Angesichts der kontinuierlich wachsenden Menge an Daten – nicht nur im KI-Zusammenhang – gewinnt der Datenschutz zunehmend an Bedeutung, auch der Beschäftigtendatenschutz. Den wenigsten allerdings ist bekannt, was Beschäftigtendatenschutz überhaupt bedeutet. Das wiederum liegt daran, dass es kein Gesetz gibt, dass die Inhalte des Beschäftigtendatenschutzes regelt. Seit Jahren arbeiten unter wechselnden Regierungskonstellationen Experten an einem Beschäftigtendatenschutz-Gesetz, aber bislang konnte noch kein Konsens über den konkreten Inhalt in den beteiligten Kreisen gefunden werden.
Die aktuelle Ausgangslage: Beschäftigtendatenschutz ohne eigenes Gesetz
So haben wir also gegenwärtig noch die Situation, dass der Schutz der personenbezogenen Daten von Beschäftigten aus den Generalklauseln der Datenschutzgrundverordnung (DSGVO) und im Wesentlichen einem Paragrafen im Bundesdatenschutzgesetz (§ 26 BDSG) herausgelesen werden muss.
Zur Erläuterung: Bei der DSGVO handelt es sich um ein europäisches Gesetz über den Umgang mit personenbezogenen Daten, das für alle europäischen Mitgliedstaaten verbindlich ist. Nur in einem geringen Ausmaß gestattet die DSGVO Sonderregelungen in den Gesetzen der einzelnen europäischen Staaten, in Deutschland dem BDSG, sofern diese die europäischen Grundgedanken beachten.
Rechtsanwalt Sendler: „Im Jahr 2023 jedoch hat der Europäische Gerichtshof (EuGH, Urteil vom 30. März 2023, Az. C‑34/21) das Urteil eines hessischen Verwaltungsgerichts bestätigt, wonach eine Norm des hessischen Landesdatenschutzgesetzes wegen Verstoßes gegen Europarecht rechtswidrig sei, die dummerweise den gleichen Wortlaut hat wie die Norm zum Beschäftigtendatenschutz im BDSG. Bis zur endgültigen Klärung behilft man sich jetzt mit den Generalklauseln in Art. 6 Abs. 1 DSGVO, um die Datenverarbeitung im Zusammenhang mit Beschäftigungsverhältnissen auf eine Rechtsgrundlage zu stellen.“
Diese Ausgangslage schreit danach, ein Gesetz zu schaffen, welches sich ausschließlich mit dem Datenschutz im Arbeitsverhältnis befasst. Aber hierzu bedarf es Geduld, wie die Erfahrungen aus den letzten Jahren zeigen.
Welche Daten dürfen im Beschäftigungsverhältnis verarbeitet werden?
Was aber bedeutet Datenschutz bzw. der Schutz personenbezogener Daten im Beschäftigungsverhältnis gegenwärtig? Grundsätzlich geht es um den Schutz von personenbezogenen Daten der Arbeitnehmerinnen und Arbeitnehmer, die im Zusammenhang mit der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erhoben werden. Dazu gehören neben den üblichen Stammdaten wie Name und Anschrift zum Teil auch sogenannte „besonderer Kategorien personenbezogener Daten“ wie Religionszugehörigkeit, Steuerklasse, Kinderfreibeträge usw. Rechtsgrundlage hierfür ist zunächst einmal die Erlaubnisvorschrift des Art. 6 Abs. 1 lit b DSGVO, nämlich die Erhebung zur Begründung und Durchführung eines Vertrages.
Anwalt Sendler: „Erhoben werden dürfen also nur Daten, die für die Durchführung des Arbeitsvertrages erforderlich sind. Daraus folgt beispielsweise, dass die Frage nach der sexuellen Orientierung oder einer Gewerkschaftsmitgliedschaft unzulässig ist, weil solche Informationen für die Durchführung des Arbeitsvertrages nicht benötigt werden.“
Pflichten des Arbeitgebers beim Schutz von Beschäftigtendaten
Dieser Schutz wirkt nicht nur für Arbeitnehmerinnen und Arbeitnehmer, sondern auch für Auszubildende, Praktikanten, Bewerber und Leiharbeitnehmer. Es ist Aufgabe des Arbeitgebers, für alle in seinem Unternehmen tätigen Personen den nach der Datenschutzgrundverordnung erforderlichen Schutz gleichermaßen zu gewährleisten, und zwar unabhängig von der Unternehmensgröße.
Zur Pflicht des Arbeitgebers gehört es auch, die personenbezogenen Daten der Arbeitnehmerinnen und Arbeitnehmer vor unbefugter Einsicht oder unzulässigem Zugriff durch andere Mitarbeitende zu schützen, sofern diese nicht kraft ihrer Aufgaben verpflichtet sind, mit den Beschäftigtendaten umzugehen, z.B. in der Personalverwaltung oder im Zusammenhang mit Sonderaufgaben (z.B. Strahlenschutz, Betriebsarzt etc.). Hier ist ein sorgfältiges Berechtigungskonzept erforderlich – wer darf welche Daten einsehen und warum. Auch Richtlinien und Schulungen unterstützen die Stärke des Beschäftigtendatenschutzes im Betrieb.
Rechtsanwalt Sendler: „Große Vorsicht ist immer geboten, wenn eine Datenverarbeitung im Beschäftigungsverhältnis auf eine Einwilligung gestützt werden soll, beispielsweise die Einwilligung einer Arbeitnehmerin in die Herstellung und Verwendung von Fotos für die Gestaltung der Unternehmenswebsite. Obwohl es für Datenschutzlaien zunächst nicht plausibel klingt, ist die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) die schwierigste aller in Betracht kommenden Rechtsgrundlagen für die Datenverarbeitung. Denn damit eine Einwilligung datenschutzrechtlich wirksam ist, müssen verschiedene Voraussetzungen erfüllt werden, die nicht jedermann geläufig sind (z.B. Hinweis auf Widerrufsrecht, Informiertheit über die Reichweite der Einwilligung, Freiwilligkeit). Der überwiegende Teil der Rechtsprechung und der Fachliteratur ist der Auffassung, dass eine im Rahmen des Arbeitsverhältnisses erteilte Einwilligung überhaupt nur ausnahmsweise freiwillig erklärt worden sei, und zwar wegen des latenten „Machtgefälles“ im abhängigen Beschäftigungsverhältnis.“
Betriebsrat und Beschäftigtendatenschutz: Mitbestimmung, Verantwortung und Vertrauen
Eine wichtige Rolle nimmt im Zusammenhang mit Datenschutz auch ein gegebenenfalls vorhandener Betriebsrat ein. Gemäß Art. 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein erzwingbares Mitbestimmungsrecht bei der Einführung und Anwendung von technischen Einrichtungen, die geeignet sind, das Verhalten oder die Leistung der Arbeitnehmerinnen und Arbeitnehmer zu überwachen. Dies gilt beispielsweise bei Zeiterfassungssystemen, Zutrittskontrollen, Telefonie- oder Ticket-Systemen (so z.B. kürzlich entschieden bei der Einführung von Headsets).
Anwalt Sendler: „In den genannten Zusammenhängen kann die Zusammenarbeit mit dem Betriebsrat außerordentlich nützlich und auch hilfreich sein. Der Betriebsrat hat gemäß § 79a BetrVG nicht nur auch seinerseits zwingend den Datenschutz zu beachten. Er verfügt vielfach auch über Fach- und Sachkompetenz, um an für alle Beteiligten hilfreichen Betriebsvereinbarungen mitzuwirken, die Zweck und Umfang von Datenverarbeitungen, Zugriffsrechte und Löschfristen regeln.“
Beschäftigtendatenschutz als rechtliche Pflicht und Vertrauensfaktor
Nach allem bleibt festzuhalten, dass der Beschäftigtendatenschutz zwar nirgendwo umfassend kodifiziert, d. h. in Gesetze gefasst ist. Die Pflicht zum Schutz der personenbezogenen Daten der in abhängigen Beschäftigungsverhältnissen stehenden Menschen in Deutschland ist jedoch aufgrund der allgemeinen gesetzlichen Vorgaben in der europäischen Datenschutzgrundverordnung – und auch des Grundgesetzes – von größter Bedeutung und nicht zuletzt Maßstab für das Vertrauen im Arbeitsverhältnis.
Rechtsanwalt Sendler: „Arbeitgeberin und Arbeitgeber sollten daher größten Wert legen auf die Einhaltung und Wahrung des Schutzes der personenbezogenen Daten ihrer Beschäftigten. Hierzu bedarf es der Einrichtung eines gut strukturierten Datenschutzmanagement-Systems.“
In meiner Beratung zeigt sich immer wieder, wie eng Datenschutz, Arbeitsrecht und Vertragsrecht miteinander verbunden sind. Durch meine langjährige Tätigkeit im Arbeitsrecht und meine besondere datenschutzrechtliche Qualifikation betrachte ich diese Themen stets im Zusammenhang. Gerade vor dem Hintergrund der bestehenden Rechtsunsicherheiten ist eine frühzeitige anwaltliche Beratung wichtig, um klare Strukturen zu schaffen und rechtliche Risiken zu vermeiden.
Häufig gestellte Fragen zum Beschäftigtendatenschutz
Beschäftigtendatenschutz regelt den Umgang mit personenbezogenen Daten von Beschäftigten im Arbeitsverhältnis. Er betrifft Daten von Arbeitnehmern, Bewerbern, Auszubildenden und Praktikanten. Ziel ist der Schutz dieser Daten vor unzulässiger Verarbeitung.
Nein, ein eigenständiges Beschäftigtendatenschutzgesetz gibt es in Deutschland bislang nicht. Die rechtlichen Vorgaben ergeben sich vor allem aus der DSGVO und ergänzend aus § 26 BDSG. Diese Regelungen gelten bundesweit, auch für Unternehmen in Hamburg.
Die DSGVO ist europäisches Recht und gilt unmittelbar in allen EU-Mitgliedstaaten. Das BDSG ist ein deutsches Gesetz, das die DSGVO nur dort ergänzt, wo nationale Regelungen ausdrücklich erlaubt sind. Im Beschäftigtendatenschutz ist dieses Zusammenspiel besonders relevant.
Arbeitgeber dürfen nur solche personenbezogenen Daten verarbeiten, die für das Arbeitsverhältnis erforderlich sind. Dazu gehören etwa Stammdaten, Abrechnungsdaten oder steuerliche Angaben. Nicht erforderliche Informationen dürfen grundsätzlich nicht erhoben werden.
Unzulässig sind Fragen, die keinen Bezug zur Tätigkeit haben. Dazu zählen insbesondere Fragen zur sexuellen Orientierung, zur Gewerkschaftszugehörigkeit oder zu privaten Lebensumständen. Solche Daten sind für die Durchführung des Arbeitsvertrags nicht erforderlich.
Eine Einwilligung nach der DSGVO muss freiwillig, informiert und jederzeit widerruflich sein. Beschäftigte müssen klar erkennen können, wofür ihre Daten verwendet werden. Im Arbeitsverhältnis ist die Wirksamkeit einer Einwilligung häufig problematisch.
Arbeitgeber müssen Beschäftigtendaten vor unbefugtem Zugriff schützen. Dazu gehören technische und organisatorische Maßnahmen wie Berechtigungskonzepte, Richtlinien und Schulungen. Diese Pflichten gelten unabhängig von der Unternehmensgröße.
Der Betriebsrat hat ein Mitbestimmungsrecht bei technischen Systemen, die Beschäftigte überwachen können. Dazu zählen etwa Zeiterfassung, Zutrittskontrollen oder IT-Systeme. Ziel ist der Schutz der Persönlichkeitsrechte der Beschäftigten.
