGVO für ein Beschäftigtendatenschutzgesetz zu nutzen, übernahm man nur die bisherigen Regeln des § 32 BDSG alt mit dem DSAnpUG im neuen § 26 BDSG. Der jüngste Entwurf zum Beschäftigtendatenschutzgesetz reiht sich nahtlos in diese Geschichte von Pleiten, Pech und Pannen ein.

Wo ist der Beschäftigtendatenschutz aktuell geregelt?

Die Datenschutzkonferenz (DSK) hat in ihrem Kurzpapier Nummer 14 eine Orientierung zum aktuellen Recht des Beschäftigtendatenschutz zusammengefasst.

Der § 26 BDSG, Betriebsvereinbarungen und die Rechtsprechung des BAG

Als Grundsatz der Datenverarbeitung im Beschäftigtenverhältnis gilt formell immer noch der § 26 Abs. 1 S. 1, 1. Halbsatz BDSG. Diesem Grundsatz zufolge dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, soweit dies insbesondere für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist.

Der § 26 Abs. 1 S. 1, 2. Halbsatz und Abs. 4 BDSG räumen zudem ein, dass die Verarbeitung von Beschäftigtendaten auch auf Grundlage von Kollektivvereinbarungen zulässig ist. Hierzu zählen Tarifverträge sowie Betriebs- und Dienstvereinbarungen (vgl. Erwägungsgrund 155 DSGVO). Dafür ist erforderlich, dass die Parteien die inhaltlichen Vorgaben der Öffnungsklausel Art. 88 Abs. 2 DSGVO beachten:

„Geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person sind zu ergreifen.“

Anhand dieser Vorgaben wird sichergestellt, dass durch die Kollektivvereinbarungen das Schutzniveau der DSGVO nicht abgesenkt wird. Des Weiteren ist eine Datenverarbeitung möglich, wenn diese für die Rechte und Pflichten der Interessenvertretungen der Beschäftigten erforderlich ist, unabhängig davon, ob sich dies aus einem Gesetz, Tarifvertrag, einer Betriebs- oder Dienstvereinbarung ergibt.

Die Einwilligung als Rechtsgrundlage im Beschäftigtenverhältnis wird oftmals angezweifelt, denn eine wirksame Einwilligung kommt in diesen Fällen nur ausnahmsweise in Betracht. Die Wirksamkeit einer Einwilligung ist gegeben, wenn sie freiwillig erteilt wird, vgl. Art. 7 DSGVO und Erwägungsgrund 43. Nach den Kriterien des § 26 Abs. 2 BDSG ist eine Freiwilligkeit gegeben, wenn:

„…der Beschäftigte einen rechtlichen oder wirtschaftlichen Vorteil erhält oder wenn Arbeitgeber oder Arbeitgeberin und Beschäftigte gleichgelagerte Interessen verfolgen.“ – DSK Kurzpapier Nr. 14

Zusätzliche Ausführungen enthält der § 26 BDSG in den weiteren Absätzen zur Datenverarbeitung für die Aufdeckung von Straftaten und der Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO.

Da die Norm des § 26 BDSG viele auslegungsbedürftige Generalklauseln enthält, liegt der Arbeitnehmerdatenschutz auch auf den Schultern des Arbeitsgerichte und insbesondere des Bundesarbeitsgericht (BAG). Viele konkrete Regeln ergeben sich aus seiner jahrelangen Rechtsprechung. Da eine gerichtliche Kontrolle immer nur im Nachgang am Einzelfall vorgenommen wird, ist sie lediglich ein Korrektiv fragwürdiger Praktiken der Arbeitnehmerüberwachung, die sich bereits etabliert haben.

Regelungen der DSGVO greifen auch zu Gunsten der Arbeitnehmer

Abseits der speziellen Regelungen zum Arbeitnehmerdatenschutz sind auch die Regelungen der DSGVO auf das Beschäftigtenverhältnis im vollen Umfang anzuwenden. In seinem Ratgeber für den Beschäftigtendatenschutz zeigt die baden-württembergische Aufsichtsbehörde dazu gängige Praxisbeispiele auf. Eines davon sind die Informationspflichten im Sinne des Art. 13 und 14 DSGVO, welche auch gegenüber den Mitarbeitern zu erfüllen sind. Die Anwendbarkeit der DSGVO erstreckt sich auf alle Themenbereiche, in denen das BDSG über keine eigenständige Regelung verfügt und die vorgesehenen Öffnungsklauseln der DSGVO nicht ausschöpft. Im Ergebnis kommt es zur alleinigen Anwendung der DSGVO oder zumindest einer parallelen Anwendung vom europäischen und nationalen Recht.

Zudem müssen die Grundsätze der DSGVO nach Art. 5 ff. DSGVO uneingeschränkt bei allen Verarbeitungsvorgängen zwingend beachtet werden.

Wenn Daten der Mitarbeiter zu anderen Zwecken verarbeitet werden als zu dem konkreten Zweck im Beschäftigungsverhältnis, dann ist auf das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f DSGVO die Verarbeitung zu stützen. Das kann beispielsweise der Fall sein, wenn der Arbeitgeber Pflichten nach dem Geldwäschegesetz oder Anti-Terror-Gesetzen nachkommt. Diese Zwecke haben mit dem Beschäftigungsverhältnis im Grunde genommen nichts zu tun und müssen unabhängig voneinander betrachtet werden.

Die Rechtsprechung des EuGH zum Beschäftigtendatenschutz

Die obigen Ausführungen lassen erkennen, dass der Beschäftigtendatenschutz einem stetigen Wandel unterlag, sei es durch die Rechtsprechung oder durch (mögliche) neue gesetzliche Regelungen. Auch der EuGH hat sich zum Arbeitnehmerdatenschutz geäußert. Besonders ein Urteil aus März 2023 sorgte dabei für Aufsehen.

Generalklausel § 26 Abs. 1 Satz 1 BDSG ist europarechtswidrig

Dem Urteil lag der Sachverhalt zugrunde, dass der Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium eine Klage beim Verwaltungsgericht Wiesbaden erhoben hatte, weil von den Lehrkräften keine Einwilligungen in die bei Videokonferenzen erfolgenden Datenverarbeitungen beim Liveunterricht eingeholt worden sind. Das Kultusministerium verwies dabei auf den § 23 Abs. 1 Satz 1 HDSIG, welcher quasi wortgleich mit § 26 Abs. 1 S. 1 BDSG ist. Das VG Wiesbaden hatte Zweifel an der Vereinbarkeit der Vorschrift mit EU-Recht und legte den Fall dem EuGH vor.

Der EuGH kam zu dem Ergebnis, dass die oben genannten nationalen Vorschriften keine spezifischeren Vorschriften im Verhältnis zur DSGVO seien, was Art. 88 Abs. 2 DSGVO jedoch voraussetze. Nach Auffassung des EuGH würden die nationalen Vorschriften die Regelungen der DSGVO lediglich wiederholen und stets zu einem gleichen Ergebnis führen. Das würde wiederum die Unanwendbarkeit der nationalen Vorschriften bedeuten, da das Unionsrecht in dieser Konstellation stets Vorrang genieße.

Auch wenn der EuGH nicht ausdrücklich festgestellt hat, dass die hessische Vorschrift die Voraussetzungen des Art. 88 DSGVO nicht erfüllt, hätte VG Wiesbaden vor dem Hintergrund des vorgenannten Hinweises nur mit sehr hohem Begründungsaufwand die nationale Regelung weiterhin anwenden können. Gleiches gilt daher auch für den nahezu wortgleichen § 26 BDSG, auch wenn diese Vorschrift nicht unmittelbar Gegenstand des Verfahrens war. In der Praxis dürften sich die Auswirkungen allerdings in Grenzen halten. In aller Regel lässt sich eine Datenverarbeitung im Rahmen des Beschäftigungsverhältnisses auf Art. 6 Abs. 1 lit. b DSGVO stützen. Auch diese Norm setzt das Merkmal der Erforderlichkeit voraus.

Strenge Vorgaben an Regeln zum Datenschutz in der Betriebsvereinbarung

Erst kürzlich hat der EuGH sich erneut zum Beschäftigtendatenschutz geäußert und einige Klarstellungen vorgenommen. In dem Fall selbst ging es um eine Betriebsvereinbarung, gegen die der Arbeitgeber aus Sicht des Klägers verstoßen hatte. Der Kläger machte geltend, dass die konkrete Art der Verarbeitung seiner Daten im Rahmen der Nutzung einer Personalmanagement-Software nicht erforderlich gewesen sei. Der Arbeitgeber habe u. a. deutlich mehr Daten an die Muttergesellschaft übermittelt, als dies nach der Betriebsvereinbarung zulässig gewesen sei. Das zuständige Gericht hatte Fragen zur Auslegung und zur Reichweite des Art. 88 Abs. 1 und Abs. 2 DSGVO.

Die Vorschrift nennt neben einfachen Gesetzen auch Kollektivvereinbarungen als mögliche Rechtsgrundlagen für Datenverarbeitungen im Beschäftigtenkontext. Der EuGH nahm die Vorlagefragen zum Anlass, um klarzustellen, dass die Rechtmäßigkeit von Betriebsvereinbarungen nicht allein an Art. 88 DSGVO zu messen ist, sondern die allgemeinen Grundsätze aus Art. 5, 6 und 9 DSGVO stets vollumfänglich beachtet werden müssen. Der EuGH hat deutlich gemacht, dass die DSGVO eine grundsätzlich vollständige Harmonisierung der nationalen Rechtsvorschriften zum Schutz personenbezogener Daten sicherstellen soll. Darüber hinaus hat der EuGH ausgeführt, dass die gerichtliche Überprüfung der Rechtmäßigkeit nicht eingeschränkt sei. Andernfalls würde die Gefahr drohen, dass die Vorgaben der DSGVO im Falle von unzureichenden Betriebsvereinbarungen quasi durch die Hintertür ausgehebelt werden.

Die Frage, ob Betriebsvereinbarungen dann noch eigenständige Rechtsgrundlagen darstellen können, hat der EuGH formell nicht beantwortet. Der Spielraum diesbezüglich dürfte durch das Urteil aber zumindest deutlich kleiner geworden sein. Die Kollektivparteien müssen sich zudem darauf einstellen, dass in der Praxis nun häufiger eine gerichtliche Überprüfung des Rahmens der Datenverarbeitungs erfolgen kann. Auch ist zu erwarten, dass Datenverarbeitungen auf Grund von Kollektivvereinbarungen zukünftig deutlich genauer definiert und beschrieben werden müssen.

Drama ohne Ende: Das Beschäftigtendatenschutzgesetz

Wie bereits erwähnt, war ein eigenen Ge­setz zum Da­ten­schutz am Ar­beits­platz schon seit längerer Zeit im Gespräch oder gar in Planung. Ein finales Ergebnis hat es aber leider nie gegeben. In der gerade beendeten Legislaturperiode hatten das Bundesministerium für Arbeit und Soziales und das Bundesministerium des Innern und für Heimat am 08.10.2024 einen Entwurf des Beschäftigtendatengesetzes veröffentlicht. Wesentliche Punkte des Entwurfs waren u. a. Regelungen zur Einwilligung bezüglich Beschäftigtendaten, Löschfristen von Bewerberdaten, zur Überwachung von Beschäftigten sowie zur Mitbestimmung des Betriebsrats.

Da die Ampel-Koalition allerdings nur kurz darauf ein spektakuläres Ende nahm, liegt auch dieser Entwurf wieder auf Eis. Mit Blick auf die Programme der Parteien zur Bundestagswahl, in welchen sich nur die SPD für ein Beschäftigtendatenschutzgesetz ausgesprochen hat, und mit Blick auf den angestrebten Bürokratie-Abbau ist es derzeit unwahrscheinlich, dass das Thema im neuen Koalitionsvertrag eine Rolle spielen wird.

Die Diskussionen gehen weiter

Die Datenverarbeitung im Beschäftigtenverhältnis ist und bleibt ein heikles Thema. Dies ergibt sich schon daraus, dass Daten von Beschäftigten oftmals sehr sensibel oder vertraulich sind. Die zahlreichen Urteile und Rechtsansichten aus der Praxis tun ihr Übriges. Wir dürfen gespannt sein, ob die neue Regierung vielleicht doch den Ball aufnehmen wird und mittels des bereits vorliegenden Entwurfs für mehr Klarheit sorgen kann. Aber eins dürfte – auch angesichts der bewegten Geschichte von Arbeitnehmerrechten in Deutschland – sicher sein: Die Diskussionen zwischen Arbeitgeber, Betriebsrat und den Beschäftigten werden nicht abreißen.