Datenschutz und Arbeitsrecht

Das Thema Datenschutz spielt im Arbeitsrecht eine immer größere Rolle, so dass wir uns entschieden haben, dem Datenschutz im Arbeitsrecht eine eigene Rubrik zu widmen. Wir werden hier die Grundzüge des Datenschutzes im Arbeitsrecht darstellen und im Laufe der Zeit immer wieder Artikel zum Datenschutz einstellen (z.B. GPS-Tracker, Videoüberwachung am und um den Arbeitsplatz, das Auskunftsrecht des Arbeitnehmers, Schadenersatz bei Verletzung des Datenschutzes bzw. des Persönlichkeitsrechts, Einsichtsrecht in die Personalakte usw.). 


Die Historie
Nach jahrelanger Phase der Planung in jedem EU-Mitgliedstaat trat ohne weiteren Umsetzungsakt die EU-Datenschutz-Grundverordnung in Kraft, in Deutschland nach Umsetzung die Datenschutzgrundverordnung. Die Verarbeitung personenbezogener Daten ist hiernach nur mit Einwilligung des Betroffenen möglich, sie ist nur dann rechtmäßig, wenn ein in der Grundverordnung niedergelegter Erlaubnistatbestand greift.

Zeitgleich mit Inkrafttreten der DSGVO wurde das Bundesdatenschutzgesetz (BDSG) an die DSGVO angepasst und der Wortlaut der DSGVO übernommen. Die Bestimmungen des BDSG finden nunmehr Anwendung auf die Verarbeitung personenbezogener Daten durch öffentliche und auf die automatische Verarbeitung personenbezogener Daten durch nichtöffentliche Stellen sowie die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder werden sollen. Die Vorschriften des BDSG finden keine Anwendung, soweit das Recht der Europäischen Union, insbesondere die Datenschutzgrundverordnung, gilt.

Im Arbeitsrecht enthält die Datenschutzgrundverordnung in Art. 88 eine Öffnungsklausel. Es ist hiernach den Mitgliedsstaaten ermöglicht, den Bereich der Verarbeitung personenbezogener Beschäftigtendaten eigenständig zu regeln. Zentrale Norm im BDSG ist nunmehr § 26, er stellt den zentralen Erlaubnistatbestand des Arbeitnehmerdatenschutzes dar.


Bewerbung und Datenschutz 
Bereits bei der Anbahnung von Arbeitsverhältnissen ist der Datenschutz zu wahren, nach § 26 BDSG dürfen nur personenbezogene Daten verarbeitet werden, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Dies bedeutet, dass Arbeitgeber bereits bei der Bewerbersuche § 26 BDSG zu beachten ist. So unterliegt exemplarisch die Recherche von geeigneten Arbeitnehmern in einem freizeitorientierten Netzwerk wie Facebook deutlich höheren datenschutzrechtlichen Anforderungen als in einem berufsorientierten Netzwerk, wie zum Beispiel Xing. Bei einer Vernetzungsanfrage in einem freizeitorientierten Netzwerk ist zB der potentielle Arbeitnehmer direkt mit der Vernetzungsanfrage auf die bevorstehende konkrete Datenverarbeitung und deren Zweck hinzuweisen.

Es dürfen nur Daten eines Bewerbers erhoben und gespeichert werden, die für die Entscheidung über die Begründung des Arbeitsverhältnisses erforderlich sind. Selbst verständlich dürfen auch nur die in rechtlich zulässiger Weise erhobenen Daten gespeichert werden. In diesem Zusammenhang ist auf die Regeln des allgemeinen Gleichbehandlungsgesetzes (AGG) hinzuweisen, wonach ein Verbot der Ungleichbehandlung aus Gründen des Alters, der sexuellen Identität, der Rasse, Herkunft, Geschlecht, Religion oder Weltanschauung besteht. Bei Ablehnung eines Bewerbers ist eine Speicherung der Daten über den Entscheidungszeitpunkt bzw. die Ausschlussfristen des § 15 Abs. 4 AGG unzulässig. Eine Diskriminierung eines Bewerbers aus vorbenannten Gründen führt, soweit der Arbeitnehmer sich hierauf beruft, zu einer Schadenersatzpflicht des Arbeitgebers. 


Speicherung der Daten während des Arbeitsverhältnisses
Auch während des Arbeitsverhältnisses sind nur die Stammdaten des Arbeitnehmers (Geschlecht, Familienstand, schulischer Werdegang, Ausbildung, erworbene Qualifikation und Sprachkenntnisse) als erforderliche Daten anzusehen, weitere Daten dürfen per se nicht gespeichert werden. Die Speicherung einer privaten Mobilfunknummer ohne den Willen des Arbeitnehmers ist insofern nur dann zulässig, wenn die Aufgabenerfüllung dies erfordert.

Die Führung von Personalakten steht gleichfalls unter datenschutzrechtlichen Vorgaben. Die Personalakte darf keine Daten enthalten, die einer transparenten Einsichtnahme durch den Arbeitnehmer nicht zugänglich ist, der Arbeitnehmer hat Anspruch auf Einsicht und gegebenenfalls Berichtigung seiner Personalakte. In dieser dürfen sich nur die Daten befinden, die für die Durchführung oder mögliche Beendigung des Beschäftigungsverhältnisses erforderlich sind. Führt der Arbeitgeber die Personalakte in der Cloud, so bleibt der Arbeitgeber als Auftraggeber die verantwortliche Stelle im Sinne der Datenschutzgrundverordnung. Er muss den Cloud-Dienstanbieter sorgfältig auswählen und regelmäßig überprüfen, ob die Datenschutzbestimmungen eingehalten werden.

Selbst bei Maßnahmen zur Aufdeckung von Straftaten sind die restriktiven Vorgaben des Bundesdatenschutzgesetzes zu beachten. Maßnahmen etwa zur Überwachung verdächtiger Personen sind nur dann zulässig, wenn der Verdacht im Hinblick auf Täterkreis, Ausmaß und Schaden schriftlich oder elektronisch fixiert, mithin hinreichend konkretisiert ist.

Sollten Sie Fragen rund um das Thema Datenschutz im Arbeitsrecht haben, stehen wir Ihnen gerne in einem Beratungsgespräch zu Verfügung

Szymanski und Kollegen Rechtsanwälte
Fachanwälte für Arbeitsrecht

Überwachung eines Dienstfahrzeuges mittels GPS-Tracker

Der Arbeitgeber hat regelmäßig ein Interesse zu erfahren, wo sich das Dienstfahrzeug eines Außendienstmitarbeiters befindet. Die Verarbeitung personenbezogener Daten im Arbeitsverhältnis richtet sich nach Art. 88 DSGVO i.V.m. § 26 BDSG und bedarf stets der Erlaubnis. So verhält es sich auch hinsichtlich der Erfassung und der Speicherung sowie der Nutzung von einer in das Dienstfahrzeug eines Außendienst-Mitarbeiters eingebauten Telematik-Box (GPS-Erfassung). Der Arbeitgeber hat die Einwilligung des Arbeitnehmers zur Erhebung und Verarbeitung dieser personenbezogenen Daten einzuholen, nach inzwischen ständiger Rechtsprechung ist der Arbeitnehmer nicht verpflichtet, diese Einwilligung zu erteilen. Bei der durch die Telematik-Box gewonnenen Daten handelt es sich um personenbezogene Daten. Das Recht des Arbeitnehmers auf informationelle Selbstbestimmung ist im Rahmen einer Interessenabwägung gegenüber dem Informationsinteresse des Arbeitgebers als schützenswerter anzusehen, ferner haben Arbeitgeber nach Art. 5 Abs. 1c DSGVO den Grundsatz der Datenminimierung zu beachten (exemplarisch Arbeitsgericht Heilbronn Urteil vom 30. Januar 2019, 2 Ca 360/18).

Eine derartige Überwachung von Arbeitnehmern muss sich immer an den strengen Vorgaben der DSGVO und des BDSG messen lassen, eine verdachtsunabhängige Kontrolle ist in der Regel unzulässig. Es zeigt sich, dass die Ortung der Arbeitnehmer mittels GPS-Tracker nur in sehr engen Grenzen und im Ausnahmefall zulässig ist. Und selbst wenn sie im Ausnahmefall zulässig ist, zum Beispiel als letztes zur Verfügung stehendes Mittel, um einen Arbeitnehmer einer Straftat zu überführen, so ist auch diese Maßnahme mitbestimmungspflichtig nach dem Betriebsverfassungsgesetz.

Arbeitgeber, die gleichwohl heimlich das Dienstfahrzeug mit GPS-Trackern zur Überwachung der Arbeitnehmer auszustatten, laufen Gefahr zur Unterlassung und ggf sogar zur Zahlung eines Schmerzensgeldes an den Arbeitnehmer verurteilt zu werden.

Sollte Sie noch weitere Fragen zum Thema Datenschutz im Arbeitsrecht haben, stehen wir Ihnen gerne in einem Beratungsgespräch zur Verfügung.

Szymanski und Kollegen Rechtsanwälte
Fachanwälte für Arbeitsrecht