Arbeitnehmerdatenschutz - Ein Überblick über die aktuelle Rechtslage und ein Ausblick auf die zukünftige Entwicklung

Inhaltsverzeichnis

1 Einleitung

2 Verfassungsrechtliche Grundlagen

3 Zentrale Begriffe des Datenschutzes
3.1 Personenbezogene Daten
3.2 Verarbeitung personenbezogener Daten
3.3 Verantwortlicher der Verarbeitung

4 Grundsätze des Umgangs mit personenbezogenen Daten
4.1 Verbot mit Erlaubnisvorbehalt
4.1.1 Einwilligung
4.1.2 Erlaubnis durch andere Rechtsvorschriften
4.1.3 Erlaubnis durch das BDSG
4.2 Prinzipien der Erforderlichkeit und Zweckbindung
4.3 Prinzipien der Datensparsamkeit und Datenvermeidung
4.4 Transparenz der Datenverarbeitung

5 Rechte der Arbeitnehmer und Arbeitgeber
5.1 Rechte des Arbeitnehmers
5.1.1 Recht auf Benachrichtigung
5.1.2 Auskunftsanspruch und Recht auf Einsicht
5.1.3 Recht auf Korrektur
5.1.4 Indirekter Schutz durch Datenschutzbeauftragte
5.2 Rechte des Arbeitgebers
5.2.1 Fragerecht
5.2.2 Telefondatenerfassung
5.2.3 Videoüberwachung
5.2.4 Nutzung von Internet und E-Mail
5.2.5 Rechte nach Beendigung des Arbeitsverhältnisses

6 Der Entwurf eines Beschäftigtendatenschutzgesetzes

7 Zusammenfassung und Ausblick

8 Literaturverzeichnis

9 Internetquellen

1 Einleitung

Zahlreiche Vorfälle in jüngster Vergangenheit haben den Arbeitnehmerdatenschutz in den Fokus der Aufmerksamkeit gerückt. Medien berichteten von Datenskandalen in verschiedenen Unternehmen. So wurden unter anderem beim Einzelhandelskonzern Lidl Arbeitnehmer per Videokameras überwacht und Mitarbeiterprofile angefertigt. Auch andere Handelsketten wie Edeka und Plus kontrollierten ihre Mitarbeiter. Die Deutsche Post speicherte Krankendaten und fertigte geheime Krankenakten der Arbeitnehmer an. Das sind nur einige wenige Datenskandale, die in der Öffentlichkeit bekannt wurden. Die Empörung ist groß und ein Bewusstseinswandel macht sich bemerkbar. Seitdem wird in der Bevölkerung und Politik heftig diskutiert, was im Rahmen des Arbeitnehmerdatenschutzes erlaubt ist und was nicht bzw. welche gesetzliche Änderungen notwendig sind.

Die vorliegende Arbeit soll einen Überblick über die Regelungen zum Arbeitnehmerdatenschutz geben. Dazu werden zunächst wichtige Begriffe des Datenschutzes definiert, um eine Grundlage für die weiteren Ausführungen zu schaffen. Anschließend wird auf die Grundsätze zum Umgang mit den Daten von Arbeitnehmern näher eingegangen. Den Schwerpunkt der Ausarbeitung bildet Kapitel 5, in dem die Rechte von Arbeitnehmern und Arbeitgebern ausführlich dargestellt werden. Abschließend wird unter Einbeziehung des Anfang September 2009 vorgestellten Entwurfs eines Beschäftigtendatenschutzgesetzes ein kurzer Ausblick auf die zu erwartende weitere Entwicklung im Bereich des Arbeitnehmerdatenschutzes gegeben.

2 Verfassungsrechtliche Grundlagen

Das Volkszählungsurteil des Bundesverfassungsgerichts vom 15. Dezember 1983 setzte einen wichtigen Meilenstein im Bereich des Datenschutzes. Mit dieser Grundsatzentscheidung wurde das Grundrecht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts und der Menschenwürde^[1] gewährleistet. Es umfasst den „(...) Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten (…)“^[2] und damit das Recht, „(…) grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen“^[3].

3 Zentrale Begriffe des Datenschutzes

Im Folgenden werden wichtige Begriffe definiert, die im Zusammenhang mit dem Datenschutz stehen und in dieser Arbeit verwendet werden.

3.1 Personenbezogene Daten

Die personenbezogenen Daten (pbD) sind der Schwerpunkt im Bereich des Datenschutzes. Darunter sind alle Informationen über eine bestimmte oder bestimmbare natürliche Person zu verstehen.^[4] Daten von Unternehmen und anderen juristischen Personen sind hiervon ausgeschlossen. Der Begriff bestimmbar wird in der Richtlinie der Europäischen Gemeinschaft von 1995 (RL 95/46/EG) genauer erläutert. Maßgeblich ist hierbei die direkte oder indirekte Identifizierbarkeit^[5] , zum Beispiel anhand des Namens oder einer Kennnummer wie der Sozialversicherungsnummer von Arbeitnehmern.

Eines besonderen Schutzes bedürfen die besonderen Arten pbD wie Informationen über rassische oder ethnische Herkunft, Religions- und Gewerkschaftszugehörigkeit, politische Meinungen oder Angaben über die Gesundheit.^[6] Die Verarbeitung dieser so genannten sensiblen Daten ist an besonders strenge Voraussetzungen gebunden und wird im folgenden Kapitel näher ausgeführt.

3.2 Verarbeitung personenbezogener Daten

Hierbei handelt es sich um jeden Vorgang, der mit oder ohne die Hilfe von automatisierten Verfahren ausgeführt wird. Dazu zählen unter anderem das Erheben und Speichern, die Anpassung oder Veränderung, die Weitergabe durch Übermittlung sowie das Sperren, Löschen und Vernichten.^[7] Zu beachten ist, dass dies nur auf europäischer Ebene gilt. Im Unterschied dazu wird auf nationaler Ebene strikt zwischen Erhebung, Nutzung und Verarbeitung getrennt. Ziel dieser Differenzierung ist es, spezifischere Regelungen treffen zu können.

3.3 Verantwortlicher der Verarbeitung

Der Verantwortliche der Verarbeitung ist nach RL 95/46/EG die natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet.^[8]

In Abgrenzung dazu ist im BDSG von der verantwortlichen Stelle die Rede, das heißt jede Person oder Stelle, die pbD für sich selbst erhebt, verarbeitet oder nutzt bzw. dies im Auftrag für andere vornimmt.^[9] Der Arbeitgeber ist demnach verantwortliche Stelle für die Verarbeitung pbD seiner Arbeitnehmer.

4 Grundsätze des Umgangs mit personenbezogenen Daten

Im Bereich des Datenschutzes gelten bestimmte Prinzipien, deren Einhaltung über die Zu- oder Unzulässigkeit des Umgangs mit pbD entscheidet. Diese werden im Folgenden näher ausgeführt.

4.1 Verbot mit Erlaubnisvorbehalt

Nach § 4 BDSG ist die Verarbeitung pbD nur zulässig, wenn dies ausdrücklich erlaubt ist. Eine Erlaubnis kann durch die Einwilligung der betroffenen Person selbst, durch das BDSG oder durch eine andere Rechtsvorschrift erfolgen.^[10]

4.1.1 Einwilligung

Eine Einwilligung der betroffenen Person berechtigt dort zur Verarbeitung pbD, wo es an einer gesetzlichen Grundlage fehlt. Der gesetzliche Rahmen wird dadurch erweitert.^[11] Die Einwilligung durch die betroffene Person bedarf in der Regel der Schriftform.^[12] Zudem ist eine vorherige umfassende Aufklärung erforderlich, damit die jeweilige Person die Tragweite ihrer Entscheidung einschätzen kann. Sie ist jedoch rechtswidrig und unwirksam, wenn damit zur Verarbeitung von Daten legitimiert wird, die nach gesetzlichen Vorschriften nicht erlaubt ist.^[13]

4.1.2 Erlaubnis durch andere Rechtsvorschriften

Grundsätzlich gilt das so genannte Subsidiaritätsprinzip. Das BDSG hat die Funktion eines Auffanggesetzes. Es enthält allgemeine Datenschutzregelungen und gilt dann, wenn keine bereichspezifischen Regelungen existieren.^[14] Demnach sind speziellere Bundesgesetze immer vorrangig^[15], vorausgesetzt sie regeln den gleichen Sachverhalt (so genannte Tatbestand-kongruenz). Datenschutzrelevante Grundsätze finden sich jedoch nicht nur in vom Gesetzgeber erlassenen Rechtsvorschriften, sondern unter anderem auch in Tarifverträgen und Betriebs-vereinbarungen.^[16]

4.1.3 Erlaubnis durch das BDSG

Einschlägige Rechtsgrundlage für Arbeitsverhältnisse war diesbezüglich bisher § 28 Abs. 1 BDSG, der die Zulässigkeit der Datenverarbeitung nicht-öffentlicher Stellen regelt. Zum 01. September 2009 ist jedoch der neue § 32 BDSG in Kraft getreten, der die Daten-erhebung, -verarbeitung und -nutzung speziell für Zwecke des Beschäftigungsverhältnisses regelt. Werden pbD im Rahmen eines Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt, verdrängt der § 32 BDSG als Spezialvorschrift die Regelungen des § 28 BDSG. Die Verwendung der Daten eines Beschäftigten für andere Zwecke kann die Gültigkeit des § 28 BDSG aber weiterhin rechtfertigen.^[17] Nach neuer Regelung müssen die Beschäftigtendaten für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich sein.^[18] Dabei ist es unerheblich, ob die Daten automatisiert oder nicht automatisiert erhoben, verarbeitet oder genutzt werden.^[19] Darüber hinaus kann der Arbeitgeber nach § 32 Abs. 1 Satz 2 BDSG pbD eines Mitarbeiters erheben, verarbeiten oder nutzen, wenn der Verdacht einer Straftat besteht. Dabei müssen jedoch ein direkter Bezug zum Beschäftigungsverhältnis, wie zum Beispiel Diebstahl von Betriebseigentum, sowie dokumentierte tatsächliche Anhaltspunkte vorliegen. Die Prinzipien der Verhältnismäßigkeit und Erforderlichkeit^[20] sind weiterhin zu beachten.^[21]

4.2 Prinzipien der Erforderlichkeit und Zweckbindung

Das Prinzip der Erforderlichkeit folgte bisher aus § 28 Abs. 1 Nr. 1 und Abs. 6 BDSG. Dieser stützt nun lediglich die Datenerhebung und -verwendung für andere Zwecke als dem Beschäftigungsverhältnis. Danach ist ein vorher festgelegter Zweck Voraussetzung für die Verarbeitung pbD. Damit ist dieser Grundsatz untrennbar mit dem Zweckbindungsprinzip verbunden, das sich aus dem Persönlichkeitsrecht und dem informationellen Selbstbestimmungs-recht ergibt. Es gilt sowohl für öffentliche als auch für nicht-öffentliche Stellen. Demnach dürfen Daten nur für die Zwecke verarbeitet werden, für die sie erhoben oder gespeichert wurden.^[22] Zu beachten sind die im Gesetz genannten Ausnahmen.^[23] Das Prinzip der Zweckbindung wird durch die Erfordernisse der Datensparsamkeit und Datenvermeidung^[24] konkretisiert. Werden pbD im Rahmen eines Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt, gilt nunmehr § 32 BDSG^[25]. Der Grundsatz der Erforderlichkeit folgt hier aus Abs. 1.

[...]

^[1] Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG

^[2] http://www.servat.unibe.ch/law/dfr/bv065001.html

^[3] ebd.

^[4] § 3 Abs. 1 BDSG i.V.m. Art. 2 Buchstabe a) RL 95/46/EG

^[5] vgl. Art. 2 Buchstabe a) RL 95/46/EG

^[6] vgl. § 3 Abs. 9 BDSG

^[7] vgl. § 3 Abs. 4 und 5 BDSG i.V.m. Art. 2 Buchstabe b) RL 95/46/EG

^[8] Art. 2 Buchstabe d) RL 95/46/EG

^[9] § 3 Abs. 7 BDSG

^[10] § 4 Abs. 1 BDSG

^[11] vgl. Küpferle/Wohlgemuth (1987), S. 81

^[12] § 4a Abs. 1 Satz 2 BDSG

^[13] vgl. Roßnagel (2003), S. 953

^[14] vgl. Faust (1991), S. 16

^[15] § 1 Abs. 3 BDSG

^[16] vgl. Roßnagel (2003), S. 953

^[17] vgl. http://www.bfdi.bund.de/cln_118/DE/Themen/Arbeit/Arbeitnehmerdatenschutz/Artikel/ ArbeitnehmerDSAb010909.html?nn=647266

^[18] § 32 Abs. 1 Satz 1 BDSG

^[19] § 32 Abs. 2 BDSG

^[20] vgl. Kapitel 4.2

^[21] vgl. http://www.bfdi.bund.de/cln_118/DE/Themen/Arbeit/Arbeitnehmerdatenschutz/Artikel/ ArbeitnehmerDSAb010909.html?nn=647266

^[22] § 1 Abs. 1 i.V.m. § 14 Abs. 1, § 31 und § 28 Abs. 1 Satz 1 BDSG

^[23] § 14 Abs. 2 und 3 i.V.m. § 28 Abs. 2 und 3 BDSG

^[24] vgl. Kapitel 4.3

^[25] Näheres dazu findet sich in den einzelnen Unterkapiteln des fünften Kapitels.