Ob im Bewerbungsgespräch, bei langer Betriebszugehörigkeit oder während des Kündigungsprozesses: Arbeitnehmer wollen und sollen darauf vertrauen können, dass ihre personenbezogenen Daten bei Arbeitgebern in den besten Händen sind. Dies zeigt nicht zuletzt das EUR 35 Mio. Bußgeld gegen H&M wegen Verletzung des Beschäftigtendatenschutzes. Die 2018 in Kraft getretene Datenschutz-Grundverordnung (DS-GVO) hat diese Sicherheit nicht nur innerhalb Deutschlands, sondern auch EU-weit manifestiert.
Doch neben ihr tut sich auf nationalrechtlicher Ebene ein gesetzlicher Freiraum auf, da auch das Bundesdatenschutzgesetz und das Arbeits- und Sozialrecht auf diesem Feld zu beachten sind. In diesem Artikel erfahren Sie, in welchem Verhältnis der Beschäftigtendatenschutz und die DS-GVO zueinanderstehen und worauf Sie achten sollten, um alle Regeln einzuhalten.
Das Wichtigste in Kürze
- EU-weit ist die Datenschutz-Grundverordnung (DS-GVO) zwar richtungsweisend, schafft aber nationalrechtlich durch ihre Öffnungsklauseln Freiräume.
- Das Bundesdatenschutzgesetz (BDSG) nutzt eine solche Öffnungsklausel und definiert eigene Vorschriften.
- Das BDSG kann der DS-GVO vorausgehen, sofern in der DS-GVO keine spezielleren Vorschriften zu finden sind. Dem BDSG wiederum können Arbeits- oder Sozialrecht vorgehen.
- Beschäftigtendaten können auf Basis von Gesetzen, Kollektivvereinbarungen oder individuellen Einwilligungen verarbeitet werden.
- Ob Kollektivvereinbarungen beim Beschäftigtendatenschutz das gesetzliche Datenschutzniveau unterschreiten dürfen, ist umstritten.
- Arbeitnehmer sind Betroffene im Sinne der DS-GVO, Arbeitgeber gelten dagegen üblicherweise als Verantwortliche.
In diesem Beitrag
- Worum geht es beim Beschäftigtendatenschutz?
- Gibt es in Deutschland ein Beschäftigtendatenschutzgesetz?
- Wie wird der Beschäftigtendatenschutz geregelt?
- In welcher Beziehung befinden sich Datenschutz und Arbeitsrecht?
- Um wen geht es im Bundesdatenschutzgesetz (BDSG) konkret?
- Auf welcher Grundlage dürfen Arbeitgeber die Daten von Beschäftigten verarbeiten?
- Aus welchen Gründen dürfen Arbeitgeber Daten ihrer Beschäftigten verarbeiten?
- Dürfen Kollektivvereinbarungen beim Beschäftigtendatenschutz das gesetzliche Datenschutzniveau unterschreiten?
- Was ist bei der Einwilligung zur Datenverarbeitung zu beachten?
- Welche Rechte und Pflichten haben Arbeitgeber und Arbeitnehmer?
- Fazit
Worum geht es beim Beschäftigtendatenschutz?
Beschäftigtendatenschutz ist ein Thema so alt wie der Datenschutz selbst. Mit dem Beschäftigtendatenschutz soll sichergestellt werden, dass mit den personenbezogenen Daten von Beschäftigten sicher und verantwortungsvoll umgegangen wird. Der Beschäftigtendatenschutz regelt deshalb, wie die sensiblen Daten Beschäftigter aufgenommen, gespeichert und verarbeitet werden.
Gibt es in Deutschland ein Beschäftigtendatenschutzgesetz?
Auch wenn es schon seit Jahrzehnten diskutiert wird, gibt es in Deutschland kein eigenes Beschäftigungsdatenschutzgesetz. 2010 brachte die Bundesregierung einen Gesetzentwurf ein, der jedoch nie verabschiedet wurde. Mitte Juni 2020 hat jedoch der Beirat zum Beschäftigtendatenschutz beim Arbeitsministerium seine Arbeit aufgenommen, um konkrete Empfehlungen für ein eigenes Gesetz zu erarbeiten.
Wie wird der Beschäftigtendatenschutz geregelt?
Die DS-GVO schafft den gesetzlichen Rahmen für den Beschäftigtendatenschutz und gibt die Richtung vor. Durch ihre sogenannten Öffnungsklauseln ergeben sich für EU-Staaten, für welche die DS-GVO seit 2018 verpflichtend ist, allerdings Freiräume. Im Rahmen von Art. 88 der DS-GVO können nationale Gesetzgeber spezifische Vorschriften für den Umgang mit Arbeitnehmerdaten erlassen.
Diesen Freiraum nutzt das Bundesdatenschutzgesetz (BDSG) auf nationalrechtlicher Ebene. Neben dem BDSG greift auch das Arbeitsrecht. Außerdem können sogenannte Kollektivvereinbarungen, wie Tarifverträge und Betriebsvereinbarungen, zusätzliche datenschutzrechtliche Regelungen enthalten. In Deutschland waren wir diesen individuellen Umgang quasi schon gewohnt. Denn Mitarbeitervertretungen, also Betriebsräte und Gewerkschaften, sind bei uns schon lange etabliert.
In welcher Beziehung befinden sich Datenschutz und Arbeitsrecht?
Traditionell treffen Datenschutz und Arbeitsrecht in einem Spannungsfeld aufeinander. Oft gehen sie Hand in Hand, doch manchmal können sie auch auseinanderdriften. § 26 des BDSG regelt die Datenverarbeitung für Zwecke des Beschäftigungsverhältnisses. Dieses sogenannte Lex specialis geht teilweise den allgemeineren Regeln der DS-GVO vor.
Das Bundesdatenschutzgesetz kann allerdings auch nachrangig werden, wenn es noch speziellere Gesetze gibt – etwa aus dem Arbeits- oder Sozialrecht. Grundsätzlich folgt der Datenschutz hier dann dem jeweils spezielleren Recht.
Alles, was arbeitsrechtlich verboten ist, ist deshalb auch datenschutzrechtlich nicht zulässig. Ein Mitarbeiter dürfte also beispielsweise nicht acht Stunden lang am Arbeitsplatz überwacht werden. Geht es um spezifische Fragestellungen wie Sozialversicherungsbeiträge oder Schwerbehindertenregelungen, müssen ohnehin beide Felder betrachtet werden. Mit Datenschutz allein kommt man hier nicht weiter, mit Arbeits- und Sozialrecht allein auch nicht.
Um wen geht es im BDSG konkret?
In § 26 (8) definiert das Bundesdatenschutzgesetz, wer als Beschäftigter gilt. Neben Angestellten zählen unter anderem auch Auszubildende, Bundesfreiwilligendienstleistende und mittlerweile auch Leiharbeitnehmer zur Gruppe der Beschäftigten. Ob die Letztgenannten als Beschäftigte im Sinne des Datenschutzes zu werten sind, war in der Vergangenheit lange umstritten.
Auf welcher Grundlage dürfen Arbeitgeber die Daten von Beschäftigten verarbeiten?
Es existieren drei sogenannte Erlaubnistatbestände, nach denen Unternehmen die Daten von Beschäftigten verarbeiten dürfen. Die Basis für die Datenverarbeitung kann Folgendes sein:
- gesetzliche Grundlage, wie z. B. das BDSG oder die DS-GVO
- Kollektivvereinbarungen, wie z. B. eine Betriebsvereinbarung
- Individuelle Einwilligung des Beschäftigten in die Verarbeitung seiner Daten
Aus welchen Gründen dürfen Arbeitgeber Daten ihrer Beschäftigten verarbeiten?
Arbeitgeber dürfen laut § 26 (1) des BDSG Daten ihrer Beschäftigten aus drei Gründen erheben und speichern: zur Begründung, Durchführung und Beendigung des Beschäftigungsverhältnisses.
- Begründung: Arbeitgeber dürfen die personenbezogenen Daten verarbeiten, die zur Begründung eines Beschäftigungsverhältnisses erforderlich sind, wie Bewerberdaten.
- Durchführung: Bei Durchführung des Arbeitsverhältnisses ist es ebenfalls erforderlich, Daten zu erheben und zu speichern, beispielsweise für die Lohnbuchhaltung.
- Beendigung: Außerdem dürfen personenbezogene Daten beim Ende des Beschäftigungsverhältnisses verarbeitet werden. Dazu zählen Kündigung, Abfindungszahlungen oder eine betriebliche Altersvorsorge, die erst nach Renteneintritt und damit nach Beendigung des Beschäftigungsverhältnisses ausgezahlt wird.
Gemäß § 26 (1) des BDSG ist es außerdem erlaubt, Daten von Beschäftigten zu verarbeiten, um Straftaten aufzudecken. Liegen konkrete Anhaltspunkte vor, dass ein Mitarbeiter im Zusammenhang mit seiner Beschäftigung eine Straftat begangen hat, kann es deshalb z. B. zulässig sein, das E-Mail-Postfach zu kontrollieren.
Dürfen Kollektivvereinbarungen beim Beschäftigtendatenschutz das gesetzliche Datenschutzniveau unterschreiten?
Betriebsvereinbarungen und Tarifverträge sind eigene Rechtsgrundlagen für die Verarbeitung personenbezogener Daten von Beschäftigten. Dabei sind datenschutzrechtliche Mindestanforderungen zu erfüllen. Hier stellt sich in der Praxis oft die Frage, ob diese Kollektivvereinbarungen dabei das gesetzliche Datenschutzniveau unterschreiten dürfen.
Die Datenschutzbehörden sind der Auffassung, dass das unzulässig ist. Das Bundesarbeitsgericht hat dagegen in der Vergangenheit geurteilt, dass eine solche Praxis erlaubt ist. Allerdings wurde dieses Urteil vor Inkrafttreten der DS-GVO erlassen – es ist deshalb derzeit umstritten, ob Kollektivvereinbarungen das gesetzliche Datenschutzniveau unterlaufen dürfen.
Was ist bei der Einwilligung zur Datenverarbeitung zu beachten?
In puncto Einwilligung wurde lange gestritten: Da der Arbeitgeber sich grundsätzlich in einer stärkeren Position als der Arbeitnehmer befindet, waren sich Datenschutzbehörden und Juristen lange nicht einig, ob im Falle von Arbeitnehmern überhaupt von Freiwilligkeit die Rede sein kann. Letztlich haben jedoch auch die Datenschutzbehörden dem zugestimmt. Die Rechtsprechung des Bundesarbeitsgerichtes sah dies auch vor Inkrafttreten der DS-GVO bereits als zulässig an.
Welche Rechte und Pflichten haben Arbeitgeber und Arbeitnehmer?
Ein Arbeitnehmer ist Betroffener laut DS-GVO, ihm stehen also dieselben Rechte wie allen anderen Betroffenen zu. Er hat in Bezug auf seine personenbezogenen Daten also das Recht auf Auskunft, Löschung und Berichtigung. Ebenso genießt er das Recht auf Einwilligung, das zum Beispiel im Falle online veröffentlichter Mitarbeiterfotos, greift. Zudem kann er arbeitsrechtliche Instrumentarien nutzen und z. B. den Betriebsrat um Unterstützung bitten.
Die Rechte der Betroffenen stoßen dabei allerdings an Grenzen: Während des Arbeitsverhältnisses zu verlangen, die Daten zu löschen, wäre z. B. nicht vollumfänglich möglich. Denn sonst liefe das Arbeitsverhältnis schließlich nicht weiter, da beispielsweise das Gehalt nicht mehr überwiesen werden könnte, wenn die Bankverbindung nicht mehr gespeichert sein dürfte.
Arbeitgeber sind dagegen selbstverständlich keine Betroffenen, sondern haben üblicherweise die Rolle des Verantwortlichen. Für sie gelten damit sämtliche DS-GVO-Pflichten eines Verantwortlichen. Außerdem trägt der Arbeitgeber die Verantwortung dafür, dass arbeitsrechtliche Grenzen nicht verletzt werden, wie z. B. bei der Mitarbeiterüberwachung, die natürlich auch datenschutzrechtlich unzulässig sein kann.
Fazit
DS-GVO ist gut, BDSG und DS-GVO – noch besser. Das gilt zumindest dann, wenn es im Betrieb ins Detail gehen soll. Außerdem lohnt der Blick ins Arbeits- und Sozialrecht. Es ist ferner sehr wahrscheinlich, dass Politik und Rechtsprechung beim Beschäftigtendatenschutz noch nachjustieren werden, um sowohl die Rechte von Arbeitnehmern zu jeder Zeit zu schützen als auch Arbeitgebern gleichzeitig betriebliche Handlungsspielräume zu geben.
Sie haben Fragen zur Einhaltung der DS-GVO oder suchen nach einem externen Datenschutzbeauftragten?
Bei DataGuard sind zertifizierte Experten auf Augenhöhe für Sie da. Buchen Sie Ihr persönliches Gespräch mit einem Branchenexperten und lernen Sie uns persönlich kennen: