Arbeitsrechtliche Grundsätze im Datenschutzrecht: Zulässigkeit hinsichtlich der Datenerhebung und Überwachung von Arbeitnehmern im Rahmen des Datenschutzrechts

Inhaltsverzeichnis

Abkürzungsverzeichnis

Literaturverzeichnis

A. Einleitung zum Thema Datenschutzrecht

B. Das BDSG
I. Voraussetzungen für die Anwendung des BDSG
II. Personenbezogene Daten
1. Besondere personenbezogene Daten
2. Daten über Beschäftigte
3. Anonymisierte und pseudonymisierte Daten
4. Erheben, Verarbeiten und Nutzen
III. Einwilligung
1.Formale Wirksamkeitsvoraussetzungen der Einwilligung
2. Inhaltliche Wirksamkeitsvoraussetzungen der Einwilligung
IV. Der Vorbehalt des § 32 BDSG
1. Die Datenerhebung vor und im Beschäftigungsverhältnis
2. Der Begriff der Erforderlichkeit

C. Die EG-Datenschutzrichtlinie 95/46

D. Der Datenschutz in Unternehmen
I. Kontrollrechte des Arbeitgebers
II. Die Videobeobachtung
1. Die öffentlich zugänglichen Räume
2. Die nicht – öffentlich zugänglichen Räume
3. Die heimliche Videoüberwachung
III. Erfassung eines Bewegungsprofils
1. RFID-Anwendungen im Betrieb
2. Die Handy- und GPS-Ortung im Arbeitsverhältnis
IV. Die Überwachung der Telekommunikation
1. Das Fernmeldegeheimnis nach Art. 10 Abs. 1 GG
2. Das Fernmeldegeheimnis des § 88 TKG
3. Das TMG
V. Die Kontrolle über Telefon
1. Die Telefondatenerfassung
2. Das Mithören und Aufzeichnen dienstlicher Telefonate
VI. Die Kontrolle der dienstlichen E-Mail- und Internetnutzung

E. Rechte des Arbeitnehmers
I. Ansprüche des Betroffenen
1. Auskunftsanspruch
2. Benachrichtigungsanspruch
3. Berichtigungsanspruch
4. Anspruch auf Löschung
5. Anspruch auf Sperrung
6. Anspruch auf Widerspruch
7. Schadensersatzanspruch

F. Mitbestimmung und Datenschutz55
I. Rechte des Betriebsrates
II. Personalfragebogen
III. Die Kontrolle über die Leistung und das Verhalten

G. Der Datenschutzbeauftragte und die Aufsichtsbehörde58
I. Pflicht zur Bestellung
II. Die Bestellung einer geeigneten Person
III. Aufgaben des Datenschutzbeauftragten
IV. Aufsichtsbehörde

H. Fazit

Eidesstattliche Versicherung

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Literaturverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

A. Einleitung zum Thema Datenschutzrecht

Durch das Datenschutzrecht werden Personen in Bezug auf ihre Daten geschützt. In erster Linie sollen die charakteristischen Eigenschaften einer Person, wie Religionszugehörigkeit, Einkommen oder Gesundheitszustand grundsätzlich der Selbstbestimmung und Dispositionsfreiheit der betroffenen Person unterliegen.^[1] Mit der Volkszählungsentscheidung des BVerfG vom 15.12.1983 wurde das Datenschutzrecht entwickelt. Die Entwicklung erstreckte sich auf die Anerkennung des Rechts auf informationelle Selbstbestimmung. Dies bedeutet, dass jeder Mensch entscheiden kann, wann er wem welche seiner persönlichen Daten zur Verfügung stellt. Das Recht auf informationelle Selbstbestimmung wird durch das allgemeine Persönlichkeitsrecht des Art. 2 Abs. 1 GG und Art. 1 Abs. 1 GG umfasst.^[2] In das Persönlichkeitsrecht darf nur aufgrund eines überwiegenden Allgemeininteresses eingegriffen werden.^[3] Hinsichtlich des technischen Fortschrittes der Vervielfachung und Vereinfachung von Datenverarbeitung, Datenerfassung, Datenhaltung, Datenweitergabe und Datenanalyse in der Gegenwart steigt die Bedeutung des Datenschutzes stetig. Durch die schnelle Entwicklung und den Einsatz neuer Kommunikations- und Informationstechnologien wie Internet, E – Mail, Videobeobachtung, GPS- und Handyortung sind immer neue Möglichkeiten zur Datenerfassung gegeben. Auch hiermit gewinnt das Datenschutzrecht an Bedeutung. Der Arbeitnehmer hat ein besonderes Schutzbedürfnis, das sich aus der Spezifik des Arbeitnehmerstatus und der Weisungsgebundenheit des Arbeitsverhältnisses sowie der strukturellen und wirtschaftlichen Überlegenheit und Dominanz des Arbeitgebers erschließt. Daraus ergibt sich eine besondere Bedeutung des Datenschutzes im Arbeitsverhältnis. Das Selbstbestimmungsrecht des Arbeitnehmers über die Verwendung seiner personenbezogenen Daten wird hierbei durch das Weisungsrecht des Arbeitgebers beeinträchtigt. Der Arbeitnehmerdatenschutz versucht zwischen den unterschiedlichen Interessen von Arbeitgeber und Arbeitnehmer einen Ausgleich zu finden. Die unterschiedlichen Kontrollbestimmungen sollen klären, welche Eingriffe des Arbeitgebers in das informationelle Selbstbestimmungsrecht und das Persönlichkeitsrecht des Arbeitnehmers erlaubt sind.^[4]

Die sog. Grundsatzregelung zum Arbeitnehmerdatenschutzrecht als neuer § 32 BDSG ist zum 01.09.2009 in Kraft getreten. Diese Regelung soll als Reaktion auf verschiedene Datenschutzskandale der Vergangenheit das Arbeitnehmerdatenschutzrecht nicht verändern, aber durch Kodifizierung einiger von der Rechtsprechung entwickelten Grundsätze transparenter gestalten. Gründe dafür waren zum einen die Vorratsdatenspeicherung und zum anderen die sog. Online – Durchsuchung, die zunehmende Videoüberwachung, das Scannen von den Kreditkartendaten von Millionen Karteninhabern, Datenweitergabe an die sog. Sozialen Netzwerke oder anderen Unternehmen. Die Datenschutzskandale bei Lidl, der Deutschen Bahn, der Deutschen Telekom oder Honeywell waren allgegenwärtig.^[5] Die Aufsichtsbehörde legte im September 2008 für den Datenschutz einen Bericht vor, der aufdeckte, dass im Auftrag der Firma in rund 30 Lidl – Vertriebsgesellschaften Detekteien umfassende Daten über Beschäftigte gesammelt hatten. Diese erstreckten sich auf die Arbeitsleistung und Arbeitsmotivation der Mitarbeiter, Informationen über das Mitarbeiterverhalten gegenüber Kunden, Informationen zu den Führungsqualitäten von Vorgesetzten, Informationen über das Pausenverhalten einzelner Mitarbeiter, den Gesundheitszustand, mögliche Schwangerschaften und die finanzielle Situation der Mitarbeiter und ihrer Familien. Es wurden Daten erhoben und gespeichert. Das ganze wurde durch versteckte Kameras, daneben aber durch Mithören von Telefonaten und durch persönliche Gespräche ermittelt.^[6] Diesbezüglich hat der Gesetzgeber im September 2009 die Novellierung des Datenschutzrechtes anerkannt.

B. Das BDSG

Der Schutzbereich des BDSG ist nicht in allen Fällen offen. Für die Anwendung des BDSG gibt es viele Besonderheiten, auf die Rücksicht genommen werden muss. Anschließend werden die Anwendungsvoraussetzungen des BDSG genauer erläutert.

I. Voraussetzungen für die Anwendung des BDSG

Das Arbeitnehmerdatenschutzrecht richtet sich neben den Spezialgesetzen nach den Vorgaben des BDSG. Danach ist bestimmt, dass die Erhebung, Speicherung und Nutzung personenbezogener Daten so ausgeübt werden müssen, dass der Einzelne nicht in seinem Persönlichkeitsrecht beeinträchtigt wird. Das BDSG wird nur dann in Betracht gezogen, wenn es keine spezielleren Datenschutzregelungen gibt. Nach § 1 Abs. 1 BDSG tritt das BDSG hinter anderen Rechtsvorschriften des Bundes zurück, soweit deren Anwendungsbereich ausreicht. Ein Beispiel wäre das Fernmeldegeheimnis, welches in den §§ 88 ff. TKG geregelt ist.^[7]

Das BDSG findet nicht in allen Fällen Anwendung, auch wenn es keine spezielleren Regelungen gibt. Das Datenschutzrecht ist nicht auf jede Erhebung, Verarbeitung und Nutzung personenbezogener Daten anwendbar. In nicht – öffentlichen Bereichen gem. § 1 Abs. 2 Nr. 3 BDSG greift das Gesetz dann nicht ein, wenn die Erhebung, Speicherung und Verwendung von Daten ausschließlich für persönliche oder familiäre Tätigkeiten erfolgt. Das Gesetz greift, wenn berufliche Zwecke erfüllt werden.^[8]

Zudem muss bei der Nichtnutzung einer EDV vgl. § 27 Abs. 1 BDSG eine nicht automatisierte Datei vorliegen. Dies hat die Voraussetzung, dass es sich um eine Sammlung personenbezogener Daten handelt, die gleichartig aufgebaut und nach bestimmten Merkmalen zugänglich ist und ausgewertet werden kann. Es reicht aus, wenn die Möglichkeit zur manuellen Auswertung besteht. Hier bleibt der Anwendungsbereich des BDSG geschlossen und kann unter anderem auf diese Fälle keine Anwendung finden. Für die Datenerhebung im Beschäftigungsverhältnis wurde die Ausnahmeregelung gemäß § 32 BDSG getroffen. Vor allem greift das Gesetz gemäß § 32 Abs. 2 BDSG auch, wenn personenbezogene Daten erhoben, verarbeitet oder genutzt werden, ohne dass eine Datei vorliegt.^[9] Zudem gilt grundsätzlich nach § 4 Abs. 2 S. 1 BDSG, dass Daten direkt beim Betroffenen zu erheben sind (Gebot der Direkterhebung). Diesbezüglich dürfte keine Ausnahme gem. § 4 Abs. 2 S. 2 BDSG vorliegen, es sei denn, dass eine Rechtsvorschrift eine anderweitige Erhebung vorsieht oder dies zwingend voraussetzt laut § 4 Abs. 2 S. 2 Nr. 1 BDSG.^[10]

Für den Anwendungsbereich des BDSG im europäischen Bezug gilt Art. 4 der EG – Datenschutzrichtlinie 95/46.^[11]

Für außerhalb der EU oder eines der Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum gelegene Unternehmen gilt gem. § 1 Abs. 5 S. 2 BDSG das Territorialprinzip. Das BDSG ist anzuwenden, wenn außerhalb des Europäischen Wirtschaftsraumes gelegene Stellen im Inland personenbezogene Daten erhoben, verarbeitet oder genutzt werden.^[12] Mit dieser Regelung soll verhindert werden, dass verantwortliche Stellen ihren Sitz oder ihre Niederlassungen in „Datenoasen“ verlagern, um damit die Anwendbarkeit innergemeinschaftlicher Datenschutzgesetze zu umgehen und lediglich „Stützpunkte“ zur Verarbeitung von Daten innerhalb der EU unterhalten, die von einem Drittland aus gesteuert werden. Nach § 1 Abs. 5 S. 3 BDSG muss in diesem Fall vom Unternehmen ein im Inland ansässiger Vertreter bestimmt werden, an den sich die zuständige Aufsichtsbehörde unmittelbar wenden kann. Das BDSG ist gem. § 1 Abs. 5 S. 4 BDSG nicht anzuwenden, wenn Datenträger mit personenbezogenen Daten lediglich zum Zwecke des Transits durch das Inland eingesetzt werden. Ein Transit liegt vor, wenn personenbezogene Daten durch das Inland durchgeleitet werden, ohne dass sie zur Kenntnis genommen werden. Im Internet kann ein Transit vorliegen, wenn die Daten auf ihrem Weg vom Sender zum Empfänger auf inländischen Servern oder Routern lediglich zwischengespeichert und nach erfolgter Weiterleitung unverzüglich wieder gelöscht werden.^[13]

II. Personenbezogene Daten

Als personenbezogene Daten sind nach § 3 BDSG „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“ zu bezeichnen.^[14] Im Sinne dieser Vorschrift zählen als Einzelangaben Informationen, die sich auf eine einzelne Person beziehen oder geeignet sind, einen Bezug zu ihr herzustellen (z.B. Name, Vorname, Kraftfahrzeugnummer, Versicherungsnummer, Ausweisnummer und Telefonnummer).^[15] Die persönlichen Verhältnisse umfassen Angaben über den Betroffenen selbst, seine Identifizierung und Charakterisierung, wie z.B. Geburtsdatum, Alter, Familienstand und Wohnort. Angaben über Einkommen, Grundbesitz, Steuern oder Versicherungen und Vereinsmitgliedschaft werden von den sachlichen Verhältnissen umfasst.^[16] Zudem fallen darunter auch Werturteile z.B. über Qualifikation oder charakterliche Eigenschaften und andere subjektive Aussagen über Betroffene, wie z.B. treuer Arbeitnehmer, guter Kunde, Frauenheld. Jedoch kommt es auch darauf an, wann eine Person bestimmt ist. Die Bestimmtheit richtet sich nach den eindeutig identifizierbaren Angaben (z.B. durch Namen und Wohnanschrift, durch eine Kennnummer, durch namentlich beschriftete Bilddateien im Bereich der Medizin und Psychiatrie), bei biometrischen Rohdaten (z.B. Bilder von Gesichtern, Stimmaufnahmen) mit unmittelbarem Personenbezug, der eine automatisierte (Wieder-) Erkennung ermöglicht. Für die Bestimmbarkeit der Person ist ein Zusatzwissen erforderlich. Dies bedeutet, dass die Daten nicht eindeutig sein müssen, sondern durch entsprechendes Zusatzwissen, also mit Hilfe anderer Informationen festgestellt werden können, z.B. durch Elemente wie Alter, Kinder und Beruf.^[17] Hier kommt es für die Bestimmbarkeit der natürlichen Person auch auf sämtliche Kenntnisse, Mittel und Möglichkeiten der speichernden Stelle an. Der Personenbezug muss mit den zur Verfügung stehenden Hilfsmitteln und ohne unverhältnismäßigen Aufwand erreicht werden. Fraglich ist, welches Maß an Aufwand zur Identifizierung von Personen ausreicht. Hier sind im Einzelfall die verfassungsrechtlichen Kriterien abzuwägen, welches Risiko für das Schutzgut der informationellen Selbstbestimmung tatsächlich besteht.^[18]

Diesbezüglich sollen personenbezogene Daten nicht für jedermann frei zur Verfügung stehen, weil dann die Entfaltungsfreiheit bzw. das informationelle Selbstbestimmungsrecht der betroffenen Person beeinträchtigt werden könnten. Aus diesem Grund bedarf es bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten besonderer Rechtsvorschriften oder der Einwilligung^[19] der betroffenen Person.^[20]

1. Besondere personenbezogene Daten

Besondere personenbezogene Daten sind die sog. sensitiven Daten. Gem. § 3 Abs. 9 BDSG handelt es sich um Angaben über Gesundheit, politische Überzeugung, ethnische Herkunft, religiöse oder philosophische Überzeugung oder das Sexualleben von Betroffenen. Vor allem ist die Erhebung, Verarbeitung oder Nutzung besonderer personenbezogener Daten nur unter erhöhten Anforderungen gestattet.^[21]

[...]

^[1] Sheja/ Haag, Einführung in das Datenschutzrecht, S. 1.

^[2] Moos, Datenschutzrecht schnell erfasst, S. 5.

^[3] Däubler, Gläserne Belegschaften? Das Handbuch zum Arbeitnehmerdatenschutz, S. 379.

^[4] Kühling/ Seidel/ Sivridis, Datenschutzrecht, S. 31 – 34.; Däubler, Gläserne Belegschaf-

ten? Das Handbuch zum Arbeitnehmerdatenschutz, S. 32 – 33.

^[5] Erfurth, Der „neue“ Arbeitnehmerdatenschutz im BDSG, NJOZ 2009, S. 2914.

^[6] Däubler, Gläserne Belegschaften? Das Handbuch zum Arbeitnehmerdatenschutz, S. 32 –

33.

^[7] Däubler, Gläserne Belegschaften? Das Handbuch zum Arbeitnehmerdatenschutz, S. 53 –

54.

^[8] Däubler, Gläserne Belegschaften? Das Handbuch zum Arbeitnehmerdatenschutz, S. 57.

^[9] Däubler, Gläserne Belegschaften? Das Handbuch zum Arbeitnehmerdatenschutz, S. 57 –

58.

^[10] Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, S. 151.

^[11] Siehe Kapitel C.

^[12] Sheja/ Haag, Einführung in das Datenschutzrecht, S. 31.

^[13] Sheja/ Haag, Einführung in das Datenschutzrecht, S. 32.

^[14] Gola/ Schomerus, Bundesdatenschutzgesetz Kommentar, S. 109.

^[15] Gola/ Schomerus, Bundesdatenschutzgesetz Kommentar, S. 106.

^[16] Beck, Datenschutzrecht Grundlagen und Herausforderungen, S. 19.

^[17] Tinnefeld/ Ehmann/ Gerling, Einführung in das Datenschutzrecht, S. 279 – 280.

^[18] Moos, Datenschutzrecht schnell erfasst, S. 23 – 24.

^[19] Mehr dazu im Kapitel B III. Einwilligung.

^[20] Sheja/ Haag, Einführung in das Datenschutzrecht, S. 24.

^[21] Sheja/ Haag, Einführung in das Datenschutzrecht, S. 24.