Beschäftigtendatenschutz

Der Beschäftigtendatenschutz bildet den datenschutzrechtlichen Rahmen, der innerhalb des Beschäftigungsverhältnisses einzuhalten ist; das informationelle Selbstbestimmungsrecht von Beschäftigten muss auch an ihrem Arbeitsplatz gewährleistet sein. Es gilt jedoch nicht ohne Einschränkung: Vielmehr soll der Beschäftigtendatenschutz einen angemessenen Ausgleich zwischen den Interessen des Arbeitgebers oder Dienstherrn und denen der Beschäftigten herstellen.

1. Notwendigkeit von Regelungen: In kaum einem anderen privatrechtlichen Vertragsverhältnis werden mehr personenbezogene Daten eines Vertragspartners erhoben, verarbeitet oder genutzt als im Beschäftigungsverhältnis. Die besondere Schutzbedürftigkeit des Beschäftigten aufgrund der Datenverarbeitung durch den Arbeitgeber oder Dienstherrn ergibt sich aufgrund mehrerer Tatsachen:

Erstens liegt im Hinblick auf die beiden Vertragsparteien eine strukturelle Unterlegenheit aufseiten des Beschäftigten vor: Verweigert dieser etwa während des Bewerbungsgesprächs die Preisgabe bestimmter - über die gesetzlichen Erlaubnistatbestände hinsichtlich des Fragerechts des Arbeitgebers oder Dienstherrn hinausgehende - Angaben, wird ein Beschäftigungsverhältnis in vielen Fällen erst gar nicht zustande kommen.

Zweitens bestehen steigende Informationserwartungen von Arbeitgeber oder Dienstherr aufgrund einer zunehmenden Speicherung und Auswertung beschäftigtenbezogener Daten. Die technische Entwicklung im Bereich Big Data wird diesen Trend beschleunigen. Legitime Arbeitgeberinteressen lassen sich hierfür ins Feld führen: Nicht nur die mittel- bis langfristige Personalpolitik kann mit Hilfe dieser Informationen signifikant optimiert werden, auch kurzfristig angelegte Personaleinsatzplanungen sind anhand der Vielzahl vorliegender Steuerungskennzahlen fundierter.

Drittens muss es dem Arbeitgeber oder Dienstherrn möglich sein, die Erbringung der Arbeitsleistung durch seine Beschäftigten sowohl in qualitativer als auch quantitativer Hinsicht zu überprüfen. Der Einsatz technischer Arbeitsmittel erleichtert dieses Bedürfnis. Allein die Auswertung der anfallenden Protokolldaten der von den Beschäftigten jeweils genutzten Softwareprodukte und Netzwerkkomponenten ermöglichte es, ein umfassendes Persönlichkeitsprofil zu erstellen, das einen bedeutenden Lebensbereich der Beschäftigten abbildet.

Damit geht - mit künftig zunehmender Relevanz - die Erfüllung der der Organisation auferlegten Compliance-Anforderungen (Compliance) eng einher. Auch in diesem Kontext existieren Kontrollverpflichtungen, die Datenschutzinteressen der Beschäftigten konterkarieren.

2. Unübersichtliche Rechtsmaterie: Die bereits seit Jahrzehnten geforderte umfassende gesetzliche Regelung des Beschäftigtendatenschutzes besteht bis zum heutigen Tag nicht. Als Schwierigkeit für die Praxis gilt die Tatsache, dass zu zahlreichen Fragestellungen in Bezug auf den Beschäftigtendatenschutz bislang keine ausdrücklichen Vorschriften existieren. Die Rechtslage resultiert teilweise aus dem Zusammenwirken verschiedener allgemeiner Gesetze, wie dem Bundesdatenschutzgesetz und dem Betriebsverfassungsgesetz. Darüber hinaus existieren essentielle Grundsätze für den Beschäftigtendatenschutz, die in Gerichtsentscheidungen entwickelt wurden. Die gesamte Rechtsmaterie ist im Regelfall aufgrund ihrer Komplexität weder für Arbeitgeber oder Dienstherrn noch für den einzelnen Beschäftigten zu durchschauen.

Aktuell findet sich in § 32 Bundesdatenschutzgesetz (BDSG) eine allgemeine Vorschrift zum Beschäftigtendatenschutz. Diese regelt u. a., dass personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden dürfen, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich ist.

3. Persönlicher Geltungsbereich: Der Begriff „Beschäftigte“ ist in § 3 Abs. 11 BDSG legaldefiniert. Unter ihn fallen insbesondere: Bewerber, Arbeitnehmer, in Bildungsmaßnahmen befindliche Tätige, an Wiedereingliederungsmaßnahmen oder Aktivitäten zur Arbeitserprobung teilnehmende Personen, Tätige aufgrund des Jugendfreiwilligendienstegesetzes, in Behindertenwerkstätten Tätige, arbeitnehmerähnliche Personen aufgrund ihrer wirtschaftlichen Unselbstständigkeit, Beamte, Richter des Bundes, Soldaten und Personen, mit denen ehemals ein Beschäftigungsverhältnis bestand. Hinter der umfassenden Reichweite des Terminus steht die Absicht, damit nahezu sämtliche in Abhängigkeit tätige Beschäftigte zu erfassen.

4. Kollektivvereinbarungen als bedeutendes Regelungsinstrument: Kollektivvereinbarungen können als „andere Rechtsvorschrift“ im Sinne des § 4 Abs. 1 BDSG Anwendung finden. § 32 Abs. 3 BDSG schreibt ausdrücklich fest, dass die Beteiligungsrechte der Interessenvertretungen der Beschäftigten unberührt bleiben. In einem solchen Fall gehen die Vorschriften des Tarifvertrags, der Betriebs- oder Dienstvereinbarung denen des Bundesdatenschutzgesetzes vor.

Dem Regelungsinstrument Betriebs- oder Dienstvereinbarung kommt eine erhebliche praktische Bedeutung zu. Es ermöglicht, betriebs- oder dienststellenspezifisch auf die Ausgestaltung der Beschäftigungsverhältnisse - mit konkreten Bestimmungen etwa zur Nutzung der am Arbeitsplatz vorhandenen Technik - einzuwirken.

Betriebs- oder Dienstvereinbarungen besitzen einen ähnlichen Charakter wie Tarifverträge. Betriebsvereinbarungen sind zweiseitige kollektive Normenverträge und beinhalten einerseits einen schuldrechtlichen Teil, der die Vertragsparteien gegenseitig verpflichtet oder berechtigt; andererseits kommt auch ihnen normative Wirkung zu. Somit können etwa betriebs- oder dienststellenspezifische Fragen geregelt werden.

Die Möglichkeit, die Nutzung der am Arbeitsplatz vorhandenen IT-Systeme und insbesondere deren Kontrollmöglichkeit durch den Arbeitgeber oder Dienstherrn auf tarifvertraglicher Ebene zu regeln, kommt in der Praxis nur selten in Frage. Hauptgrund dafür ist die Verschiedenartigkeit der Systeme, die in den mit dem Tarifvertrag erfassten Unternehmen oder Behörden zum Einsatz gelangen. Es lassen sich kaum auf sämtliche Unternehmen oder öffentliche Stellen gleichermaßen anwendbare Vereinbarungen treffen. Allenfalls die Aufstellung eines groben Handlungsrahmens anhand einer tariflichen Lösung erscheint sinnvoll.

5. Ausblick: Ab 25. Mai 2018 werden die Vorgaben der EU-Datenschutz-Grundverordnung (EU-DSGVO) gelten, die das Datenschutzrecht innerhalb der EU auf einem Höchstmaß vereinheitlichen sollen. Die EU-DSGVO enthält in Art. 88 eine Öffnungsklausel, die es den Mitgliedstaaten erlaubt, spezifische Vorschriften zur Gewährleistung des Schutzes der Rechte und Freiheiten hinsichtlich der Verarbeitung personenbezogener Beschäftigtendaten im Beschäftigungskontext vorzusehen. Dies betrifft etwa ausdrückliche Vorgaben über die Bedingungen, unter denen personenbezogene Daten auf der Grundlage der Einwilligung des Beschäftigten verarbeitet werden dürfen.

Dass der deutsche Gesetzgeber von dieser Möglichkeit Gebrauch machen will, zeigt sich am ersten und zweiten Referentenentwurf des Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU (DSAnpUG-EU), das dem gesetzlichen Anpassungsbedarf im nationalen Datenschutzrecht Rechnung tragen soll. Das aktuelle Bundesdatenschutzgesetz soll insgesamt von einem neuen Bundesdatenschutzgesetz abgelöst werden. Die beiden mit den zwei Referentenentwürfen bislang eingebrachten potenziellen Varianten von Regelungen zum Beschäftigtendatenschutz entsprechen im Wesentlichen der aktuellen Vorschrift des § 32 BDSG. Sie enthalten weitergehend eine enumerative Aufzählung der als „Beschäftigte“ zählenden Personengruppen, die sich aktuell in § 3 Abs. 11 BDSG wiederfindet.

Die seit jeher geforderte Rechtssicherheit im Beschäftigtendatenschutz durch ausdrückliche Regelung bestimmter Sachverhalte würde damit nicht hergestellt – vielmehr bliebe es grundsätzlich bei der aktuellen Rechtslage. Auch die Möglichkeit, bestimmte datenschutzrelevante Sachverhalte mittels Kollektivvereinbarung zu regeln, bliebe erhalten.