Der Bundestag hat eine Masernimpfpflicht zum 1. März 2020 beschlossen. In diesem Zusammenhang erreichte uns vergangene Woche die Frage eines interessierten Bloglesers, wie der Masernschutz-Impfnachweis im arbeitsrechtlichen Kontext zu erbringen ist. Immerhin wird durch die Offenbarung gegenüber dem Arbeitgeber ein personenbezogenes Gesundheitsdatum verarbeitet.

Erste Impfpflicht seit 1874

Die Frage, ob der Staat seine Bürger zur Gesundheit zwingen darf, ist heftig umstritten. Befürworter und Impfgegner stehen sich unversöhnlich gegenüber. Gegner haben bereits angekündigt, gegen die erste Impfpflicht seit 1874, vor das Bundesverfassungsgericht zu ziehen. Und was hat die Impfpflicht nun mit Datenschutz zu tun?

Der Entwurf sieht unter anderem vor, dass Personen, die in Gemeinschaftseinrichtungen oder medizinischen Einrichtungen tätig sind wie Lehrer, Erzieher, medizinisches Personal oder auch Tagepflegepersonen, nunmehr ihren Impfschutz gegenüber der Leitung nachzuweisen haben. Gemeinschaftseinrichtungen im Sinne des Gesetzes sind Einrichtungen, in denen überwiegend minderjährige Personen betreut werden. Dazu gehören etwa Kindertageseinrichtungen, Kinderhorte, Schulen, Heime oder auch Ferienlager.

Rechtmäßigkeit der Nachweisabfrage im Beschäftigungsverhältnis

Grundsätzlich ist § 26 BDSG die zentrale Vorschrift, wenn es um die Zulässigkeit der Verarbeitung personenbezogener Daten im Rahmen eines Beschäftigungsverhältnisses geht. Demnach dürfen Arbeitgeber nur solche personenbezogenen Daten der Beschäftigten erheben, verarbeiten und nutzen, die für die Begründung, die Durchführung oder die Beendigung eines Beschäftigungsverhältnisses erforderlich sind. Nach § 26 Abs. 8 Satz 2 BDSG gelten auch Bewerberinnen und Bewerber als Beschäftigte.

Ob eine Impfung durchgeführt wurde oder nicht, stellt gleichwohl ein „sensibles“ Gesundheitsdatum gem. Art. 9 Abs. 1 DSGVO dar. Gesundheitsdaten sind solche personenbezogenen Daten, welche Rückschlüsse auf die körperliche oder geistige Gesundheit einer natürlichen Person zulassen. Eine Verarbeitung ist grundsätzlich untersagt. Der Gesetzgeber hat in Erwägungsgrund 52 die Notwendigkeit von Ausnahmen gleichwohl erkannt:

„Ausnahmen vom Verbot der Verarbeitung besonderer Kategorien von personenbezogenen Daten sollten auch erlaubt sein, wenn sie im Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen sind, und – vorbehaltlich angemessener Garantien zum Schutz der personenbezogenen Daten und anderer Grundrechte – wenn dies durch das öffentliche Interesse gerechtfertigt ist, insbesondere für die Verarbeitung von personenbezogenen Daten auf dem Gebiet des Arbeitsrechts und des Rechts der sozialen Sicherheit einschließlich Renten und zwecks Sicherstellung und Überwachung der Gesundheit und Gesundheitswarnungen, Prävention oder Kontrolle ansteckender Krankheiten und anderer schwerwiegender Gesundheitsgefahren.“

Die Rechtmäßigkeit der Verarbeitung von Gesundheitsdaten muss sich jedoch stets an den strengen Ausnahmen des Art. 9 Abs. 2 DSGVO messen lassen.

Rechtsgrundlage für die Abfrage durch den Arbeitgeber

Die Verarbeitung durch den Arbeitgeber kann daher jedenfalls nicht mehr auf § 26 Abs. 1 BDSG gestützt werden. Auch nicht auf Abs. 3, da es sich bei der Nachweisabfrage nicht originär um arbeitsrechtliche Pflichten handelt oder um Sozialschutz.

Ebenfalls kann die Verarbeitung nicht auf Art. 9 Abs. 2 lit. h gestützt werden, da die Verarbeitung in diesem Fall gem. Abs. 3 nur einem Berufsgeheimnis unterliegenden Fachpersonal gestattet wird.

In Abgrenzung zu Abs. 2 lit. h schafft Abs. 2 lit. i einen Ausnahmetatbestand für die Verarbeitung sensibler Datenkategorien, die aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit erforderlich macht. Der Schutz vor Gesundheitsgefahren aufgrund von ansteckenden Infektionskrankheiten ist jedenfalls ein legitimes öffentliches Interesse. Aber Art. 9 Abs. 2 lit. i DSGVO allein kann nicht als Rechtsgrundlage dienen, sondern ist aufgrund seiner Klassifikation als Öffnungsklausel stets in Verbindung mit den entsprechenden nationalen Rechts anzuwenden.

Vorlagepflicht vor Beginn der Tätigkeit

In der deutschen Rechtsordnung wird der Schutz von Infektionskrankheiten maßgeblich durch das Infektionsschutzgesetz gewährleistet, welches nunmehr durch das Masernschutzgesetz weitreichende Änderungen erfährt. In § 23a IfSG heißt es dazu bisher:

„Soweit es zur Erfüllung von Verpflichtungen aus § 23 Absatz 3 in Bezug auf Krankheiten, die durch Schutzimpfung verhütet werden können, erforderlich ist, darf der Arbeitgeber personenbezogene Daten eines Beschäftigten über dessen Impf- und Serostatus erheben, verarbeiten oder nutzen, um über die Begründung eines Beschäftigungsverhältnisses oder über die Art und Weise einer Beschäftigung zu entscheiden. Im Übrigen gelten die Bestimmungen des allgemeinen Datenschutzrechts.“

Der von Gesundheitsminister Spahn vorangetriebenen Gesetzesentwurf weitet die Abfrage durch den Arbeitgeber nunmehr über die in § 23 Abs. 3 IfSG genannten Stellen dahingehend aus, dass auch Beschäftigte von Gemeinschaftseinrichtungen vor Beginn ihrer Tätigkeit einen Impfnachweis vorzulegen haben. Kann der Beschäftigte den Nachweis nicht erbringen, so darf die Leitung ihm keine Tätigkeiten übertragen. Die Übertragung einer Tätigkeit ohne Impfnachweis stellt künftig eine bußgeldbewährte Ordnungswidrigkeit dar. Der Arbeitgeber hat daher ein gesteigertes Interesse daran, den Impfnachweis dokumentieren zu können.

Laut Gesetz kann der Nachweis durch eine Impfdokumentation (Impfausweis) oder in Form eines ärztlichen Zeugnisses vorgelegt werden. Die Frage wie das „Vorlegen“ von Dokumenten beim Arbeitgeber konkret ausgestaltet werden darf, ist bereits aus anderen Fragestellungen bekannt und umstritten. Etwa bei der Vorlage von Führungszeugnissen oder der Anfertigung von Führerscheinkopien, sofern den Beschäftigten Firmenwagen zur Verfügung gestellt werden.

Keine Kopie in Personalakte

Aufgrund des Grundsatzes der Datenminimierung gem. Art 5 Abs. 1 lit. c DSGVO und der besonderen Sensibilität von Gesundheitsdaten sollte auf die Anfertigung einer Kopie des vorgelegten Nachweises gleichwohl verzichtet werden. Insbesondere dann, wenn Mitarbeiter ihren Nachweis mittels Vorlage des Impfpasses erbringen wollen, kann nicht ausgeschlossen werden, dass der Arbeitgeber noch weitere Impfungen und damit Gesundheitsdaten zur Kenntnis nimmt.

Der Nachweis der Impfung ist weder mit der Kontrolle, ob Mitarbeiter im Besitz einer gültigen Fahrerlaubnis sind, noch mit der Vorlage eines polizeilichen Führungszeugnisses vergleichbar. Hier wird vertreten, dass, zumindest sofern eine gesetzliche Vorlagepflicht (etwa § 72 a SGB VIII) besteht, auch Kopien des Führungszeugnisses zur Personalakte genommen werden dürfen. Der Inhalt eines solchen Zeugnisses kann sich im Laufe eines Beschäftigungsverhältnisses gleichwohl ändern, sodass in regelmäßigen Abständen erneut ein Zeugnis vorgelegt werden muss.

Impfnachweis datenschutzkonform dokumentieren

Im Gegensatz zu den oben genannten Konstellationen gerät der Arbeitgeber im Fall der Masernschutzimpfung nicht in Beweisnöte. Sofern der Impfschutz einmal vorliegt, hält dieser in der Regel ein Leben lang. Als milderes Mittel erscheint es daher ausreichend, sich den entsprechenden Nachweis über die Impfung vorzeigen zu lassen und einen Vermerk darüber anzufertigen, dass der Mitarbeiter oder die Mitarbeiterin über den entsprechenden Impfschutz verfügt. Ein solcher Vermerk kann gegebenenfalls durch das 4-Augen-Prinzip mit Unterschriften der für Personalangelegenheiten betrauten Mitarbeitern dokumentiert werden.

Woran denken Sie beim Begriff „Arbeitszeit“? Nicht wenige Arbeitnehmer dürften in diesem Moment ihren Traum von der Karibik langsam verblassen sehen. Unabhängig davon, ob Sie gern zur Arbeit gehen oder lieber ausschlafen würden, stellen sich folgende Fragen: Sind Arbeitszeiten datenschutzrechtlich als personenbezogene Daten geschützt und falls ja, was bedeutet das für die Praxis?

Was sind personenbezogene Daten?

Zur Frage, wie personenbezogene Daten definiert werden, existieren sicherlich Abermillionen Artikel im sagenumwobenen Neuland namens Internet. Beispielhaft sei hier auf einen unserer Blogbeiträge aus 2013 verwiesen – zugegeben, dieser Artikel ist schon etwas älter, aber in der Sache hat er sich gut gehalten. Weitergehende Informationen zum Begriff, zu passenden Erwägungsgründen und nützlichen Links finden sich hier.

Wer wissen möchte, was personenbezogene Daten sind, guckt – richtig! – ins Gesetz. Nach Art. 4 Nr. 1 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Das ist ja schön und gut, aber wann ist denn jemand identifizierbar? Auch hier liefert die genannte Norm eine Antwort:

„als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“

Um Sie zu identifizieren, braucht es kein Foto, keine Videoüberwachung, kein Facebook: Schon anhand Ihrer IP-Adresse sind Sie identifizierbar. Für die Laien unter uns: Cache, Cookies und Verlauf nach der Sitzung zu löschen macht Sie nicht unsichtbar!

Arbeitszeit = personenbezogene Daten

Wer wann mit der Arbeit beginnt, Feierabend oder Pause macht – all das kann durch eine Arbeitszeiterfassung gespeichert werden. Da die Arbeitszeit stets mit einer bestimmten, identifizierten Person verknüpft ist, gibt es nichts zu beschönigen: Ihr Chef bzw. die Personalabteilung weiß im Zweifel, ob Sie vor dem Schreibtisch sitzen oder eine Raucherpause einlegen.

Aufgrund der Verknüpfung zwischen Arbeitszeit (Information) und Arbeitnehmer (identifizierte Person) handelt es sich bei der Arbeitszeit um personenbezogene Daten.

Dementsprechend stellte der EuGH (Az. C-342/12) im Mai 2013 fest:

„Aufzeichnungen über die Arbeitszeiten (…), die die Angabe der Uhrzeit, zu der ein Arbeitnehmer seinen Arbeitstag beginnt und beendet, sowie der Pausen bzw. der nicht in die Arbeitszeit fallenden Zeiten enthalten, fallen unter den Begriff personenbezogene Daten (…)“.

Wie im Märchen?

Personenbezogene Daten verhalten sich wie Disney Prinzessinnen. Sie kommen im Zweifel nicht alleine klar. Anstelle des lang ersehnten Jünglings bedarf es einer schützenden Hand – dem Datenschutz! Ende gut, alles gut?

Sollten Sie nun jubeln und frohlocken, so enttäusche ich Sie nur ungern: Die Arbeitszeit mag als personenbezogenes Datum geschützt sein, das heißt jedoch nicht, dass sie unantastbar wäre.

Personenbezogene Daten dürfen nicht ohne Weiteres verarbeitet werden, dies ist korrekt. Liegt jedoch eine Rechtsgrundlage wie beispielsweise Art. 6 DSGVO oder § 26 BDSG vor, ist ein Erfassen, Speichern und Co. durchaus rechtmäßig. Dies gilt auch für Arbeitszeiten.

Berührungspunkte zwischen Arbeitszeit und Datenschutz

Berührungspunkte zwischen Arbeitszeit und Datenschutz gibt es viele. Exemplarisch wird auf die Arbeitszeiterfassung und auf Dienstpläne näher eingegangen.

Erfassung der Arbeitszeit

Die Erfassung der Arbeitszeit wird schon seit Ewigkeiten immer wieder thematisiert. Um die rechtliche Situation zusammenzufassen, widmeten wir uns bereits vor neun Jahren dieser Problematik.

Seitdem scheint sich zunächst nichts Wesentliches geändert zu haben:

• Weiterhin gilt, dass eine Arbeitszeiterfassung nicht zu einer laufenden Überwachung des Arbeitnehmers führen darf. So entschied das Arbeitsgericht Berlin im August 2017, dass es unverhältnismäßig ist, von den Mitarbeitern eines Taxiunternehmens zu verlangen, alle drei Minuten eine Taste zu drücken.
• Unverändert regelt 16 II 1, 2 ArbZG, dass der Arbeitgeber verpflichtet ist, die über die werktägliche Arbeitszeit hinausgehende Arbeitszeit der Arbeitnehmer aufzuzeichnen und die Nachweise für mindestens zwei Jahre aufzubewahren.

Der EuGH wäre jedoch nicht der EuGH, wenn er die Karten nicht wieder neu mischen würde: So entschied er am 14. Mai 2019 (Az. C-55/18), es sei notwendig, dass

„Mitgliedsstaaten die Arbeitgeber (…) verpflichten, ein objektives, verlässliches und zugängliches System einzurichten, mit dem die von einem jeden Arbeitnehmer geleistete tägliche Arbeitszeit gemessen werden kann“.

Im deutschen Arbeitszeitrecht ist dies bisher noch nicht angekommen, der Gesetzgeber schweigt (noch). Eines lässt sich jedoch schon jetzt feststellen: Die Erfassung der regulären Arbeitszeit ist längst nicht mehr datenschutzrechtlich ungeregeltes Gebiet, vielmehr ist sie in der Mitte der Gesellschaft angekommen. Sofern keine Dauerüberwachung des Mitarbeiters stattfindet und die Daten vor unberechtigtem Zugriff geschützt werden, ist in der Regel von einer Verhältnismäßigkeit der Arbeitszeiterfassung auszugehen.

Sorry Raucher!

Auslegen von Dienst- und Schichtplänen

Krankenschwestern, Altenpflegern und sonstigen Helden des Alltags dürften sie bekannt vorkommen: Dienst- und Schichtpläne. Nicht selten hängen diese für alle Mitarbeiter zugänglich aus, damit für jeden ersichtlich ist, wer wann wo zu erreichen ist und mit welchem (ggf. unliebsamen) Kollegen zusammengearbeitet wird.

Falls Sie sich nun fragen, ob auch wirklich jede Kollegin und jeder Kollege so genau wissen muss, warum Sie immer nur die besten Schichten belegen oder warum Sie so häufig krank sind, dann lautet die Antwort: Das kommt darauf an.

Das interne Auslegen von Dienst- und Schichtplänen lässt sich auf § 26 BDSG stützen, sofern es erforderlich für die Durchführung des Arbeitsverhältnisses ist. Häufig wird der ordnungsgemäße Betriebsablauf nur sichergestellt werden können, wenn sich die Mitarbeiter untereinander abstimmen, wer wann und mit wem arbeitet, Schichten tauscht etc. Natürlich gilt auch hier das Prinzip der Datenminimierung: Im Plan ist nur das anzugeben, was auch notwendig ist. Letztlich bleibt es aber eine Frage des Einzelfalls, ob das Auslegen noch rechtmäßig ist oder nicht.

Ende Gelände?

Das Datenschutzrecht befindet sich seit jeher im Wandel. Es wird nicht nur täglich neu erfunden, sondern auch neu ausgehandelt. Personenbezogene Daten sind nie „out“ – trotz aller Widrigkeiten sind sie vor ungerechtfertigter Beeinträchtigung zu bewahren.

Auch ohne Nostradamus lässt sich ein Blick in die Zukunft wagen: Die theoretisch anmutende Frage, ob Arbeitszeiten personenbezogene Daten sind, wird auch weiterhin praktische Relevanz haben. Für diese Erkenntnis braucht es keine Kristallkugel.

Viele Arbeitgeber haben ein Interesse daran, von ihren Bewerbern und potentiellen künftigen Arbeitnehmern ein polizeiliches Führungszeugnis zu verlangen. Schließlich will man ja wissen, wen man sich da ins Boot holt. Aber ist das überhaupt zulässig? Und was ist mit den Rechten der Arbeitnehmer? Mit diesem Beitrag sollen die wichtigsten Fakten zum Führungszeugnis aus datenschutzrechtlicher Sicht einmal dargestellt werden.

Führungszeugnis und Bundeszentralregister

Ein kleiner Fakt für die Besserwisser unter uns vorab: Das polizeiliche Führungszeugnis gibt es mit diesem Namen gar nicht mehr, es heißt nur noch Führungszeugnis. Der „alte“ Name ist jedoch weiterhin bei einem Großteil der Bevölkerung fest verankert. Regelungen zum Führungszeugnis finden sich im Bundeszentralregistergesetz (BZRG). Das Führungszeugnis ist nicht mehr und nicht weniger als eine behördliche Bescheinigung über registrierte Vorstrafen einer Person. Folgende Arten von Führungszeugnissen sind zu unterscheiden:

• Führungszeugnis für private Zwecke:
  Dieses enthält nur Verurteilungen, bei denen die Geldstrafe über 90 Tagessätze liegt bzw. eine Bewährungsstrafe von mehr als drei Monaten verhängt wurde (sofern keine weiteren Vorstrafen bestehen)
• Führungszeugnis für eine Behörde:
  Erhalten ausschließlich Behörden (auf Verlangen) und enthält deutlich mehr Informationen vermerkt als das Führungszeugnis für private Zwecke, z. B. auch die gerichtlich angeordnete Unterbringung in einer psychiatrischen Anstalt oder Entzug einer Gewerbeerlaubnis
• Europäisches Führungszeugnis:
  Dies ist vor allem dann wichtig, wenn der Bewerber Staatsangehöriger eines anderen EU-Mitgliedsstaates ist und enthält Nachweise über Verurteilungen, die im Herkunftsland stattgefunden haben
• Erweitertes Führungszeugnis:
  Ähnlich wie das private Führungszeugnis; enthält aber zusätzlich Angaben zu bestimmten Straftaten (z. B. Exhibitionistische Handlungen, Verbreitung pornographischer Schriften, Menschenhandel) und wird zur Prüfung der persönlichen Eignung von Menschen benötigt, die in ihrer beruflichen oder ehrenamtlichen Tätigkeit mit Minderjährigen in Kontakt kommen.

Was darf der Arbeitgeber?

Zum Thema Führungszeugnis tauchen in der Beraterpraxis relativ häufig einige Fragen auf: In welchen Fällen darf der (künftige) Arbeitgeber die Vorlage eines Führungszeugnisses verlangen? Und wie darf er mit den darin enthaltenen Daten des Arbeitnehmers umgehen? Oder muss vielleicht sogar jeder Arbeitnehmer ein Führungszeugnis vorlegen? Die Antwort auf die dritte Frage lautet ganz klar „nein“! Wie es im Datenschutzrecht nun einmal so ist, bedarf es stets einer Rechtsgrundlage. Auch hier gilt also immer das Verbot mit Erlaubnisvorbehalt.

Arbeitsrecht und Datenschutzrecht haben seit jeher eine besondere Beziehung zueinander. Dies liegt daran, dass hier naturgemäß die (meist) gegenläufigen Interessen von Arbeitgebern und Arbeitnehmern aufeinanderprallen. Das Interesse eines Arbeitgebers an größtmöglicher Information ist nachvollziehbar. Es ist aber wichtig sich klarzumachen, dass dies nur in engen Grenzen möglich ist. Diese Grenzen werden hier sowohl vom Datenschutzrecht als auch vom Arbeitsrecht gesetzt.

Grundsatz: Keine Vorlagepflicht!

In der beruflichen Praxis ist es meistens so, dass der künftige Arbeitnehmer das Führungszeugnis erst vorlegen muss, nachdem der Arbeitsvertrag unterzeichnet worden ist. Dies kann den Anschein erwecken, dass eine Art „Vorlagepflicht“ für den Arbeitnehmer bestehe, zumal der Arbeitgeber oft auch die Kosten für die Erstellung übernimmt. Diese Vorgehensweise hat immerhin den Vorteil, dass das Führungszeugnis so nicht zur Entscheidungsgrundlage gemacht wird, ob ein Arbeitsverhältnis zustande kommt oder nicht.

Das dem nicht so ist und die im Führungszeugnis genannten Daten durchaus sensibel sind, wird insbesondere durch Art. 10 S. 1 DSGVO deutlich. Die Norm sieht vor, dass eine Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten nur unter behördlicher Aufsicht oder in Ausnahmefällen stattfinden darf. Auf diese Weise soll verhindert werden, dass strafrechtlich relevante Daten „unkontrolliert“ gespeichert werden.

Im Arbeitsverhältnis ist § 26 Abs. 1 BDSG meist die einschlägige Rechtsgrundlage. Dort heißt es sinngemäß, dass personenbezogene Daten zur Begründung oder Durchführung eines Beschäftigungsverhältnisses verarbeitet werden dürfen, soweit dies erforderlich ist. In der Begründung zu dieser Norm hat der Gesetzgeber angedacht, dass sie auch die Verarbeitung von personenbezogenen Daten, die unter Art. 10 S. 1 DSGVO fallen, im Beschäftigungskontext ermöglichen soll.

Keine Regel ohne Ausnahme

Das Merkmal der Erforderlichkeit des § 26 Abs. 1 BDSG ist jedoch vor dem Hintergrund des grundsätzlichen Verbotes des Art. 10 DSGVO eng auszulegen. Mann kann dieses bejahen, wenn eine gesetzliche Pflicht besteht den Beschäftigten auf Vorstrafen zu überprüfen oder solche Personen nicht zu beschäftigen. Ein häufiges Beispiel aus der Praxis stellt hier der § 72a SGB VIII dar und betrifft den Bereich der Arbeit mit Minderjährigen. Hier hat der jeweilige Arbeitgeber das Recht, sich bei Einstellung und zudem in regelmäßigen Abständen vom Arbeitnehmer ein Führungszeugnis vorlegen zu lassen. An diesem Beispiel lässt sich also gut erkennen, dass der Gesetzgeber dem Schutz von Minderjährigen einen hohen Wert beimisst.

In Fällen, die nicht ausdrücklich im Gesetz geregelt sind, ist eine Erforderlichkeit nur dann anzunehmen ist, wenn von dem Arbeitgeber eine besondere Zuverlässigkeit verlangt wird und für diese keine andere Nachweismöglichkeit besteht. Zudem muss jegliches strafrechtliches Vorverhalten relevant sein, weil die zu besetzende Stelle abstrakt ein starkes Vertrauensverhältnis erfordert. Als Beispiele sind hier Tätigkeiten im Bankwesen, im Bereich Compliance oder auch als Datenschutzbeauftragter zu nennen.

Der Arbeitgeber kann also nicht nach seinem Belieben die Vorlage eines Führungszeugnisses verlangen. In allen anderen als den oben genannten Konstellationen besteht für ihn nur ein Fragerecht hinsichtlich für die Tätigkeit relevanter Vorstrafen, beispielsweise nach Verkehrsdelikten bei einem Busfahrer. Denn hier bestünde bei der Forderung eines Führungszeugnisses ansonsten die Gefahr, dass der potentielle Arbeitgeber Informationen über etwaige Straftaten erhält, welche keinen Bezug zur konkreten Tätigkeit aufweisen. Dies wäre mit dem Grundsatz der Datenminimierung kaum vereinbar.

Geiz ist geil – auch im Datenschutz

Ferner stellt sich dann die Frage, wie der Arbeitgeber die Daten aus dem Führungszeugnis verarbeiten darf. Ist es erlaubt, z. B. eine Kopie anzufertigen oder reicht ein einfacher Vermerk in der Personalakte? Auch hier sollte zunächst unbedingt darauf geachtet werden, dass nur diejenigen Daten verwendet werden, welche auch wirklich erforderlich im Sinne des § 26 Abs. 1 BDSG sind. Der Grundsatz der Datenminimierung ist also stets zu wahren.

Darüber hinaus sollte der Kreis der Personen im Unternehmen, welche Zugriff auf das Führungszeugnis haben, auf das Nötigste beschränkt werden. Im Normalfall darf also nur die Unternehmensleitung sowie weitere mit dem Bewerbungsprozess betraute Personen Zugriff auf die personenbezogenen Daten haben.

Vorlage ja – Speicherung nein?

In den (wenigen) Fällen, in welchen der Gesetzgeber die Vorlage eines Führungszeugnisses ausdrücklich vorsieht, muss der Arbeitgeber dessen Vorlage im Regelfall dokumentieren. Eine Kopie oder eine andere Form der Speicherung mag da erst einmal die nächstliegende Lösung sein. Auf welche Weise die Dokumentation erfolgen muss, wird allerdings nicht ausdrücklich festgelegt. Es ist jedoch zu berücksichtigten, dass ein Führungszeugnis stets nur den Ist-Zustand darstellt. Schon am Tag nach dessen Ausstellung kann das Führungszeugnis theoretisch wieder veraltet sein.

Eine dauerhafte Speicherung in der Personalakte ist daher im Regelfall nicht zulässig. Vielmehr ist es ausreichend, die Vorlage des Führungszeugnisses zu dokumentieren. Dies kann man ggf. mit einem kurzen Vermerk ergänzen, dass keine Vorstrafen bestehen. Im Sozialrecht beispielsweise bestehen dazu konkrete Regelung. So heißt es in § 72a Abs. 5 S. 1 SGB VIII:

Träger der öffentlichen und freien Jugendhilfe dürfen von den nach den Absätzen 3 und 4 eingesehenen Daten nur den Umstand, dass Einsicht in ein Führungszeugnis genommen wurde, das Datum des Führungszeugnisses und die Information erheben, ob die das Führungszeugnis betreffende Person wegen einer Straftat nach Absatz 1 Satz 1 rechtskräftig verurteilt worden ist.

Der Gesetzgeber ist gefordert

Ebenso finden sich solche Vorgaben für die Datenerhebung und -speicherung in den § 124 Abs. 2 S. 4 SGB IX und § 75 Abs. 2 S. 5 SGB XII für hauptamtlich Beschäftigte. Der Grundsatz der Datenminimierung ist also auch immer bei der Dokumentation zu beachten. Dabei kommt es zwar wie so oft auf den konkreten Einzelfall an. In den meisten Fällen dürfte eine Speicherung des Führungszeugnisses aber nicht erforderlich im Sinne des § 26 Abs. 1 BDSG sein.

Ein Problem bleibt aber ohnehin: Bislang ist es nicht möglich, Auskünfte aus dem Führungszeugnis auf einzelne Bereiche zu beschränken. Aus datenschutzrechtlicher Sicht wäre es sinnvoll, beispielsweise nur Informationen über Vermögensdelikte zu erhalten, weil gerade diese für die konkrete Tätigkeit relevant sind. Alternativ wäre es auch möglich, dass der künftige Arbeitgeber – mit schriftlicher Einwilligung des Arbeitnehmers – das Führungszeugnis direkt anfordert und dabei die relevanten Bereiche nennen muss. Hier ist also der Gesetzgeber gefordert, damit das Grundrecht jedes Einzelnen auf Informationelle Selbstbestimmung nicht zu stark beschnitten wird.

Office 365 soll in Zukunft Microsoft 365 heißen. Mit dem Umbau wurden auch Zusatzfeatures der Office-Suite angekündigt: Employee Safety 365 ist eine Erweiterung der Kollaborationssoftware Teams, die wir datenschutzrechtlich genauer betrachtet haben.

Microsoft Office 365 – Bestandsaufnahme

Microsoft war auf unserem Blog schon des Öfteren ein Thema. Leider stand es bei einer datenschutzrechtlichen Beleuchtung nicht immer im besten Licht. Beispielsweise werden bei der Nutzung von Office 365 über 25.000 Events Diagnosedaten an Microsoft übermittelt. Wer einmal die Online-Service-Terms und das Data-Processing-Addendum von Microsoft gelesen hat, dem machen Plusquamperfekt und Futur 2 keine Angst mehr.

Da die Mitarbeiter von Unternehmen eigentlich den ganzen Tag nur noch mit dieser Office-Suite arbeiten, ist auch die Leistungs- und Verhaltenskontrolle mit Workplace Analytics und MS Graph treffsicherer geworden. Um Sicherheit und Produktivität weiter zu verbessern, hat Microsoft Employee Safety 365 vorgestellt.

Funktionsumfang von Employee Safety 365

Unternehmen können nun endlich die Computer-, Smartphone- und Internet-Nutzung der Mitarbeiter kontrollieren und steuern. Dazu zählen auch Auswertungen der Bildschirmzeit auf Windows- und Android-Geräten, sowie der Xbox. Nachdem ein Unternehmen über diese Funktionen überhaupt einmal ermittelt hat, wie lange Mitarbeiter während der Arbeitszeit Netflix schauen, können mittels Employee Safety 365 die Nutzungszeiten für Apps und Anwendungen reguliert werden. Dies gilt auch für Social-Media- und Messenger-Programme. Erste Unternehmen verzeichneten im Test erhebliche Erfolge in der Mitarbeiterbindung, seitdem sie die Nutzungsdauer für das Unternehmer- und Jobsuche-Portal Xing auf zwei Stunden am Tag reduzierten.

Employee Safety 365 soll jedoch nicht nur die Produktivität erhöhen, sondern die Arbeitnehmer auch schützen. Einige Features erhöhen sogar die Sicherheit der Arbeitnehmer noch vor dem Betreten der Büroräume. Mittels Location Tracker und Geofencing kann der Arbeitgeber die Arbeitswege und Geschwindigkeiten seiner Arbeitnehmer kontrollieren. Mittels Geofencing können morgendliche Abstecher vom normalen Arbeitsweg direkt mit einer E-Mail-Warnung verknüpft werden. Auch eine Fahrstilanalyse ist im Softwarepaket mit inbegriffen. So können Mitarbeiter, die auf dem Weg zur Arbeit schneller fahren als auf dem Heimweg, identifiziert und explizit gefördert werden. All diese Informationen werden bequem in automatisch erstellten Profilen gespeichert und ausgewertet.

Zulässig nach DSGVO?

Seit der Einführung der Datenschutz-Grundverordnung ist eine solche Überwachung natürlich nicht ohne weiteres möglich. Unter den Testunternehmen waren beispielsweise kollegiale Wettkämpfe sehr beliebt wie „höchste Geschwindigkeit beim Heimweg“ oder „längster Heimweg nach der Betriebsfeier“.

Aus datenschutzrechtlicher Sicht ist dies aber nicht unproblematisch. Der grundlegende Einsatz von Employee Safety 365 ist unkompliziert nach § 26 Abs. 1 S. 1 BDSG erforderlich für die Durchführung des Beschäftigungsverhältnisses. In der modernen Welt müssen Unternehmen ihr wichtigstes Kapital fördern, beschützen und nutzen. Da sich darum aber mittlerweile Banken kümmern, konzentrieren sich Unternehmen verstärkt auf ihr Personal.

Da Employee Safety 365 jedoch auch Daten außerhalb des Beschäftigungsverhältnisses verarbeitet, greift die Rechtsgrundlage nicht für alle Verarbeitungsvorgänge. Microsoft hat deshalb angekündigt, dass Employee Safety 365 mit einer voreingestellten Einwilligung für alle weiteren Verarbeitungen installiert wird. Administratoren können darüber hinaus das Ändern der Einstellungen durch die Mitarbeiter mittels entsprechender Policies verhindern.

Unternehmen sind eine Familie

Employee Safety 365 ist das neue Tool mit denen Unternehmen und Mitarbeiter zu einer Familie zusammenwachsen können. Denn nur ohne Geheimnisse oder vorgetäuschte Privatsphäre können die Mitarbeiter offen und ehrlich miteinander kommunizieren. Als wäre das Tool für Familien und nicht für Unternehmen entworfen, stellt es alle bisherigen Überlegungen zum Arbeitnehmerdatenschutz in Frage… oder hieß das Tool doch „Family Safety“ – das spielt an dem heutigen Tag ja aber keine Rolle.

Froher 1. April von Dr. Datenschutz.

Uns steht ein langes, sonniges Oster-Wochenende bevor. Manch ein Arbeitgeber möchte seinen Mitarbeitern eine kleine Aufmerksamkeit in Form eines Schoko-Osterhasen zu senden. Vielleicht soll es neben der Wertschätzung auch ein kleines Dankesschön für durch das Durchhaltevermögen während der Corona-Krise symbolisieren. Manch ein sensibilisierter Personaler fragt sich nun: Dürfen wir die Privatadressen der Mitarbeiter hierfür verwenden? Es folgt eine kleine datenschutzrechtliche Erläuterung.

Ausgangspunkt: Grundsatz der Zweckbindung

In der Personalakte findet man schnell die Privatadresse, welche bereits zu Beginn des Arbeitsverhältnisses bzw. sogar des Bewerbungsprozesses erhoben wurde. Grund für die Datenerhebung war die Durchführung des Arbeitsverhältnisses (vgl. § 26 Abs. 1 BDSG). Die Vertragsparteien werden anhand des Namen und der Adressdaten konkretisiert. Zudem will der Arbeitgeber auch Lohnzettel oder andere arbeitsrechtliche Informationen postalisch an den Mitarbeiter senden können.

In Art. 5 Abs. 1 lit. b DSGVO ist der Grundsatz der Zweckbindung normiert. Danach müssen personenbezogene Daten

„für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecke.“

Es ist wohl zweifelhaft, ob bei Vertragsschluss bereits klar war, dass Osterhasen oder sonstige kleine Gratifikationen an die Privatadressen des Mitarbeiters gesendet werden. Nur bei bereits bestehender „Tradition“ im Unternehmen wird ein Arbeitgeber hierüber in seinen Datenschutzhinweisen an die Mitarbeiter informieren.

Man kann sich darüber streiten, ob diese Form der Mitarbeitermotivation noch unter § 26 BDSG gefasst werden kann bzw. ob diese Datenverarbeitung für die Durchführung des Arbeitsverhältnisses erforderlich ist. Aber selbst wenn man dies verneinen sollte, kommt man auf anderen Wege zur Zulässigkeit.

Zulässige Zweckänderung

Keine Regel ohne Ausnahme. Art. 6 Abs. 4 DSGVO erläutert, wann man ausnahmsweise personenbezogene Daten zu einem anderen Zwecke verarbeiten darf:

„Beruht die Verarbeitung zu einem anderen Zweck als zu demjenigen, zu dem die personenbezogenen Daten erhoben wurden, (…) so berücksichtigt der Verantwortliche – um festzustellen, ob die Verarbeitung zu einem anderen Zweck mit demjenigen, zu dem die personenbezogenen Daten ursprünglich erhoben wurden, vereinbar ist -unter anderem:

a) jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung,

b) den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen,

c) die Art der personenbezogenen Daten (…),

d) die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen,

e) das Vorhandensein geeigneter Garantien, wozu Verschlüsselung oder Pseudonymisierung gehören kann.“

Zusammengefasst geht es hier also um eine Kompatibilitätsprüfung, das heißt, ist der ursprüngliche Zweck mit dem neuen Zweck vereinbar? Maßgeblich ist hierbei der Empfängerhorizont der betroffenen Person.

Ein gutes Arbeitsverhältnis sollte von gegenseitigen Respekt und Anerkennung gekennzeichnet sein. Insoweit gehört es auch zu einer guten Arbeitskultur, dass der Arbeitgeber die Arbeitsleistung des einzelnen Mitarbeiters wertschätzt. Dies führt letztlich dazu, dass die Mitarbeiter weiterhin motiviert arbeiten. Eine kleine Aufmerksamkeit in Form eines Schoko-Osterhasen oder Schoko-Nikolaus ist daher einerseits im Interesse des Arbeitnehmers und andererseits ist es – hoffentlich – auch nicht so unüblich, dass er damit nicht rechnen konnte. Für den Mitarbeiter gibt es auch keine nachteiligen Folgen – außer vielleicht einer Gewichtzunahme.

Die Grenze ist nur dort zu ziehen, wo es dem Arbeitgeber nicht mehr primär um Mitarbeitermotivation, sondern um Werbung für die eigene oder andere Firma geht. Die Nutzung der Privatadresse zu Werbezwecken überrascht dann doch jeden Mitarbeiter und ist daher nicht mehr mit dem ursprünglichen Zweck der Datenerhebung vereinbar.

Und die Rechtsgrundlage?

Art. 6 Abs. 4 DSGVO regelt nach herrschender Meinung nur, wann eine Zweckänderung zulässig ist und stellt selbst keine Rechtsgrundlage dar. Für den neuen Zweck der Datenverarbeitung muss daher noch separat eine Rechtsgrundlage nach Art. 6 Abs. 1, Art. 9 Abs. 2 DSGVO, dem BDSG oder anderen Spezialgesetzen vorliegen.

Wie bereits oben erwähnt, könnte man diese Form der Mitarbeitermotivation ggf. noch unter § 26 Abs. 1 BDSG rechtfertigen. Jedenfalls stellt es ein berechtigtes Interesse des Arbeitsgebers i. S. v. Art. 6 Abs. 1 S.1 lit. f DSGVO dar. Auf Seiten des Mitarbeiters sind keine er Interessen erkennbar, die überwiegend gegen die Datenverarbeitung sprechen. Insbesondere verwendet der Arbeitgeber nur ihm ohnehin schon bekannte Adressdaten, die nicht sonderlich schutzbedürftig sind.

Die Ostereiersuche kann beginnen

Vorsicht ist besser als Nachsicht. Es ist gut, wenn im Unternehmen der Datenschutz so Ernst genommen wird, sodass auch scheinbare Selbstverständlichkeiten nochmal kritisch hinterfragt werden. Je älter man wird, umso mehr verliert man leider diese Eigenschaft des Hinterfragens. Der Datenschutzbeauftragte kann natürlich sehr schnell Licht ins Dunkeln bringen. Und er freut sich auch mal sagen zu können: Ja, das geht.

Das Team vom Dr. Datenschutz wünschen Ihnen einen fleißigen Osterhasen und viel Spaß beim Vernaschen der Osterleckereien.

In Krisenzeiten wie zur Corona-Epidemie, aber auch bei Terroranschlägen oder Naturkatastrophen überlegen viele Arbeitgeber, ob ihre bisher dokumentierten Notfallmaßnahmen im Ernstfall genügen. Im WorldWideWeb findet man eine Vielzahl an Dienstleistern, die eine leichte und automatisierte Unterstützung anbieten. Bei der Suche nach dem passenden Notfallmanagement-Tool, darf der Arbeitnehmerdatenschutz aber nicht unberücksichtigt bleiben.

Was bieten solche Notfallmanagement-Tools an?

Es gibt viele Gründe, warum ein Unternehmen ein Notfallmanagement integrieren möchte:

• Erfüllung der Sorgfaltspflichten als Arbeitgeber durch effektiveren Schutz für die Mitarbeiter
• Erhöhung des Schutzes für die IT-Sicherheit und Datensicherheit
• Schadensbegrenzung durch schnelles und effektives Handeln in Krisensituationen
• Ermöglichen einer schnellen Wiederaufnahme des Hauptgeschäfts.

In der Vergangenheit schrieb man daher umfassende Notfallhandbücher und probte den Ernstfall mit den Mitarbeitern im Rahmen von Übungen für den Feueralarm o.Ä.

Durch die Globalisierung und Vernetzung der Welt veränderte sich die Arbeitsweise nachhaltig, sodass sich Unternehmen auch auf andere Krisenszenarien und mögliche Gefahren (z.B. Terroranschlag, Cyber-Kriminalität) einstellen müssen. Verschiedene Software-Lösungen wie die von Everbridge oder Rave Mobile Safety versuchen auch diesen Bereich zu digitalisieren und ermöglichen es dem Unternehmen u.a.:

• durch Tracking der Lokaldaten zu wissen, wer sich im Gebäude befindet, und mit diesen Personen im Notfall kommunizieren zu können,
• die Kommunikation und die Kollaboration für die Sammlung von Personen und Evakuierungsplänen zu automatisieren,
• Evakuierungspläne für Notfallsituationen zu automatisieren,
• zielgerichtet mittels SMS-Textwarnmeldungen, Sprachnachrichten, Mobil-App-Warnmeldungen, digitale Anzeigen oder Desktop-Benachrichtigungen Informationen zu senden sowie
• mit Hilfe mobiler Applikationen für das Smartphone sofort eine Nachricht an das Team zu senden.

Welche personenbezogenen Daten werden verarbeitet?

Je nach Funktionsweise des Notfallmanagement-Tools können folgende Daten der Mitarbeiter verarbeitet werden:

• Name
• betriebliche Kontaktdaten (E-Mail-Adresse und Telefonnummer)
• Standort und Adresse der Arbeitsstelle
• private Kontaktdaten
• dynamische Standortdaten (zuletzt bekannter Aufenthaltsort und vermuteter Aufenthaltsort anhand von Check-Ins oder Kalendereinträgen)
• aktuelle Standortdaten

Manche Notfallmanagement-Tools bieten die Möglichkeit der Verknüpfung mit dem Schlüsselsystem an. So wird getrackt, wo der Mitarbeiter zuletzt den Schlüssel verwendet hat und ob dies als Ein- oder Ausgang zu werten ist. Der Mitarbeiter kann aber auch seinen digitalen Terminkalender freigeben und anhand der Termine wird dann vermutet, wo sich der Mitarbeiter nun befindet.

Wenn das Tool auch eine App-Lösung für das Handy anbietet, können bei Zugriff auf die Ortungsdienste sogar die aktuellen Standortdaten erfasst werden.

Welche Rechtsgrundlagen kommen für die Datenverarbeitung in Betracht?

Diese Frage kann man nicht pauschal beantworten, da sie einerseits von der Funktionsweise des jeweiligen Tools, als auch von den Arten der zu verarbeitenden Daten abhängt. Aber auch der vom Unternehmen verfolgte Zweck spielt maßgeblich eine Rolle. Im Folgenden werden daher nur allgemeine rechtliche Überlegungen aufgezeigt.

§ 26 Abs. 1 BDSG oder Art. 6 Abs. 1 S. 1 lit. f DSGVO (überwiegend berechtigte Interessen)

Der Arbeitgeber muss gegenüber seinen Mitarbeitern diverse Fürsorgepflichten gerecht werden und insbesondere dessen Sicherheit am Arbeitsplatz gewährleisten. Im Rahmen der Arbeitssicherheit muss der Arbeitgeber gewährleisten, dass er seine Mitarbeiter effektiv vor Gefahren schützen kann. Bei der Wahl der Mittel steht ihm hierzu auch ein gewisser Ermessensspielraum zu. Ein Notfallmanagement-Tool kann grundsätzlich zur Erhöhung der Arbeitssicherheit führen. Insoweit kann hier die Erforderlichkeit der Datenverarbeitung in der Regel grundsätzlich bejaht werden.

Da hier Mitarbeiter betroffenen sind, sind zunächst die Voraussetzungen des § 26 Abs. 1 BDSG (i. V. m. Art. 88 Abs. DSGVO) zu prüfen. Hier hat der Gesetzgeber eine Sondernorm für den Arbeitnehmerdatenschutz geschaffen. Es stellt sich also die Frage, ob ein solches Notfallmanagement-Tool gerade für die Durchführung des Arbeitsverhältnisses erforderlich ist. In der Regel gibt es bereits ein Notfallmanagement im Unternehmen, bei dem weniger Daten verarbeitet werden. Soweit man dieses ersetzen will, sollte man die Gründe für die Erwägung dokumentieren: Möglicherweise hat sich in der Vergangenheit gezeigt, dass das bisherige Notfallmanagement nicht effektiv war. Vielleicht ist sogar ein Mitarbeiter zu Schaden gekommen. Aber auch eine tatsächliche Erhöhung der Gefährdungslage für die Mitarbeiter kann den Einsatz eines solchen Tools erforderlich machen.

Falls man die Erforderlichkeit für das Arbeitsverhältnis nicht bejahen kann, wird man die Voraussetzungen des Art. 6 Abs. 1 S. 1 lit. f DSGVO prüfen. Hier findet dann eine umfassende Interessenabwägung statt.

Art der Daten sind maßgeblich für die Bewertung

Sowohl bei dieser Interessenabwägung nach Art. 6 DSGVO als auch bei § 26 BDSG sind die Grundsätze der Datensparsamkeit und Zweckbindung hinreichend zu beachten. Da je nach Funktionen des Tools verschiedene Arten und Anzahl an Daten verarbeitet werden, muss man hier eine differenzierte Betrachtung vornehmen. Je mehr Daten des Arbeitnehmers verarbeitet werden, umso schwerer wiegt der Eingriff in dessen Rechte und Freiheiten. Umso besser müssen die Gründe und verfolgten Zwecke hierfür sein, um dies legitimieren zu können. Am Ende der Bewertung des Tools kann man zu dem Schluss kommen, dass man einzelne Funktionen mangels Rechtsgrundlage nicht nutzen darf oder nur, soweit der Mitarbeiter freiwillig zustimmt.

Name, betriebliche Kontaktdaten und Standort der Arbeitsstelle

Diese statischen Daten sind nicht besonders schutzbedürftig, weil sie innerhalb des Unternehmens ohnehin intern bekannt sind. Mit dem Notfallmanagement-Tool und diesen Angaben wird lediglich der Arbeitsschritt der Benachrichtigung via SMS, E-Mail, oder Telefon im Falle eines Notfalls automatisiert und damit die zuständigen Personen entlastet. Es ändert sich also nur die Vorgehensweise der Datenverarbeitung, aber nicht die Art der Daten.

Private Kontaktdaten

Zwischen Arbeitsleben und Privatleben ist grundsätzlich strikt zu trennen. Außerhalb der Arbeitszeit und Arbeitsstätte überwiegen grundsätzlich die Interessen und Rechte der Arbeitnehmer an Privatsphäre. Die in der Praxis bislang herrschende Ansicht geht daher davon aus, dass der Arbeitgeber die privaten Kontaktdaten der Mitarbeiter im Falle von Notfällen nur auf Grundlage deren Einwilligung verarbeiten darf. Etwas Anderes kann sich wohl nur dann ausnahmsweise ergeben, wenn betriebliche Kontaktmöglichkeiten nicht bestehen.

Aktuelle Standortdaten

Insoweit ist zu berücksichtigen, dass ein Tool bei einer Erfassung von Standortdaten zu einer Verhaltenskontrolle und damit auch zu einer Rundumüberwachung führen kann. Dies stellt einen besonders schweren Eingriff in die Rechte und Freiheiten des Arbeitnehmers dar. In der datenschutzrechtlichen Literatur sowie der Rechtsprechung wurden einige Grundsätze zum Einsatz von Ortungssystemen und zur Auswertung des Fahrverhaltens von Beschäftigten bei Dienstwagen herausgearbeitet. Diese sind hier entsprechend zu beachten. Dazu gehören insbesondere die folgenden Punkte:

• Verbot einer Totalüberwachung,
• Verbot einer Überwachung im privaten Bereich und
• Verbot einer heimlichen Überwachung.

Eine umfassende Überwachung kann nur ausnahmsweise bei Risikoberufsgruppen wie Feuerwehrmann, Soldat im Kriegseinsatz o.Ä. zulässig sein. In der Regel wird man aber die Erforderlichkeit der Datenverarbeitung verneinen müssen.

Dynamische Standortdaten

Die vorgenannten Überlegungen gelten auch hier, insbesondere wenn die Bewegungsabläufe innerhalb des Gebäude durch eine Verknüpfung mit dem Schlüsselsystem getrackt werden. Die Freigabe von digitalen Terminkalendern stellt allerdings ein milderes Mittel dar, da die Standortdaten ungenauer ermittelt werden. Bei Mitarbeitern, die viele Dienstreisen im Ausland wahrnehmen – insbesondere in Krisengebieten – kann diese Datenverarbeitung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO gerechtfertigt sein.

Art. 6 Abs. 1 S. 1 lit. a DSGVO (Einwilligung)

Bei all den Datenarten oder Funktionen des Notfallmanagement-Tools, die weder nach § 26 Abs. 1 BDSG noch auf Grundlage eines überwiegenden Interesses des Arbeitgebers nach Art. 6 Abs. 1 lit. f DSGVO begründet werden können, kann die Datenverarbeitung nur auf eine Einwilligung gestützt werden. Die Einwilligung ist demnach in der Regel für folgende Informationen einzuholen:

• private Kontaktdaten
• dynamische Standortdaten
• Freigabe der Ortungsdienste auf dem Handy bei Nutzung der App

Hierbei gilt es § 26 Abs. 2 Satz 3 BDSG zu beachten, wonach die Einwilligung von Mitarbeitern schriftlich oder oder elektronisch zu erfolgen hat. Der Arbeitgeber muss seine Mitarbeiter also vorab umfassend über die Datenverarbeitung und deren Rechte informieren. Zudem muss klargestellt werden, dass die Verweigerung einer Einwilligung das Arbeitsverhältnis nicht nachteilig beeinflusst.

Was muss ich als Arbeitgeber noch vor der Implementierung beachten?

Es ist an den Betriebsrat zu denken, da sich aus § 87 Nr. 6 Betriebsverfassungsgesetz ein Mitbestimmungsrecht für diesen ergeben kann. Eventuell bestehen auch schon sonstige Kollektivvereinbarungen, die ebenfalls bei der rechtlichen Bewertung zu berücksichtigen sind.

Soweit es sich um eine Software-as-a-Service Lösung handelt und der Software-Anbieter Zugriff auf Mitarbeiterdaten erhält, bedarf es den Abschluss einer Vereinbarung zur Auftragsverarbeitung i. S. v. Art. 28 DSGVO. Wenn ein Drittlandsbezug bei der Datenverarbeitung besteht, dann ist auch immer an den Abschluss von EU-Standardvertragsklauseln zu denken.

Je mehr Funktionen das Tool bietet und damit die Zahl der verarbeiteten Daten steigt, umso mehr ist auf die Datensicherheit zu achten. Der IT-Sicherheitsbeauftragte sollte daher einen prüfenden Blick auf die technischen und organisatorischen Maßnahmen werfen. Bei der Auswertung von aktuellen Standortdaten kann sich zudem eine Pflicht zur Vornahme einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO ergeben.

Aufgrund der rechtlichen Komplexität sollte der Datenschutzbeauftragte frühzeitig bei der Auswahl eines Notfallmanagement-Tool einbezogen werden. Er kann am besten beurteilen, welche Funktionen unter Berücksichtigung des Arbeitnehmerdatenschutzes eingesetzt werden können.

Das Bundesarbeitsgericht (BAG) hat entschieden, dass der Arbeitgeber auf Dateien des auch privat genutzten Arbeitsrechners zugreifen kann, wenn diese nicht als „privat“ gekennzeichnet wurden. Zudem kann der Arbeitgeber hierauf auch seine Kündigung stützen. Was heißt das für den Datenschutz des Arbeitnehmers?

Überprüfung von Arbeitsmitteln durch den Arbeitsgeber

Zunächst stellt sich die Frage, ob der Arbeitgeber überhaupt auf den Arbeitsrechner seines Arbeitnehmers zugreifen darf. Nach mittlerweile gefestigter Rechtsprechung des BAG, darf der Arbeitgeber jedenfalls Erkenntnisse oder Beweismittel aus der Verwertung von Dateien-Inhalten eines Arbeitsrechners verwenden, wenn er diese im Einklang mit datenschutzrechtlichen Vorschriften erlangt hat (BAG 23. August 2018 – 2 AZR 133/18 – Rn. 14 ff.).

Wegweisender BAG-Fall

Im konkreten Fall befanden die Richter aus Erfurt im Sinne des Beklagten (Arbeitgeber), der auf Grund eines Verdachtsfalles (Hinweis für die Spitzfindigen: nicht aber auf Tatsachen beruhenden Anfangsverdacht) den auch privat genutzten Arbeitsrechner seines Arbeitnehmers durchsuchte und eine darauf gegründete Kündigung aussprach. Die BAG-Richter ließen für die Kündigung einen begründeten Verdacht einer Pflichtverletzung ausreichen.

Entscheidende Norm: § 26 BDSG

Einschlägige datenschutzrechtliche Norm zur Bewertung der Zulässigkeit der Maßnahme ist § 26 Abs. 1 S. 1  BDSG (im Fall der inhaltsgleiche § 32 BDSG aF). Nach dieser Bestimmung dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses unter anderem dann erhoben, verarbeitet oder genutzt werden, wenn dies für dessen Durchführung oder Beendigung erforderlich ist. Der Begriff der Beendigung umfasst dabei die Abwicklung eines Beschäftigungsverhältnisses (so auch die Vorbereitung einer Kündigung – BAG 23. August 2018 – 2 AZR 133/18 – Rn. 22).

„§ 32 Abs. 1 Satz 2 BDSG aF entfaltet keine „Sperrwirkung“ dergestalt, dass eine anlassbezogene Datenerhebung durch den Arbeitgeber ausschließlich zur Aufdeckung von Straftaten zulässig wäre und sie nicht nach § 32 Abs. 1 Satz 1 BDSG aF zulässig sein könnte (BAG 27. Juli 2017 – 2 AZR 681/16 – Rn. 30, BAGE 159, 380; ausführlich BAG 29. Juni 2017 – 2 AZR 597/16 – Rn. 28 ff., BAGE 159, 278). Allerdings muss die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten auch nach § 32 Abs. 1 Satz 1 BDSG aF „erforderlich“ sein. Es hat eine „volle“ Verhältnismäßigkeitsprüfung zu erfolgen.“

Die Erhebung, Verarbeitung und Nutzung der personenbezogenen Daten muss geeignet, erforderlich und unter Berücksichtigung der Freiheitsrechte angemessen sein, um den erstrebten Zweck zu erreichen. Es dürfen keine anderen, zur Zielerreichung gleich wirksamen und das Persönlichkeitsrecht der Arbeitnehmer weniger einschränkenden Mittel zur Verfügung stehen.

Im Rahmen der Verhältnismäßigkeit im engeren Sinne (Angemessenheit) ist zu beachten, dass die Schwere des Eingriffs bei einer Gesamtabwägung nicht außer Verhältnis zu dem Gewicht der ihn rechtfertigenden Gründe steht. Die Datenerhebung, -verarbeitung oder -nutzung darf keine übermäßige Belastung für den Arbeitnehmer darstellen und muss der Bedeutung des Informationsinteresses des Arbeitgebers entsprechen. Dies ist für jedes personenbezogene Datum gesondert zu beurteilen (BAG 23. August 2018 – 2 AZR 133/18 – Rn. 24).

Folgen für die Praxis

Der Arbeitgeber hat folglich eine Verhältnismäßigkeitsprüfung vorzunehmen, bevor er den Arbeitsrechner auswertet, die die Rechte seines Arbeitsnehmers entsprechend würdigt.

Datenschutzrechtlich brisant ist, dass das BAG klargestellt hat, dass der Arbeitgeber grundsätzlich auf alle Dateien auf dem Arbeitsrechner zugreifen kann, insofern der Arbeitnehmer diese nicht als explizit „privat“ kennzeichnet. Es liegt folglich in der Sphäre des Arbeitnehmers Dateien auf dem Arbeitsrechner deutlich mit der Kennzeichnung „privat“ zu versehen, wenn er sich vor der Überprüfung schützen möchte. Selbstverständlich ist auch dieser Schutz begrenzt z. B. beim Verdacht einer schweren Verfehlung. Es bleibt somit die in diesem Kontext wiederholende Frage, warum überhaupt private Dateien auf dem Arbeitsrechner speichern?

Arbeitgeber haben es nicht leicht: Wenn sie die Arbeitszeit ihrer Beschäftigten überwachen wollen, bewegen sie sich auf gefährlichem Terrain – zumindest, wenn sie dafür Fingerabdrücke verlangen. Wie ein aktuelles Urteil des Landesarbeitsgerichts Berlin-Brandenburg zeigt, hat der Datenschutz stets ein Wörtchen mitzureden.

Ein findiger Radiologe…

Im Urteil des LAG Berlin-Brandenburg vom 04.06.2020, Az. 10 Sa 2130/19 wird zunächst ausführlich auf den Hintergrund der Klage eingegangen. Der Verständlichkeit halber wollen auch wir uns dem Vorgefallenen widmen.

Die Parteien stritten über die Wirksamkeit dreier Abmahnungen, die der Berufungsbeklagte bzw. Kläger der Vorinstanz von seiner Arbeitgeberin, der Berufungsklägerin bzw. Beklagten der Vorinstanz erhalten hat. Zwei dieser Abmahnungen stehen im Zusammenhang mit einer biometrischen Zeiterfassung, die vorliegend einer näheren Betrachtung unterzogen werden soll. Die dritte Abmahnung ist datenschutzrechtlich irrelevant und wird deswegen hier nicht erörtert.

Die Ausgangsituation

Die Berufungsklägerin betreibt eine Radiologie und handhabte die Zeiterfassung bisher stets altmodisch: Alle Mitarbeiter mussten ihre geleisteten Arbeitszeiten per Hand in einem ausgedruckten und ausliegenden Dienstplan eintragen. Doch mit dem Papierkram sollte endlich Schluss sein. Am 27. Juli 2018 informierte die Arbeitgeberin ihre Mitarbeiter unter Beifügung von Datenblatt und Konformitätserklärung darüber, dass ab dem 01.08.2018 ein neues Zeiterfassungssystem in Betrieb genommen werde.

Und so kam es: Das System mit dem imposanten Namen „ZEUS“ wurde mitsamt dem Terminal „IT 8200 FP“ eingeführt. Götter sind nun einmal eigen, deswegen verwundert es nicht, dass ZEUS nicht per Zeiterfassungschip, sondern mittels Fingerabdrucks funktioniert. Im Produktblatt heißt es:

„Das von … eingesetzte Verfahren zur Identifikation oder Verifikation mittels Fingerabdruck speichert ausschließlich die Minutien (Koordination der Schnittpunkte) eines Fingerabdrucks. Ein Auslesen der Daten aufgrund entsprechender Schutzmaßnahmen ist nicht möglich. Innerhalb des IT 8200 FP befindet sich nur eine Record-Nummer und die dazugehörigen Minutien. Ein Bezug zu einer natürlichen Person kann nicht hergestellt werden.“

Ganz schön Hightech! Zumindest ein Mitarbeiter fand dies nicht so lustig.

Lachen bis der Arzt kommt? Von wegen!

Der Berufungsbeklagte, ein medizinisch-technischer Radiologieassistent, weigerte sich, das neue Zeiterfassungssystem zu nutzen und trug seine Arbeitszeiten stattdessen weiterhin händisch ein. Am 05. Oktober 2018 erhielt er Abmahnung Nr. 1, nachdem man ihn zuvor schriftlich zur Verwendung des ZEUS-Systems angewiesen hatte. In der Abmahnung wurde er aufgefordert, seinen Dienstpflichten nachzukommen und ZEUS mit dem dazugehörigen Fingerabdruck-Scanner zu benutzen.

Der Berufungsbeklagte blieb standhaft: Am 26. März 2019 wurde er erneut abgemahnt, diesmal mit Verweis darauf, dass eine sofortige Kündigung bei fortgesetztem Verstoß möglich sei.

Daraufhin klagte der Arbeitnehmer auf Entfernung der Abmahnungen aus seiner Personalakte gemäß §§ 242, 1004 BGB analog.

… und zwei noch gewieftere Gerichte

Die Argumentation der Arbeitgeberin, die Zeiterfassung mittels Fingerlinienverzweigungen sei datenschutzrechtlich erlaubt und im Übrigen aufgrund der Manipulationssicherheit erforderlich, ließen weder das LAG Berlin-Brandenburg, noch das Arbeitsgericht Berlin in der Vorinstanz gelten.

Das ArbG Berlin entschied mit Anerkenntnisurteil und Schlussurteil vom 16.10.2019, Az. 29 Ca 5451/19, dass die Arbeitgeberin die Abmahnungen entfernen müsse. Der Kläger sei nicht verpflichtet, ZEUS mit seinen biometrischen Daten zu verwenden, weshalb er auch keine Pflichtverletzung begangen habe. Ohne Pflichtverletzung keine Abmahnung, ganz einfach.

Das LAG Berlin-Brandenburg wies die Berufung der Arbeitgeberin zurück: Ein biometrisches Zeiterfassungssystem sei in aller Regel nicht erforderlich im Sinne von Art. 9 Abs. 2 lit. b DSGVO, § 26 Abs. 3 BDSG.

Mit welcher Begründung?

Interessant ist nun, wie die beiden Gerichte ihre Entscheidung begründen. Kurz gesagt: Die Argumente der Arbeitgeberin stießen zu Recht auf taube Ohren.

In der Vorinstanz

Das Arbeitsgericht Berlin stellte zunächst fest, dass es sich auch bei Minutien um biometrische Daten handele. Damit befinden wir uns im Bereich der besonderen Kategorien personenbezogener Daten, deren Verarbeitung grundsätzlich verboten ist, Art. 9 Abs. 1 DSGVO. Eine Verarbeitung ist nur dann möglich, wenn ein in Art. 9 Abs. 2 DSGVO genannter Erlaubnistatbestand erfüllt ist.

Für eine Zeiterfassung mittels Verarbeitung biometrischer Daten käme laut dem ArbG Berlin lediglich Art. 9 Abs. 2 lit. a (Einwilligung) oder lit. b DSGVO (Erforderlichkeit, ggf. in Verbindung mit einer Kollektivvereinbarung) in Betracht.

Eine Einwilligung liegt nicht vor, sodass sich das Gericht nicht weiter dazu geäußert hat. Deren Freiwilligkeit wäre aber wohl zu bezweifeln.

Nun komme es laut dem ArbG Berlin darauf an, ob die Verarbeitung der biometrischen Daten gemäß Art. 9 Abs. 2 lit. b DSGVO

„erforderlich [ist], damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann …“

Das ArbG Berlin nimmt eine dreistufige Prüfung vor:

1. Geeignetheit des biometrischen Verfahrens für die Zwecke des Beschäftigungsverhältnisses
2. Mildere Mittel
3. Umfassende Interessensabwägung

Dabei schlussfolgert das Gericht, das Interesse der Arbeitgeberin an einer biometrischen Zugangskontrolle zu Bereichen mit sensiblen Geschäfts-, Produktions- und Entwicklungsgeheimnissen werde eher überwiegen als bei Zugangskontrollen zu normalen Bürobereichen. Im Rahmen der Arbeitszeiterfassung könnten biometrische Daten daher nicht verwendet werden.

Das Argument der Arbeitgeberin, ZEUS mit Fingerabdruck diene der Manipulationssicherheit, ist schnell von der Hand zu weisen: Vereinzelt sei zwar ein Missbrauch von Zeiterfassungssystemen durch Falscheintragungen oder Mitstempeln durch Kollegen denkbar, in der Regel müsse jedoch davon ausgegangen werden, dass sich die weit überwiegende Mehrheit der Beschäftigten rechtstreu verhalte. Es bestehe damit kein Anlass, biometrische Daten zu verarbeiten. Anders zu beurteilen wäre dies, wenn Missbräuche in nicht unerheblichem Umfang nachgewiesen werden könnten – das sei hier allerdings nicht der Fall.

Was die Berufungsklägerin dazu sagt

Die Arbeitgeberin ließ das nicht auf sich beruhen: In einem verbundenen anderen Unternehmen sei es zu Missbräuchen mit anderen technischen Zeiterfassungssystemen gekommen. Die Erfahrung ihrer Muttergesellschaft zeige, dass Protokollierungen der Arbeitszeiten mit geringem Aufwand manipulierbar seien. Mitarbeiter hätten mehrfach ihre Chipkarten oder Personalnummern an Kollegen gegeben, damit diese die Zeiterfassung mit falschen Anwesenheitszeiten speisen. Des Weiteren sei nicht immer ein Praxismanager vor Ort, der die Kontrolle ausüben könnte.

Auch sei Zeiterfassung mittels Fingerabdruck auf Dauer billiger als die Pflege eines Chipkartensystems. Wenn eine Chipkarte verloren würde, könnte die Arbeitszeit zudem nicht fehlerfrei erfasst werden.

Die Berufungsklägerin betont, die Verarbeitung biometrischer Daten bei der Zeiterfassung schütze die bei ihr verwahrten Gesundheitsdaten, weil festgestellt werden könne, wer sich in den Praxisräumen wann aufgehalten habe. Zusätzlich könnten Infektionsketten aufgeklärt werden (Anmerkung: vor Corona wohl ein visionärer Gedanke).

Mildere Mittel gebe es nicht. Im Rahmen der Abwägung sei zu beachten, dass die Berufungsklägerin besondere Sicherheitsmaßnahmen ergriffen habe: Es würden lediglich die Minutien des Fingerabdrucks gespeichert, außerdem erfolge am Terminal eine Pseudonymisierung.

Entscheidungsgründe des Berufungsurteils

Nach dem LAG Berlin-Brandenburg sei im Ergebnis und in der Begründung keine andere Beurteilung als in erster Instanz gerechtfertigt.

Auch wenn der Fingerabdruck nicht als Ganzes verarbeitet werde, handele es sich bei Fingerlinienverzweigungen um biometrische Daten im Sinne des Art. 4 Nr. 14 DSGVO.

Die Verarbeitung dieser Daten könne nicht auf Art. 9 Abs. 2 lit. b DSGVO gestützt werden, weil es an der Erforderlichkeit fehle. Auf die Frage, ob technische und organisatorische Maßnahmen, wie z.B. Pseudonymisierung, ergriffen werden, komme es erst an, wenn die Erforderlichkeit bejaht und festgestellt wurde, dass schutzwürdige Interessen der Betroffenen nicht entgegenstehen.

Die Verarbeitung biometrischer Daten sei nicht erforderlich, weil unter anderem

• ZEUS mittels eines anderen Terminals auch ohne diese Daten ohne sonstige Einschränkung verwendet werden könne (darauf hat die Arbeitgeberin freundlicherweise selbst hingewiesen),
• seitens der Berufungsklägerin nicht vorgetragen wurde, worin die Kostenersparnis bei Fingerabdruck-Systemen bestehe,
• die Berufungsklägerin in ihrer Informations-E-Mail an die Beschäftigten vom 27. Juli 2018 selbst angab, die Arbeitszeiten könnten aufgeschrieben werden, wenn die Zeiterfassung mal nicht funktionieren solle, sodass eine Fehlerfreiheit wohl auch nicht bei ZEUS vorliege,
• das Risiko eines Chipkarten-Verlustes minimiert werden könne,
• auch ohne Praxismanager Fehlzeiten wegen anwesender Kollegen nicht unentdeckt blieben,
• Zeiterfassungssysteme nicht dazu gedacht sind, den Zugang zu Gesundheitsdaten zu erschweren,
• und weil keine feststehende Gefährdung angegeben wurde, die die Aufklärung einer Infektionskette erfordere.

Ein Arbeitgeber habe missbräuchliche Eingaben der Arbeitszeit nicht erst in gewissem Umfang zu dulden, bevor er ein fälschungssicheres Zeiterfassungssystem nutzen könne – er müsse jedoch die Erforderlichkeit der Verarbeitung biometrischer Daten anhand von Tatsachen darlegen. Zurückzuführen ist dies auf das grundsätzliche Verbot der Verarbeitung biometrischer Daten.

Auswirkungen auf die Praxis

Die Berufung hätte sich der Arbeitgeber sparen können – das Ergebnis war für Datenschützer vorhersehbar. Nichtsdestotrotz eignen sich die beiden Urteile, um einen Einblick in eine vollumfängliche Prüfung der Erforderlichkeit zu gewinnen.

Verstöße von Arbeitnehmern gegen die Arbeitspflicht gehören zum Arbeitsalltag. Die Spannweite der Verstöße reicht vom „Blaumachen“ bis hin zur Begehung einer Straftat, die das Vermögen des Arbeitgebers unmittelbar beeinträchtigt. Für Unternehmen ist die Kontrolle ihrer Mitarbeiter daher manchmal eine notwendige Angelegenheit, welche jedoch diverse Fragen aufwirft – was darf der Arbeitgeber und was nicht?

Rechtliche Grundlagen

Art. 88 Abs. 1 DSGVO räumt den Mitgliedstaaten die Befugnis spezifischere Vorschriften auf dem Gebiet des Beschäftigungsdatenschutzes zu erlassen. Nach Abs. 2 müssen die nationalen Regelungen geeignete und besondere Maßnahmen zur Wahrung der menschlichen Würde, der berechtigten Interessen und der Grundrechte der betroffenen Person enthalten. Der Grundrechtsschutz von Beschäftigten darf folglich nicht durch nationale Vorschriften unterlaufen werden.

Deutschland hat von dieser Befugnis durch Schaffung des § 26 BDSG Gebrauch gemacht. Gemäß § 26 Abs. 1 S. 1 BDSG dürfen personenbezogene Beschäftigtendaten erhoben werden, wenn dies zur Durchführung des Beschäftigtenverhältnisses erforderlich ist. Die Datenverarbeitung ist erforderlich, wenn sie geeignet und zugleich das relativ mildeste Mittel zur Verwirklichung der verfolgten Zwecke ist und keine vorrangigen schutzwürdigen Interessen des Beschäftigten verletzt.

Eingriffe in das allgemeine Persönlichkeitsrecht

Offen oder verdeckt durchgeführten Maßnahmen zur Mitarbeiterkontrolle, wie beispielsweise die Erfassung von Telefonaten, die Videoüberwachung, die Kontrolle von E-Mail-Verkehr und der sonstigen Internetnutzung, sowie die Aufzeichnung von Bewegungsdaten per Handy-Ortung oder GPS können mit dem allgemeinen Persönlichkeitsrecht des Arbeitnehmers aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG kollidieren.

Das allgemeine Persönlichkeitsrecht lässt sich in drei Sphären unterteilen, die Sozial-, Privat- und Intimsphäre. Die Intimsphäre bildet den unantastbaren Kernbereich privater Lebensgestaltung. Sie wird umgeben von der Privatsphäre. Diese bildet den Bereich in dem der Einzelne unbeobachtet bleibt und in Ruhe gelassen wird. Eingriffe sind zulässig, wenn überwiegende Interessen der Allgemeinheit dies erfordern und die Verhältnismäßigkeit gewahrt ist. Der geringste Schutz kommt der Sozialsphäre zugute. Zu diesem Bereich zählen unter anderem die beruflichen Tätigkeiten. Eingriffe sind grundsätzlich zulässig, wenn nicht ausnahmsweise Umstände hinzutreten, die dem Persönlichkeitsschutz Vorrang gebieten.

Erfassung von Telefonaten

Das Recht am gesprochenen Wort ist vom Schutz des allgemeinen Persönlichkeitsrechts umfasst. Dem Arbeitnehmer soll es möglich sein, unbedacht Gespräche zu führen, ohne befürchten zu müssen, dass ihm diese Äußerungen bei anderer Gelegenheit entgegengehalten werden. Aufgrund der Sensibilität des Kommunikationsinhalts ist die Verletzung der Vertraulichkeit in § 201 Abs. 1 Nr. 1 StGB unter Strafe gestellt. Die Norm findet auch im Betrieb Anwendung, unabhängig davon, ob das Gespräch dienstlicher oder privater Natur ist.

Zulässig ist nach der Rechtsprechung des BAG (Urt. v. 30.8.1995 – 1 ABR 4/95) das Mithören zu Ausbildungszwecken. Das Mithörenlassen eines Dritten ist zulässig, wenn der Gesprächspartner hiervon Kenntnis hat und dies billigt (BGH Urt. v. 8.10.1993 – 2 StR 400/93). Der Gesprächspartner ist im Voraus darüber zu informieren.

Videoüberwachung

Das allgemeine Persönlichkeitsrecht umfasst darüber hinaus das Recht am eigenen Bild. Sowohl die Herstellung, als auch die Verwertung des Bildes unterfallen diesem Schutz. Das Recht am eigenen Bild gewährleistet dem Arbeitnehmer Einfluss auf die Anfertigung und Verwendung von Aufzeichnungen seiner Person zu nehmen. Eine Beeinträchtigung ist beim Einsatz von Videoüberwachung im Betrieb gegeben.

• Offene dauerhafte Videoüberwachung
  Unzulässig ist die ständige Beobachtung des Mitarbeiters, welche zu einer lückenlosen technischen Überwachung des Arbeitnehmers führen würde und nicht durch das Direktionsrecht des Arbeitgebers oder dessen Hausrecht gerechtfertigt ist. Eine solch umfassende Überwachung ist nur zulässig, wenn die Interessen des Arbeitsgebers, das Persönlichkeitsrecht des Arbeitnehmers überwiegen. Dies ist nicht schon dann der Fall, wenn der Arbeitnehmer lediglich überprüfen will ob und wie gearbeitet wird.
  Vielmehr muss auf Seiten des Arbeitgebers eine schwerwiegende Beeinträchtigung rechtliche geschützter Güter vorliegen. Dies ist etwa bei gegen ihn gerichtete Straftaten der Fall. Notwendig für die dauerhafte Videoüberwachung ist ein einfacher Anfangsverdacht, welcher über bloße Mutmaßungen hinausgehen muss. Lediglich vage Anhaltspunkte genügen nicht. Der Anfangsverdacht muss sich auf eine bestimmte Person oder Personengruppe konkretisiert haben. Die dauerhafte Überwachung der gesamten Belegschaft ist daher nicht möglich.
• Heimliche Videoüberwachung
  Eine heimliche Videoüberwachung ist nur unter strengen Voraussetzungen zulässig. Grund dafür ist, dass sich der Arbeitnehmer keiner Überwachung bewusst ist und sich folglich auch nicht dagegen wehren kann.
  Nach der DSGVO ist die heimliche Videoüberwachung nur zulässig, wenn ein konkreter Verdacht für eine Straftat oder schwere Pflichtverletzung besteht und die heimliche Videoüberwachung praktisch das einzige Mittel darstellt. Diese ist auf den Ort zu beschränken, an dem der Täter vermutet wird.

Kontrolle von E-Mail-Verkehr und sonstiger Internetnutzung

Bei der Überprüfung des Dienst-Laptops ist zu unterscheiden, ob der Laptop nur zu dienstlichen oder auch zu privaten Zwecken verwendet werden darf. Ist die Privatnutzung untersagt ist die Kontrolle des Dienst-Laptops grundsätzlich zulässig. Dies allein schon, um die Einhaltung des Verbotes zu überprüfen. Eine dauerhafte Überwachung ist nicht gestattet. Zulässig sind lediglich Stichproben.

Gestattet der Arbeitgeber ausdrücklich die private Nutzung oder duldet er sie, so gilt der Arbeitgeber gemäß § 3 Nr. 6 TKG als Anbieter von Telekommunikationsdienstleistungen, bzw. von Telemedien nach § 2 Nr. 1, 11 TMG. Der Inhalt der E-Mails, sowie die Verbindungsdaten unterliegen daher gemäß § 88 Abs 1 TKG, § 206 StGB dem Fernmeldegeheimnis.

Das Fernmeldegeheimnis endet nach dem Bundesverfassungsgericht jedoch in dem Moment, in dem die E-Mail beim Empfänger angekommen und der Übertragungsvorgang abgeschlossen ist. Werden die eingesehen E-Mails in betrieblichen IT-Systemen gespeichert, kann der Arbeitgeber diese einsehen.

Im Übrigen dürfen die Verbindungsdaten nur bei Vorliegen einer Einwilligung des Mitarbeiters erfasst werden. Der Arbeitgeber kann die private Nutzung jedoch von der Erteilung der Einwilligung abhängig machen. Eine solche Regelung unterliegen § 87 Abs. 1 Nr. 6 BetrVG. Die Kontrolle des Inhalts der privaten E-Mails scheidet grundsätzlich aus. Eine Ausnahme besteht nur, wenn ein Anfangsverdacht für eine Straftat oder eine schwere Pflichtverletzung gegeben ist.

Aufzeichnung von Bewegungsdaten

Der Arbeitgeber darf seine Arbeitnehmer nur dann mittels GPS oder Diensthandy orten, wenn dies zur Durchführung des Beschäftigtenverhältnisses erforderlich ist. Dies ist der Fall, wenn der Arbeitgeber den Arbeitseinsatz seiner Außendienstmitarbeiter koordinieren will.

Für die Aufzeichnung von Bewegungsdaten gelten jedoch strenge Anforderungen. Zunächst ist der Zweck für die Erhebung der Ortungsdaten zu dokumentieren und der Arbeitnehmer hierüber zu informieren.

Zu beachten ist, dass der Einsatz von Ortungsgeräten der Mitbestimmung des Betriebsrates unterliegt, soweit damit die Möglichkeit eröffnet ist, die Leistung und das Verhalten von Beschäftigten zu überwachen, § 87 Abs. 1 Nr. 6 BetrVG.

Zusammenfassend lässt sich sagen

Grundsätzlich hat der Arbeitgeber ein berechtigtes Interesse daran, das Verhalten seiner Mitarbeiter während der Arbeitszeit zu überprüfen. Im Rahmen der Mitarbeiterüberwachung ist jedoch stets an die kollidierenden Grundrechte des Beschäftigten, insbesondere das allgemeine Persönlichkeitsrecht, zu denken und der Grundsatz der Verhältnismäßigkeit zu berücksichtigen. Zusammenfassend lässt sich sagen, dass eine „Totalüberwachung“ der Beschäftigten grundsätzlich unverhältnismäßig und deshalb unzulässig ist.

Gerade in jungen Unternehmen ist es üblich, dass die Mitarbeiter eigene Geräte für berufliche Zwecke nutzen. BYOD (Bring Your Own Device) heißt das Stichwort. Was aber, wenn es zu einem Sicherheitsvorfall kam und die privaten Geräte der Mitarbeiter IT-forensisch untersucht werden müssen. Wäre dies zulässig?

Das Kostenargument

Gerade für kleine Unternehmen ist es eine interessante Option: Bring Your Own Device, kurz BYOD. Dahinter steht der Gedanke, dass die Mitarbeiter ihre privaten Geräte beruflich nutzen. In der Start-Up-Szene ist das ein Quasistandard, in größeren Unternehmen eher die Ausnahme. Die Vorteile liegen auf der Hand. Der wohl wichtigste: es ist kostengünstig. Fast kein Arbeitnehmer, der beruflich viel am Rechner sitzt, hat zu Hause nicht wenigstens einen Laptop. Viel eindrücklicher wird es, wenn man sich die Smartphone-Statistiken anschaut. Laut Statista lag die Zahl der Smartphone-Nutzer in Deutschland 2019 bei rund 58 Millionen Menschen, Tendenz steigend. Dadurch reift auch bei Unternehmen der Gedanke, warum nicht diese Ressource fast zum Nulltarif zu nutzen.

Kosten sind nicht alles

Problematisch wird es aber, wenn Umstände nicht so laufen, wie sie sollten. Bedenken wir, die unterschiedlichen Geräte sind der Kontrolle des Unternehmens weitestgehend entzogen. Trotzdem werden auf ihnen zwangsläufig viele personenbezogene Daten und Geschäftsgeheimnisse oder wenigsten sensible Zahlen verarbeitet. An ein einheitliches IT-Sicherheitslevel ist nicht zu denken. Um die Anforderungen des Art. 32 DSGVO zu erfüllen, müssen sich die Verantwortlichen schon ziemlich viel einfallen lassen. Besonders heikel wird es, wenn es tatsächlich zu einem Datenschutzvorfall der schweren Sorte kommt. Dann ist der Verantwortliche gem. Art. 33 und 34 DSGVO in der Pflicht, den Vorfall aufzuklären. Es folgt die Verpflichtung zur Meldung an die Behörde und die Verpflichtung zur Benachrichtigung der Betroffenen. Abgesehen davon ist es für ihn zwingend, Vorkehrungen zu treffen, damit sich ein Vorfall dieser Art nicht wieder ereignet. Für alle diese Maßnahmen braucht er Informationen der BYOD-Geräte.

Private Geräte – und nun?

In der üblichen Konstellation – berufliche Geräte – berufliche Untersuchung des Verantwortlichen – ist eine IT-forensische Untersuchung in aller Regel kein Problem. Im Falle eines schweren Vorfalls ist sie ohnehin alternativlos. Dabei kommen zwei Rechtsgrundlagen in Frage. Der Verantwortliche kann sich gem. EG 49 auf sein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO oder, je nach Fall, auf § 26 Abs. 1 S. 1 oder S. 2 BDSG berufen. So weit, so gut. Aber was, wenn zur Aufklärung eines Vorfalls auf ein BYOD-Gerät zugegriffen werden muss? Das bringt nämlich eine neue Komponente mit ins Spiel: Das Eigentum des Mitarbeiters. Dieser kann, aus nachvollziehbaren Gründen, etwas dagegen haben, dass das Unternehmen sein privates Gerät untersucht.

Herausgabepflicht für den Mitarbeiter?

Eine Pflicht, sein Gerät herauszugeben, besteht für den betroffenen Mitarbeiter nicht. Natürlich kann das Gerät als Beweisstück beschlagnahmt werden. Aber so weit sind wir noch nicht. Bei Datenschutz- und IT-Sicherheitsvorfällen geht es mitunter um Minuten. Ein richterlicher Beschluss kommt daher oftmals zu spät. Ein Innentäter bspw. könnte Beweisdaten noch rechtzeitig beseitigen. Um es kurz zu machen: wenn der Mitarbeiter nicht mitspielt, hat das Unternehmen praktisch keine Möglichkeit, rechtzeitig an das Gerät zu kommen.

Technische Lösungsansätze

Ist eine Nutzung von BYOD trotz Sicherheits- und Datenschutzbedenken geplant oder umgesetzt, bedarf es einer vernünftigen Strategie. Diese setzt sich aus technischen und organisatorischen Maßnahmen zusammen und kann ein Risiko jedenfalls mindern. Technisch bieten sich Virtualisierungstechniken und Containerlösungen an. Letztere trennen private von beruflichen Daten. Das alleine reicht aber nicht. Informationen, die auf den Workstations oder Laptops verarbeitet werden, sind nur auf Netzwerklaufwerken des Unternehmens zu speichern. Dieses räumt sich für den Notfall einen technischen Zugang auf das Gerät ein, um dienstliche Inhalte im schlimmsten Fall sogar löschen zu dürfen. Aber auch der Zugriff aus der Ferne auf bestimmte Systemressourcen zum Zwecke IT-forensischer Untersuchungen sind ungemein wichtig.

Organisatorische Lösungsansätze

An dieser Stelle wird es auch schon organisatorisch. Ein solcher Zugang muss auch rechtlich belastbar sein. Das erfordert den Abschluss einer tauglichen Nutzungsvereinbarung. Wenn der Arbeitnehmer ein Zugriffsrecht nicht einräumen möchte, ist ihm ein Gerät zu stellen. Andernfalls bekommt das Unternehmen ein Problem mit der erforderlichen Freiwilligkeit. Denn die oben gennanten Rechtsgrundlagen stoßen an ihre Grenzen, wenn es um private personenbezogene Daten geht. Es ist nicht vermeidbar, diese bei einer IT-forensischen Untersuchung automatisch mitzuverarbeiten. D.h. bezogen auf diese Daten rechtfertigt nur eine Einwilligung das Vorgehen. Und diese setzt nun einmal die Freiwilligkeit voraus.

BYOD – eine sportliche Angelegenheit

Halten wir fest: bei BYOD gibt es Probleme mit der IT-Sicherheit, mit den Rechtsgrundlagen, mit dem Zugriff auf die Geräte und mit IT-forensischen Untersuchungen. Das sind keine Lappalien. Ein Unternehmen sollte sich also genau überlegen, ob die Kostenersparnis des BYOD diese Nachteile aufwiegt. Wenn ja, sind genaue Nutzungsregeln aufzustellen, um für Konfliktsituationen vorbereitet zu sein.

Das mit Spannung erwartete Urteil des Bundesarbeitsgerichts (BAG) zur Reichweite des Auskunftsanspruchs, insbesondere des Rechts auf Kopie nach Art. 15 Abs. 3 DSGVO, enttäuscht Kläger und datenschutzrechtlich interessierte Öffentlichkeit gleichermaßen. Anstatt der ersehnten höchstrichterlichen Hinweise zum Umfang des Rechts aus Art. 15 DSGVO im Beschäftigtenverhältnis gibt es eine Klagabweisung aus prozessualen Gründen.

Wenn das Prozessrecht der Rechtsfindung im Weg steht

„Arbeitgeber muss vollständigen E-Mail-Verkehr von Beschäftigten herausgeben“ oder eben auch: „Beschäftigte können keine Kopien ihrer E-Mails verlangen“. So oder so ähnlich hätte die Überschrift zu diesem Artikel lauten können. Und die Welt des Datenschutzrechts wäre zumindest ein kleines Stückchen einfacher geworden. Unternehmen und Beschäftigte hätten ihre Rechte wieder ein klein wenig genauer bestimmen können. Und draußen hätte die Temperatur bundesweit die 20 Grad geknackt (bestimmt!). Doch wir reden im Konjunktiv.

In der Realität lässt der gestern entschiedene Fall einen solchen Ausspruch nicht zu. Jedenfalls soweit sich die Ansicht des 2. Senats des BAG aktuell aus der Pressemitteilung des Gerichts zum Aktenzeichen 2 AZR 342/20 interpretieren lässt. Anstatt wie von vielen erhofft über den Umfang des Auskunftsanspruchs bzw. des Anspruchs auf Erteilung von Kopien gemäß Art. 15 Abs. 3 DSGVO zu befinden, erklärte das BAG lediglich:

„Der Senat konnte offenlassen, ob das Recht auf Überlassung einer Kopie gemäß Art. 15 Abs. 3 DSGVO die Erteilung einer Kopie von E-Mails umfassen kann.

Jedenfalls muss ein solcher zugunsten des Klägers unterstellter Anspruch entweder mit einem iSv. § 253 Abs. 2 Nr. 2 ZPO hinreichend bestimmten Klagebegehren oder, sollte dies nicht möglich sein, im Wege der Stufenklage nach § 254 ZPO gerichtlich geltend gemacht werden. Daran fehlte es hier.“

(BAG, Urteil vom 27.04.2021, Az. 2 AZR 342/20)

Mit anderen Worten: Wäre der Kläger im Laufe des Prozesses anders vorgegangen, hätte sich das Gericht auch Gedanken darüber machen müssen, ob der Anspruch auf Erteilung einer Kopie der bezüglich des Klägers verarbeiteten, personenbezogenen Daten, auch die Herausgabe des (gesamten) E-Mail-Verkehrs umfasst. Bei Lage der Dinge allerdings sah sich das Gericht nicht dazu veranlasst, hierüber zu befinden. Denn das Prozessrecht bot einen (vermutlich vor allem bequemeren) Ausweg.

Der dem BAG Urteil zugrundeliegende Sachverhalt

Aber schauen wir einmal kurz zurück auf den Ausgangspunkt des Verfahrens:

Der Kläger, ein Wirtschaftsjurist, war gerade einmal 14 Tage (!) im beklagten Unternehmen, als sich sowohl dessen Geschäftsführung auch der Betriebsrat gegen seine Weiterbeschäftigung aussprachen. Der (kurzfristige) Arbeitnehmer zog gegen die Kündigung vor Gericht, bewaffnet vor allem mit verschiedenen Argumenten aus dem Bereich des Datenschutzes.

Sowohl vor dem Arbeitsgericht Hameln (Urteil vom 26.06.2019, 3 Ca 24/19) als auch im Berufungsverfahren vor dem LAG Hannover war vor allem auch über die Rechtmäßigkeit der Kündigung verhandelt worden – allerdings mit negativem Ausgang für den ehemaligen Beschäftigten. Dieser hatte sich auf einen besonderen Kündigungsschutz, den er als Datenschutzbeauftragter genieße, berufen. Das Problem dabei war nur, dass er diese Funktion noch gar nicht innehatte. Sie sollte ihm erst perspektivisch übertragen werden. Das Gericht stellte insoweit fest, dass Voraussetzung für den mit der Stellung eines Datenschutzbeauftragten verbundenen Kündigungsschutz sei, dass dem Beschäftigten sämtliche Aufgaben eines Datenschutzbeauftragten bereits übertragen worden seien, sowohl gegenüber der Aufsichtsbehörde als auch gegenüber den Beschäftigten und Unternehmensinternen.

Am Rande sei noch erwähnt, der BAG legte am gleichen Tag in einem anderen Fall dem EuGH zudem Fragen zu den Anforderungen einer Abberufung des Datenschutzbeauftragten vor.

E-Mail für dich

Zumindest aber hatte der Kläger mit einem anderen Punkt vor dem Landesarbeitsgericht Hannover Erfolg gehabt: Und zwar hatte das LAG den Anspruch des Klägers auf Herausgabe von Kopien nach Art. 15 Abs. 3 DSGVO grundsätzlich anerkannt.

Hinsichtlich seines eigenen E-Mail-Verkehrs hatte das LAG Hannover die Klage jedoch abgelehnt, da die entsprechenden E-Mails dem ehemaligen Beschäftigten bereits bekannt seien:

„Dem Kläger ist der E-Mail-Verkehr, den er selbst geführt oder erhalten hat, bekannt, sodass es nach dem Schutzzweck keinen Anlass gibt, diesen gesamten E-Mail-Verkehr zur Verfügung zu stellen. Sinn und Zweck der Auskunftserteilung und Zurverfügungstellung einer Kopie ist es, den betroffenen Personen eine Überprüfung der Datenverarbeitung zu ermöglichen, nicht aber vollständige Kopien aller Unterlagen zu erhalten, in denen personenbezogene Daten über sie enthalten sind“.

(LAG Hannover, Urteil vom 09.06.2020, Az. 9 Sa 608/19)

Hiergegen wandte sich der Kläger mit der Revision.

Rechtsfortbildung gibt´s ein andermal

Der nun vor dem BAG gelandete Teil des Verfahrens betraf damit lediglich noch die Frage, ob dem ehemaligen Beschäftigten ein Anspruch auf Kopien des vollständigen von ihm oder über ihn geführten E-Mail-Verkehrs zusteht. Es ging für den Kläger also allein um Kopien des ihn betreffenden E-Mail-Verkehrs aus einer Zeitspanne von nicht einmal einem Monat.

So wenig Relevanz eine Entscheidung in der Sache demgemäß für den zugrundeliegenden Einzelfall gehabt hätte, umso bedeutsamer wäre sie doch für die Rechtsfortbildung gewesen. Schließlich hätte die Entscheidung sich zu der ungeklärten, aber für die Praxis überaus relevanten Streitfrage verhalten müssen, wie weit der Anspruch auf Erteilung einer „Datenkopie“ nach Art. 15 Abs. 3 DSGVO reicht. Jegliche diesbezügliche Aussage des BAG wäre in der Datenschutzgemeinde auf fruchtbaren Boden gefallen. Umso enttäuschender ist der Ausgang des Verfahrens für Unternehmen und Berater, die, nach etwas Rechtsklarheit lechzend, vom BAG im Regen stehen gelassen werden.

Wie weit reicht der Anspruch auf Kopie gem. Art. 15 Abs. 3 DSGVO?

Der Streit wie weit der Anspruch auf Erteilung von Kopien nach Art. 15 Abs. 3 DSGVO reicht, ist mittlerweile regelrecht ein Klassiker und bewegt sich grob formuliert zwischen zwei diametralen Standpunkten: Der Ansicht, dass der Anspruch auf Kopie aus Abs. 3 nur bedeute, dass der Betroffene eine verschriftlichte Auskunft mit den Angaben nach Abs. 1 (dem eigentlichen Auskunftsanspruch) verlangen könne. Und der Ansicht, dass nach Abs. 3 eine Kopie sämtlicher Dokumente, Dateien, etc. herauszugeben sei, die Personenbezug zu dem Betroffenen aufweisen. Je nach Lesart soll dies sogar Screenshots der Eingabeoberflächen, wie sie sich für den konkreten Anwender im Unternehmen darstellen, umfassen oder eben auch sämtliche E-Mails mit Bezug zum Betroffenen. Wer Genaueres wissen will, dem sei die sehr informative und mit vielen Nachweisen gespickte Materialsammlung von Tim Wybitul zu dem Thema ans Herz gelegt.

Gegensätzliche Positionen in der Rechtsprechung

Auch in der Rechtsprechung finden sich die oben genannten gegensätzlichen Positionen wieder. So standen sich zuletzt vor allem die Urteile des LAG Baden-Württemberg vom 20.12.2018 („auskunftsfreudig“) und des LG Köln vom 18.03.2019 („restriktiv“) entgegen:

Das Landesarbeitsgericht Baden-Württemberg hatte in seinem Urteil unter anderem entschieden, dass dem Kläger eine Kopie seiner sämtlichen personenbezogenen „Leistungs- und Verhaltensdaten“ zur Verfügung zu stellen sei. Da dieser Begriff leider nicht genauer konkretisiert wurde, kann man nur darüber spekulieren, ob damit – nach Auffassung des Gerichts – gerade auch Kopien aller (den Kläger betreffenden) E-Mails zur Verfügung gestellt werden müssen. Angesichts der auch im Übrigen sehr zugunsten eines weiten Auskunftsanspruchs laufenden Argumentation des Gerichts, wurde dies unter Datenschützern aber regelmäßig so aufgefasst.

Das LG Köln wiederum hatte entschieden, dass „der Anspruch aus Art. 15 DS-GVO (…) nicht der vereinfachten Buchführung des Betroffenen (diene), sondern (…) sicherstellen (soll), dass der Betroffene den Umfang und Inhalt der gespeicherten personenbezogenen Daten beurteilen kann“. Auch beziehe sich der Auskunftsanspruch nicht auf sämtliche internen Vorgänge der dortigen Beklagten, wie z.B. von dieser erstellte Vermerke. Mit dieser Begründung wäre also auch eine Herausgabepflicht betreffend den E-Mail-Verkehr ehemaliger Beschäftigter zu verneinen.

Enttäuschte Erwartungen bereits 2020

Bereits im vergangenen Jahr hatten Datenschützer und Unternehmer auf Klärung hinsichtlich des Umfangs des Auskunftsanspruchs gehofft. Denn für das oben genannte Urteil des LAG Baden-Württemberg war die Revision zugelassen und eingelegt worden. Es gab sogar bereits einen für Mitte 2020 angesetzten Termin zur mündlichen Verhandlung vor dem BAG. Dann jedoch einigten sich die Parteien doch noch außergerichtlich. Vor diesem Hintergrund ist das Urteil des BAG also umso frustrierender.

Auskunftsanspruch als Munition im arbeitsgerichtlichen Verfahren

Nach der gestrigen Entscheidung des BAG bleibt auch ein weiteres Problem bestehen:

Der Auskunftsanspruch nach Art. 15 DSGVO dürfte auch weiterhin, nicht zuletzt im arbeitsrechtlichen Prozess, als prozesstaktisches Mittel herhalten müssen. Ehemalige Arbeitnehmer setzen diesen im arbeitsgerichtlichen Verfahren schon nahezu standardmäßig ein, um hierdurch die Höhe der Abfindung (ohne sachlichen Grund) in die Höhe zu treiben. Gerade in großen, komplexen Unternehmen kann die Erfüllung eines sehr weit verstandenen Auskunftsanspruchs erhebliche Ressourcen beanspruchen, bedenkt man auf wie vielen Servern, Datenbanken, Cloud-Anwendungen, Notebooks, externen Speichermedien, etc. personenbezogene Daten zu finden sein können. Ganz abgesehen davon, dass in zahlreichen Fällen über eine Herausgabe der Daten erst nach Abwägung mit den Interessen anderer Betroffener befunden werden oder diese erst nach umfangreichen Schwärzungen erfolgen kann.

Nachvollziehbar also, wenn Unternehmen dem Auskunftsanspruch kritisch gegenüberstehen. Gerade wenn Beschäftigte ihn einsetzen, ohne dass offenbar ein echtes Interesse an der Auskunftserteilung besteht. Nachvollziehbar auch, wenn in der juristischen Diskussion bereits Erwägungen angestellt werden, ob die Geltendmachung des Auskunftsanspruchs nicht in einigen solcher Konstellationen als rechtsmissbräuchlich einzustufen wäre. Soweit uns bekannt halten aber jedenfalls die Aufsichtsbehörden wenig von einer solchen Argumentation.

Nach dem Urteil ist vor dem Urteil

So ist es zunächst wieder an den Arbeits- und Landesarbeitsgerichten sowie den Aufsichtsbehörden durch weitere Entscheidungen für bessere Orientierung zu sorgen – egal wie (un)erquicklich diese aus Sicht der betroffenen Kreise dann aussehen mag. Was die zukünftige Umsetzung solcher potentiell weiter bestehenden Auskunftsansprüche angeht, dürften Unternehmen gut daran tun, durch Investitionen in ihr Datenschutzmanagement dafür zu sorgen, dass solche Ansprüche mit möglichst geringem Aufwand erfüllt werden können.

Über diesbezügliche Entwicklungen werden wir natürlich ebenso berichten wie über weitere relevante Entscheidungen von Gerichten und Aufsichtsbehörden. Oder anders ausgedrückt: Wir kommen unseren Auskunftsverpflichtungen nach – und zwar gerne!

GPS-Tracking wird immer beliebter – nicht nur bei Logistikunternehmen. So mancher Arbeitgeber hat vielleicht schon einmal heimlich davon geträumt, seine Mitarbeiter zu überwachen und zu schauen, was diese während der Arbeitszeit eigentlich machen. Frei nach dem Motto: Ich weiß, wo du letzten Donnerstag gewesen bist! Dass das aber nicht so einfach ist und hier auch der Datenschutz eine große Rolle spielt, bekommt derzeit der Marktführer für Essenslieferungen zu spüren.

Überwachung am Arbeitsplatz

Überwachung und Leistungskontrolle am Arbeitsplatz sind kein neues Thema und sorgen immer wieder für Skandale – manchmal auch ohne GPS-Tracking. Mal ist es ein Klassiker schlechthin – die verdeckte Videoüberwachung, mal setzt Amazon einfach eine Software ein, um den Datenschutz und andere Arbeitnehmerrechte mit Füßen zu treten. Was Amazon kann, können wir schon lange, haben sich nun wohl auch die Verantwortlichen beim Branchenriesen Lieferando gedacht. Nach Recherchen des Bayerischen Rundfunks hat Lieferando seine Mitarbeiter bereits seit mehreren Jahren systematisch überwacht, und zwar per GPS-Tracking.

Das Ganze kam ans Licht, als einige Lieferando-Fahrer ihr Auskunftsrecht nach Art. 15 DSGVO ausgeübt hatten. Nach dieser Vorschrift hat jedermann das Recht, von Unternehmen Auskunft darüber zu verlangen, ob und auf welche Weise ein Unternehmen seine personenbezogenen Daten verarbeitet. Lieferando gehört zum niederländischen Konzern „Just Eat Takeaway“. Damit die Fahrer die Bestellungen (noch) schneller liefern können, nutzt Lieferando die eigens entwickelte App namens „Scoober“. Diese lässt sich allerdings nur verwenden, wenn man als Fahrer bei Lieferando oder einem anderen Tochterunternehmen beschäftigt ist.

Welche Daten verarbeitet die App?

Und diese App verarbeitet offenbar eine ganze Menge an Daten der Lieferando-Fahrer. Die Recherchen des Bayerischen Rundfunks hatten ergeben, dass die App pro Lieferung 39 Datenpunkte erhebt. Neben dem Namen des Fahrers und dessen Anmeldedaten werden dabei u. a. folgende Daten verarbeitet:

• Zuteilung der Bestellung
• Zeitpunkt der Abholung durch den Fahrer
• Zeitpunkt der Auslieferung durch den Fahrer
• Übermittlung von Standortdaten des Fahrers alle 15 bis 20 Sekunden
• Einhaltung von Zeitvorgaben

Da diese Daten stets mit dem Namen des jeweiligen Fahrers verknüpft werden, ist es möglich, die Arbeitsleistung ziemlich genau zu messen und zu bewerten. Das klingt nach Big Brother in Reinkultur, nur ohne Kameras.

Die Auskunftsersuchen hatten zudem ergeben, dass die Datenerfassungen teilweise bereits im Jahr 2018 begonnen hätten. Insgesamt kamen dabei also – je nach Höhe der geleisteten Arbeitsstunden – schlappe 100.000 Datensätze pro Fahrer und pro Jahr zusammen. Es dürfte daher nicht überraschen, dass die Arbeitnehmervertretungen im Hause Lieferando dieses Vorgehen als völlig unangemessen einzustufen. Semih Yalcin, Vorsitzender des Lieferando-Gesamtbetriebsrates für Deutschland, äußerte sich dazu wie folgt:

„Aus unserer Sicht liegt hier totale Überwachung vor. Wir halten es für völlig unverhältnismäßig.“

Die Vorgehensweise von Lieferando vermag in der Tat zu erschrecken. Insbesondere die Übermittlung von Standortdaten an den Arbeitgeber alle paar Sekunden klingt nicht nur aus datenschutzrechtlicher Sicht absolut gruselig.

Datenübermittlung an Google

Auch der oberste Datenschützer Baden-Württembergs, Stefan Brink, hält die Datenverarbeitung durch die App für eindeutig rechtswidrig. Auch ihm ist vor allem die häufige Übermittlung des Standortes ein Dorn im Auge. Erschwerend kommt hinzu, dass die App die personenbezogenen Daten an Dritte weitergibt, unter anderem an Google. Warum und weshalb dies passiert, ist bislang leider nicht klar. Offenbar hat es sich zu Lieferando noch nicht herumgesprochen, dass für jede Datenverarbeitung eine Rechtsgrundlage benötigt wird.

Lieferando sieht die Sache aber natürlich ganz anders. Dort kommt man zu folgendem Schluss:

„Die Fahrer-App entspricht den geltenden Datenschutzbestimmungen und die ermittelten Daten (wie Zeiten und Orte) sind unerlässlich, damit der Lieferservice ordnungsgemäß funktioniert.“

Das mag zwar in Ansätzen richtig sein, denn die Nachverfolgbarkeit in einem gewissen Umfang dürfte in der Tat für den Betriebsablauf erforderlich sein. Warum die Daten der Fahrer allerdings in einem solch massiven Umfang verarbeitet und zudem noch an US-amerikanische Datenkraken übermittelt werden, erschließt sich nicht wirklich. Selbstverständlich versichern die Verantwortlichen von Lieferando, dass man die erhobenen Daten keinesfalls zur Leistungskontrolle der Mitarbeiter verwendet. Ein Schelm, wer Böses dabei denkt.

Verwertung von GPS-Daten grundsätzlich möglich

Der aktuelle Fall zeigt die Probleme, die sich durch Überwachungsmaßnahmen am Arbeitsplatz ergeben können, einmal mehr deutlich auf. Dabei ist es grundsätzlich möglich, solche Maßnahmen datenschutzkonform durchzuführen. Darauf weist auch Stefan Brink ausdrücklich hin. Das Zauberwort ist dabei – wie so oft im Datenschutzrecht – das Merkmal der Erforderlichkeit. Der Arbeitgeber darf genau wie jeder andere Verantwortliche auch nur diejenigen Daten erheben und verarbeiten, die zur Erfüllung des konkreten Zwecks tatsächlich notwendig sind.

Es kommt daher auf die Abwägung im Einzelfall an. Neben der konkreten Zweckbestimmung ist auch das Transparenzgebot aus Art. 5 Abs. 1 Buchst. a DSGVO einzuhalten, welches sich auch in den Informationspflichten gemäß Art. 13 DSGVO widerspiegelt. Die Mitarbeiter sind also darüber zu informieren, auf welche Weise ihre personenbezogenen Daten verarbeitet werden. Das schließt beispielsweise die eventuelle Weitergabe der Daten an Dritte ein, erst Recht, wenn zumindest ein Empfänger seinen Sitz außerhalb des EU-/EWR-Gebietes hat. All dies hat Lieferando im vorliegenden Fall recht deutlich vermissen lassen. Darüber hinaus dürfte auf Grund des Umfangs der Datenverarbeitung in aller Regel eine Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 DSGVO durchzuführen sein.

Hohe Bußgelder zu erwarten

Die betroffenen Mitarbeiter können sich auf vielfältige Weise gegen unrechtmäßige GPS-Überwachung am Arbeitsplatz zur Wehr setzen. Dies kann durchaus zu Schadensersatzansprüchen gegen den Arbeitgeber aus Art. 82 DSGVO führen. Zudem drohen dem Unternehmen empfindliche Bußgelder, da Verstöße gegen Art. 5 DSGVO oder gegen Art. 13 DSGVO zum sogenannten „großen“ Bußgeld aus Art. 83 Abs. 5 DSGVO führen. Dies kann bis zu 20 Mio. EUR oder 4 % des Konzern-Jahresumsatzes betragen. Da es sich hier um nicht unerhebliche Verstöße durch Lieferando gegen diverse DSGVO-Vorschriften handelt, erwartet auch Stefan Brink ein Bußgeld in Millionenhöhe. Das Gleiche könnte auch auf den Mutterkonzern in Amsterdam zukommen. Hier bleibt aber noch abzuwarten, welche Ergebnisse die Untersuchungen der niederländischen Aufsichtsbehörde zu Tage fördern.

Ohne Zweifel gehören Unternehmen wie Lieferando zu den Gewinnern der Corona-Pandemie. Seit März 2020 ist ein sprunghafter Anstieg von Online-Bestellungen zu beobachten. Umso enttäuschender ist es, wenn der wirtschaftliche Erfolg offenbar vorsätzlich auf dem (Datenschutz-) Rücken der Mitarbeiter ausgetragen wird. Vielleicht überlegt sich der eine oder andere Leser nun zweimal, ob man für die nächste Essenslieferung schon wieder auf Lieferando zurückgreift.

Wenn die Lagerbestände schneller schwinden als sie sollten, dann gilt es den Übeltäter zu finden. Möglich wäre es mit einer umfassenden Videoüberwachung – doch das hat seine rechtlichen Tücken. In einem aktuellen Fall hat das Arbeitsgericht Hamm den Einsatz von Videoüberwachung teilweise für rechtswidrig erklärt.

Videoüberwachung – das Allheilmittel?

Überall lauern Gefahren für Unternehmen. Hier wird geklaut, da werden Sachen beschädigt und am Ende hat das Unternehmen für all das einzustehen. Umso besser also, wenn mit Hilfe von Videoüberwachung einfach, günstig und unkompliziert den Übeltäter ausfindig machen kann. Die Videokamera übersieht wenig. Doch gerade, wenn es zu gut klingt, um wahr zu sein, ist Vorsicht geboten. Mit aufgestellten Kameras wird der Schutz des Unternehmenseigentums zwar gesteigert, gleichzeitig besteht aber auch die damit einhergehende Gefahr der Beschäftigtenüberwachung. Hier ist also besondere Vorsicht geboten. Ansonsten stellt sich die Videoüberwachung schnell als rechtswidrig heraus. Ist die Videoüberwachung also zum Scheitern verurteilt? Um es vorwegzunehmen: Nein! Solange man sich an die Spielregeln hält, steht einer Videoüberwachung nichts entgegen. Für eine erste Einschätzung hat die DSK ein Kurzpapier zur Videoüberwachung veröffentlicht.

Im folgenden Fall erklärte das Arbeitsgericht Hamm (Beschluss v. 09. März 2021 – 1 BV 10/20) die Videoüberwachung für rechtswidrig:

213 Kameras gegen Diebstahl und Beschädigungen

Der vom Arbeitsgericht entschiedene Fall drehte sich um ein Unternehmen, welches auf seinem 136.000 qm großen Betriebsgelände 213 Kameras aufstellen wollte. Davon 105 in Innenräumen. Grund dafür waren Diebstähle in den vergangenen Jahren. Der Wert der gestohlenen Waren und die Reparaturkosten aufgrund von Beschädigungen beliefen sich im Zeitraum von ca. eineinhalb Jahren auf über 100.000 EUR. Die Videoanlage sollte in den Innenbereichen insbesondere die kritischen Warenbereiche und die Ein- und Ausgangsbereiche abdecken. Dabei sollten die Videoaufzeichnungen live auf die Überwachungsmonitore in der Pförtnerloge übertragen werden. Darüber hinaus war geplant, die Videoaufzeichnungen je nach Bereich zwischen 7 und 15 Tagen zu speichern.

Und das geht nicht?

Nein! Zumindest, teilweise. So sah es auch das Arbeitsgericht Hamm. Ganz eindeutig ist das bei der Videoüberwachung leider nicht immer. Die Videoüberwachung ist zwar geeignet das Eigentum des Unternehmens zu schützen. Daraus ergibt sich jedoch eine neue Gefahr. Und zwar für die Rechte der Arbeitnehmer. Diese sind in ihrem allgemeinen Persönlichkeitsrecht aus Art. 2 I, Art. 1 I GG geschützt. Gerade bei einer permanenten Überwachung entsteht schnell das Gefühl einer ständigen Kontrolle. Eine solche Kontrolle stellt einen immensen Eingriff in das Persönlichkeitsrecht der Arbeitnehmer dar. Hier kollidiert also das Recht auf Schutz des Eigentums mit dem allgemeinen Persönlichkeitsrecht. Insofern ist für den Einzelfall abzuwägen, welches Recht überwiegt. So auch das Bundesarbeitsgericht mit dem Beschluss vom 29.06.2004 (1 ABR 21/03):

„Um das festzustellen, bedarf es einer Gesamtabwägung der Intensität des Eingriffs und des Gewichts der ihn rechtfertigenden Gründe. Diese Abwägung kann nicht abstrakt vorgenommen werden. Es gehen weder das durch Art. 14 I GG geschützte Eigentum oder das durch Art. 2 I GG gewährleistete Persönlichkeitsrecht vor; maßgeblich sind vielmehr die Gesamtumstände“

Spezifische Beurteilung

Für die Schwere des Eingriffs ist insbesondere von Bedeutung, wie intensiv der Eingriff ist und wie viele Personen der Beeinträchtigungen ausgesetzt sind. Dazu äußerte das LAG München im Beschluss vom 23.07.2020 (2 TaBV 126/19):

„In diesem Zusammenhang ist auch von Bedeutung, ob der Betroffene einen ihm zurechenbaren Anlass für die Datenerhebung geschaffen hat – etwa durch eine Rechtsverletzung – oder ob diese anlasslos erfolgt. Auch die „Persönlichkeitsrelevanz” der erfassten Informationen ist zu berücksichtigen.“

Ausreichende Differenzierung

Dem Arbeitsgericht zufolge ergab sich für den vorliegenden Fall bereits bei Zugrundelegung dieser Erwägung, dass die Installation der Kameras im Innenbereich unverhältnismäßig ist. Der Kammer fehlte es an einer notwendigen Differenzierung zwischen den einzelnen zu überwachenden Waren. Außerdem wurde der ungefähre Wert der zu überwachenden Waren nicht ausreichend dargelegt. Da dem Gericht der Wert der Waren nicht bekannt war, ging die Kammer davon aus, dass dieser ein Vielfaches des in ca. eineinhalb Jahren durch Diebstähle entstandenen Schadens ausmache.

Darüber hinaus fehlte es dem Gericht an einer expliziten Begründung der Überwachung für die einzelnen Bereiche. Die Kammer forderte, dass darzulegen sei, warum es sich in Bezug auf die gefährdeten Waren um solche handelt. Es sei im vorliegenden Fall nicht ersichtlich gewesen, warum unter anderem Süßigkeiten und Brühwürstchen als „kritische Ware“ gewertet würden und woran der Bereich der „kritischen Ware“ festgemacht worden sei.

Das Problem mit der Vollzeitüberwachung

Weiter stößt sich das Gericht daran, dass die Videoüberwachung vollschichtig erfolgen sollte. Dadurch stünden die Mitarbeiter, die sich in diesem Bereich bewegen, unter permanenter Überwachung. Dies führe dazu, dass sich die Mitarbeiter bei jeder Bewegung kontrolliert fühlen müssen. Verdachtsunabhängig stelle eine solche Überwachung einen unangemessenen Eingriff in das Persönlichkeitsrecht dar. Zwar bestünde in den überwachten Bereichen keine sogenannten Dauerarbeitsplätze, die Beschäftigten hielten sich also nicht ausschließlich während ihrer Schicht in diesem Bereich auf, dennoch könne die dargestellte Höhe der Schäden sowie die Gefahr für das Eigentum die Rechtsgutsverletzungen der Beschäftigten nicht aufwiegen. Dabei hat das Arbeitsgericht insbesondere berücksichtigt, dass ca. 400 Arbeitnehmer überwacht würden, ohne dass ein konkreter Anlass hierfür festgestellt oder ein hohes Schadensrisiko begründet wurde.

Auch die Überwachung von Arbeitsbereichen aufgrund von Beschädigungen durch Pflichtverletzungen der Arbeitnehmer sei nicht gerechtfertigt. Es sei nicht hinreichend dargelegt, dass sämtliche Beschädigungen aus vorangegangenen Pflichtverstößen herrühren.

Ist Videoüberwachung also zum Scheitern verurteilt?

Keinesfalls. Aber der Beschluss zeigt deutlich, dass Videoüberwachung zwar möglich ist, bei derartigen Vorhaben dennoch sehr genau hingeschaut werden muss. Wann Videoüberwachung definitiv unzulässig ist haben wir zuvor in einem Beitrag zusammengestellt. Stellt man Kameras auf, so sind verschiedenste Aspekte und Rechte zu berücksichtigen. Zu guter Letzt scheitert die Videoüberwachung oftmals an den Rechten der Beschäftigten. Daher ist regelmäßig das Augenmerk auf die Überwachung von Beschäftigten zu richten.

Die Entscheidung weist einmal mehr darauf hin, wie wichtig es ist, die einzelnen Entscheidungsschritte, die zum Einsatz der Videoüberwachung führen, penibel zu dokumentieren. Das fängt bei den Schäden an und hört bei den einzelnen Kameras auf. Für jeden einzelnen Bereich und jede Einzelne Kamera muss neu abgewogen werden, ob die Videoüberwachung gerechtfertigt ist bzw. ob und inwieweit durch die Überwachung in die Rechte Betroffener und Dritter eingegriffen wird. Auch darf nie unberücksichtigt bleiben, dass auch mildere Maßnahmen, wie der Einsatz eines Wachdienstes oder eine Sensibilisierung der Mitarbeiter für das jeweilige Problem in Betracht kommen kann.

Da das Thema besonders komplex ist, empfiehlt es sich, den Datenschutzbeauftragten frühzeitig in derartige Vorhaben einzubinden und mit diesem Prozesse zu etablieren. Denn ein Betroffener, der sich an der Videoüberwachung stört, findet oft den Weg zur Datenschutzaufsichtsbehörde und diese versteht wenig Spaß beim Stichwort Überwachung.

Viele Unternehmen kennen diese Situation: Man veröffentlicht eine Stellenausschreibung und viele Bewerbungen gehen ein. Das Unternehmen muss sich für die/den beste/n Kandidat:in entscheiden. Doch was, wenn mehrere Bewerber:innen in die engere Auswahl gekommen sind und man diese für andere Stelle berücksichtigen möchte? Eine Lösung dafür bietet der Talentpool. Im Folgenden soll eine datenschutzrechtliche Analyse das Thema näher erläutern und aufzeigen welche Risiken zu berücksichtigen sind.

Aufnahme in den Talentpool nur mit Einwilligung?

Regelmäßig findet sich in Bewerbungsprozessen die Frage nach der langfristigen Aufnahme in den Talentpool. Rechtsgrundlage hierbei ist oft Art. 6 Abs. 1 lit. a DSGVO, § 26 Abs. 2 BSDG. Allerdings ist die Einwilligung als solche kein unproblematisches Instrument. Denn diese kann jederzeit widerrufen werden. Ist sie einmal widerrufen worden, sind im gleichen Zug die Bewerberdaten nach Art. 17 Abs. 1 lit. b DSGVO unverzüglich zu löschen. Danach stellt sich die Frage, ob für die weitere Speicherung der Daten nicht einfach auf eine andere Rechtsgrundlage zurückgegriffen werden kann, wie bspw. das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Dies wird zu verneinen sein. Die Weiterverarbeitung aufrechtzuerhalten und einfach durch eine andere Rechtsgrundlage zu rechtfertigen, entspricht nicht dem Grundsatz von Treu und Glauben, welcher in Art. 5 Abs. 1 lit. a DSGVO verankert ist. Fraglich ist, ob andere Rechtsgrundlagen als die Einwilligung überhaupt in Betracht kommen.

Verarbeitung zu Zwecken des Beschäftigungsverhältnisses

Nach § 26 Abs. 8 S.2 BDSG gelten Bewerber:innen als Beschäftigte. Nach § 26 Abs. 1 BDSG dürfen Daten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn diese für die Entscheidung über die Begründung eines Beschäftigungsverhältnis erforderlich sind. Allerdings ist es fraglich, ob die Aufnahme in den Talentpool als solches für diesen Zweck erforderlich ist. Denn die Aufnahme in den Talentpool ist nicht für die „momentane“ Entscheidung relevant.

Nach einer Absage, soll eine längere Speicherung der Bewerberdaten ermöglicht werden, um diese für spätere Stellenausschreibungen zu berücksichtigen bzw. nutzen zu können. Dass die Daten für ein eventuelles und späteres Beschäftigungsverhältnis aufbewahrt werden, kann nicht erneut über § 26 Abs. 1 BDSG gerechtfertigt werden. Und auch hier wären wieder nach der erteilten Absage und Beendigung des Bewerbungsverfahren, die Bewerberdaten nach Art. 17 Abs. 1 lit. a DSGVO unverzüglich zu löschen. Folglich kommt § 26 Abs. 1 S. 1 BSDG als Rechtsgrundlage nicht in Betracht.

Verarbeitung basierend auf einem berechtigten Interesse

Eventuell kommt für eine Verarbeitung Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage in Betracht. Wichtig hierfür ist, dass die Verarbeitung für die Wahrung berechtigter Interessen der Verantwortlichen erforderlich ist und keine Interessen oder Grundrechte des Betroffenen überwiegen.

Der Begriff des berechtigten Interesses wird in der DSGVO nicht näher beschrieben. Lediglich ErwGr. 47 S. 2 weist darauf hin, dass ein berechtigtes Interesse vorliegen könnte:

„wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z.B., wenn die betroffene Person … in seinen Diensten steht.“

Im Bewerbungsprozess kann hiervon noch keine Rede sein. Es ist lediglich zu einem Anbahnungsverhältnis gekommen. Allerdings lässt sich hier ausführen, dass durch die Öffnungsklausel in Art. 88 DSGVO Datenverarbeitungen für Zwecke der Einstellungen möglich sind und das BDSG sogar Beschäftigte und Bewerber:innen gleichstellt. Folglich lässt sich eine bestimmte Beziehung zwischen den Bewerber:innen und dem Verantwortlichen für das Bewerbungsverfahren annehmen, was wiederum als im Einklang mit Art. 6 Abs. 1 lit. f DSGVO angesehen wird. Aus diesem Grund kann angenommen werden, dass ein berechtigtes Interesse des Verantwortlichen an der Speicherung der Bewerberdaten im Talentpool vorliegt.

Erforderlichkeit der Verarbeitung

Weiterhin müsste die Verarbeitung auch erforderlich sein. Dies ist dann der Fall, wenn die Datenverarbeitung zur Erreichung des Zweckes geeignet ist und keine gleichen oder mildere Mittel vorliegen. Der Talentpool dient dem Zweck, dass Bewerber die nicht geeignet waren für eine bestimmte Stellenauschreibung, für spätere und besser-passende Stellen berücksichtigt werden können. Dabei muss kein erneuter Bewerbungsprozess stattfinden. Der Talentpool fungiert dabei als Datenbank mit den verschiedenen Qualifikationen, Fähigkeiten und Erfahrungen der Bewerber:innen, die dadurch besser für die Stelle ausgesucht werden können. Somit ist auch die Verarbeitung erforderlich.

Interessenabwägung

Problematisch könnten aber die entgegenstehenden Interessen der Bewerber:innen sein. Denn hier gilt es alle Interessen, Grundrechte und Grundfreiheiten der Bewerber:innen zu gewichten. Sobald diese überwiegen, kann kein berechtigtes Interesse angenommen werden.

Im folgenden Fall ist davon auszugehen, dass nach einer erteilten Absage die Bewerber:innen nicht mehr damit rechnen, dass die Bewerberdaten weiter gespeichert werden. In der Absage wird ein fehlendes Interesse des Unternehmens zu deuten sein. Aus diesem Grund ist von einer Löschung der gesamten Bewerberdaten auszugehen. Werden die Daten hingehen weitergespeichert, ist das Recht auf die informationelle Selbstbestimmung, Art. 2 Abs. 1 GG i.V.m. Art. 1 Abs.1 GG verletzt. Alleine dem Betroffenen obliegt es über die Verwendung und Preisgabe seiner Daten zu entscheiden.

So auch das BAG Urteil zur Aufbewahrung von Personalfragebögen, wonach die Absicht diese dauerhaft zu speichern, das Recht der Bewerber:innen auf informationelle Selbstbestimmung beeinträchtigt. Zwar kann die Speicherung der Namen, Anschrift und Geburtsdaten von abgelehnten Bewerber:innen zur erneuten Kontaktaufnahme und um Verwaltungskosten zu sparen durch das berechtigte Interesse begründet werden, doch die Speicherung der darüber hinaus gehenden Daten sei dadurch nicht gerechtfertigt.

Somit ist die Aufnahme in den Talentpool basierend auf das berechtigte Interesse kein passender Lösungsansatz, da dem das Recht auf informationelle Selbstbestimmung der Bewerber:innen entgegensteht. Womit es am Ende doch bei der Einwilligung bleibt.

Widerruf und Informationspflichten beachten

Also begründet man die Aufnahme in den Talentpool über die Einwilligung. Wurde diese durch die Bewerber:innen wirksam erteilt, können deren personenbezogenen Daten rechtmäßig im Talentpool gespeichert und benutzt werden. Dabei sind die Anforderungen des Art. 7 DSGVO und § 26 Abs. 2 BDSG (als Sondernorm für Einwilligungen im Beschäftigungsverhältnis) zu berücksichtigen.

Die Einwilligung muss freiwillig, bestimmt und in informierter Weise erfolgen. Nicht zu vergessen sind die besonderen Anforderungen, die aus § 26 Abs. 2 Nr 4 BDSG resultieren, wonach die Informationen über den Zweck der Datenverarbeitung und das Widerrufsrecht bei Einwilligungen von Beschäftigten in Textform zu erfolgen haben.

Ein weiterer wichtiger Hinweis ist, dass der Widerruf der Einwilligung sich genauso einfach gestalten muss, wie die erteilte Einwilligung selbst. Wichtig ist darauf zu achten, die Daten auch unverzüglich zu löschen, sobald die Einwilligung widerrufen wird.

Es bleibt alles beim Alten

Zur Zeit lässt sich die Aufnahme und fortführende Speicherung der Bewerberdaten in den Talentpool nur über die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO und § 26 Abs. 2 BDSG begründen. Das Problem hierbei sind die vielen Anfoderungen und auch die Möglichkeit des jederzeitigen Widerrufes. Werden die oben genanten Probleme beachtet und durch notwendige Maßnahmen minimiert, können Haftungsrisiken vermieden werden.

Seit dem Inkrafttreten der DSGVO ist umstritten, ob der Betriebsrat als Verantwortlicher im Sinne des Datenschutzes gilt oder ob allein der Arbeitgeber Verantwortlicher sein kann. Mit dem Betriebsrätemodernisierungsgesetz, welches unter anderem den § 79a BetrVG schuf, sollte dieser Streit beendet werden. Leider hat die neue Norm nur mehr Fragen und Unklarheit hervorgerufen.

Die Rechtslage vor der DSGVO

Vor Inkrafttreten der DSGVO im Mai 2018 galt laut ständiger Rechtsprechung des Bundesarbeitsgerichts der Betriebsrat als Teil der verantwortlichen Stelle und er war nicht selbst Verantwortlicher. Nach altem BDSG konnten nur natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts verantwortliche Stelle sein. Da nach der damals vertretenen Rechtsauffassung der Betriebsrat nicht rechtsfähig war, konnten keine aufsichtsbehördlichen Maßnahmen gegen ihn verhängt werden. Als „Teil der verantwortlichen Stelle“ war er jedoch zumindest verpflichtet, Daten innerhalb seines Zuständigkeitsbereichs angemessen zu schützen.

Seit Inkrafttreten der DSGVO ist es nunmehr höchst umstritten, ob der Betriebsrat selbst Verantwortlicher im datenschutzrechtlichen Sinn ist oder nicht. Über die Frage der datenschutzrechtlichen Verantwortlichkeit des Betriebsrats hatten wir in der Vergangenheit bereits berichtet.

Die Norm, die den Streit beenden sollte: § 79a BetrVG

Mit dem Betriebsrätemodernisierungsgesetz sollte unter anderem die Gründung von Betriebsräten erleichtert und der Schutz der daran beteiligten Arbeitnehmer gestärkt werden. Darüber hinaus sollte der Betriebsrat stärkere Mitbestimmungsrechte beim Einsatz Künstlicher Intelligenz bekommen, die Ausgestaltung mobiler Arbeit in den Betrieben sollte gestärkt und die Arbeit der Betriebsräte insgesamt erleichtert werden. Unter die Zielsetzung des letzten Punktes fällt auch der neu geschaffene § 79a BetrVG. Dieser sollte den oben erwähnten Streit über die Verantwortlichkeit des Betriebsrats beenden.

Die Regelung lautet:

„Bei der Verarbeitung personenbezogener Daten hat der Betriebsrat die Vorschriften über den Datenschutz einzuhalten.

Soweit der Betriebsrat zur Erfüllung der in seiner Zuständigkeit liegenden Aufgaben personenbezogene Daten verarbeitet, ist der Arbeitgeber der für die Verarbeitung Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften. Arbeitgeber und Betriebsrat unterstützen sich gegenseitig bei der Einhaltung der datenschutzrechtlichen Vorschriften.

Die oder der Datenschutzbeauftragte ist gegenüber dem Arbeitgeber zur Verschwiegenheit verpflichtet über Informationen, die Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen. § 6 Absatz 5 Satz 2, § 38 Absatz 2 des Bundesdatenschutzgesetzes gelten auch im Hinblick auf das Verhältnis der oder des Datenschutzbeauftragten zum Arbeitgeber.“

Zunächst einmal darf hier schon hinterfragt werden, ob es wirklich nötig war klarzustellen, dass auch der Betriebsrat und seine Mitglieder an die Vorgaben des Datenschutzrechts gebunden sind. Eine solche Verpflichtung konnte schon durch eine unionsrechtliche Auslegung des § 75 Abs. 2 BetrGV hergeleitet werden. Auch das BAG hatte bereits einmal entschieden, dass Betriebsräte das Datenschutzrecht einzuhalten haben.

Ist abgesehen davon der Streit über die Verantwortlichkeit des Betriebsrats damit hinfällig? Im Gesetz heißt es immerhin ausdrücklich, dass für Datenverarbeitungen des Betriebsrats der Arbeitgeber der Verantwortliche im Sinne der datenschutzrechtlichen Vorschriften ist. Mit § 79a BetrVG hat man aber leider der Hydra den Kopf abgeschlagen: anstatt ein Problem zu lösen, hat man mit dieser Regelung nur noch mehr geschaffen.

Keine echte Lösung

Zunächst einmal verursacht es schon Bedenken, dass die Regelung die datenschutzrechtliche Verantwortlichkeit strikt festlegt. Denn eigentlich verbietet sich im Datenschutzrecht eine formalistische Betrachtung der Einordnung von Verantwortlichkeit. Ob nun der Betriebsrat nur nach innen oder nach außen auftritt, ist dabei unerheblich. In der DSGVO kommt es allein darauf an, wer über die Zwecke und Mittel der Datenverarbeitung entscheidet.

Der Betriebsrat ist zwar ein institutionell unselbstständiger Teil des Arbeitgebers, er entscheidet innerhalb seiner Zuständigkeit jedoch vollkommen frei. Die Verarbeitung von Beschäftigtendaten durch den Betriebsrat erfolgt weder im Namen des Arbeitgebers, noch liegt es in seinem Interesse (sie dient vielmehr der Wahrnehmung von Beteiligungsrechten) und vor allem darf der Arbeitgeber dem Betriebsrat keine Weisungen erteilen. Dadurch ergibt sich mit der neuen Regelung die Situation, dass der Arbeitgeber für den Betriebsrat zwar haftet aber hilflos dabei zusehen muss, wie der Betriebsrat Verstöße begeht, ohne dass er über eine effektive Handlungsmöglichkeit verfügt. Als Verantwortlicher müsste der Arbeitgeber den Betriebsrat anweisen können, bestimmte Datenverarbeitungen vorzunehmen oder zu unterlassen, um seine Rolle als Verantwortlicher auszufüllen. Dem steht jedoch die betriebsverfassungsrechtliche Unabhängigkeit des Betriebsrats entgegen. Der Arbeitgeber hat am Ende trotz bußgeldbewährter Verantwortlichkeit, keine uneingeschränkte Kontrollmöglichkeit. Damit ist er einem unkalkulierbaren Risiko ausgesetzt.

Denkbar ist etwa das Szenario, dass sich der Arbeitgeber Auskunfts- oder Löschansprüchen ausgesetzt sieht, die sich auf vom Betriebsrat verarbeitete Daten beziehen. Verweigert der Betriebsrat seine Mithilfe, wäre der Arbeitgeber Schadenersatzansprüchen Betroffener gem. Art. 82 DSGVO ausgesetzt und könnte diesen eine fehlende Mithilfe des Betriebsrats nicht entgegenhalten. Hier zeigt sich, dass die Regelung die betriebsverfassungsrechtlichen Strukturen fast vollkommen ignoriert.

Laut der Gesetzesbegründung muss der Betriebsrat zudem in seinem Zuständigkeitsbereich die Umsetzung technischer und organisatorischer Maßnahmen zur Gewährleistung der Datensicherheit im Sinne der Art. 24, 32 DSGVO sicherstellen. Das ist insoweit schon seltsam, als dass die dort geregelten Pflichten ausdrücklich den Verantwortlichen und den Auftragsverarbeiter adressieren, den ja auch die Kosten der Implementierung sowie die Pflicht zur Ausstattung mit Sachmitteln treffen.

Ein Problem nicht gelöst, dafür umso mehr geschaffen

§ 79a BetrVG enthält gegenseitige Unterstützungspflichten für den Arbeitgeber und den Betriebsrat. Der Betriebsrat könnte demnach zum Beispiel verpflichtet sein, bei der Erstellung eines Verarbeitungsverzeichnisses, bei der Erfüllung von Informationspflichten und Betroffenenrechten, bei Datenschutzvorfällen und Fragen der Datensicherheit zu unterstützen. Hierzu müsste er dem Arbeitgeber jedoch seine eigenen Datenverarbeitungen vollständig offenlegen oder über eigene Fehler berichten. Durch die damit auftretende Transparenz würde die Freiheit der Arbeit des Betriebsarbeit erheblich gefährdet. Im Betriebsrat werden bekanntlich auch Daten verarbeitet, an denen der Betriebsrat, besonders gegenüber dem Arbeitgeber, ein Geheimhaltungsinteresse hat. Der Arbeitgeber soll zum Beispiel keine Kenntnis davon erlangen, wenn der Betriebsrat einer Kündigung widersprechen möchte oder wenn er personenbezogene Daten speichert, um die Einhaltung von Gesetzen im Betrieb zu überwachen.

Darüber hinaus fehlt es der Regelung an einer Konkretisierung, gerade im Hinblick auf die Konsequenzen, wenn das Kooperationsgebot nicht befolgt wird. Es ist hier vollkommen offen, wie weit die Unterstützungspflichten reichen sollen und welche Folgen ein Verstoß hätte, gerade in den Fällen, in denen wegen fehlender Unterstützung ein Bußgeld droht.

Einige Autoren halten die Regelung des § 79a BetrVG sogar für unionsrechtswidrig, da es für das Gesetz keine Öffnungsklausel gebe. Das Gesetz stützt sich auf Art. 4 Nr. 7 DSGVO als Öffnungsklausel. Dieser erfordert jedoch, dass die Zwecke und Mittel der Datenverarbeitung entweder ausdrücklich gesetzlich festgelegt sind oder sich zumindest aus der dem Verantwortlichen übertragenen Aufgabe ergeben. Vorliegend fehle es jedoch an beidem und keine Vorschrift des BDSG oder BetrVG genüge den Anforderungen von Art. 4 Nr. 7 DSGVO. Andere ziehen Art. 88 DSGVO als Öffnungsklausel heran. Dieser lässt nur nationale Regelungen zu, welche materielle Voraussetzungen und Grenzen einer Datenverarbeitung im Beschäftigungskontext regeln. Haftungsfragen und Fragen der Verantwortlichkeit seien jedoch in Art. 82, 83 DSGVO abschließend bestimmt. Darüber hinaus fehle es an den in Art. 88 Abs. 2 DSGVO geforderten „angemessenen und besonderen Maßnahme zur Wahrung der menschlichen Würde, der berechtigten Interesse und der Grundrechte der betroffenen Person“, so dass auch die Anforderungen dieser Öffnungsklausel nicht erfüllt seien.

Die Rolle des Datenschutzbeauftragten

Ein weiterer problematischer Punkt ist die Rolle des Datenschutzbeauftragten. Eigentlich sollte nach bisheriger Rechtsprechung eine Kontrolle des Betriebsrats durch den Datenschutzbeauftragten unzulässig sein, da der Datenschutzbeauftragte dem Lager des Arbeitgebers zuzuordnen ist. Nun stellt § 79a BetrVG allerdings klar, dass der Betriebsrat Teil der verantwortlichen Stelle ist. Damit wäre der betriebliche Datenschutzbeauftragte auch für die Überwachung des Betriebsrats zuständig (Art. 39 Abs. 1 lit. b DSGVO). Er kann damit die Datenverarbeitungen und deren Dokumentation im Betriebsrat prüfen und Einblicke in vertrauliche Inhalte der Entscheidungsfindung bekommen. Die damit einhergehende Gefahr für die Unabhängigkeit des Betriebsrats sollte durch die in § 79a BetrVG enthaltene Verschwiegenheitsverpflichtung des Datenschutzbeauftragten gebannt werden. In der Praxis dürfte diese Verschwiegenheitsverpflichtung allerdings erhebliche Probleme aufwerfen.

Der Datenschutzbeauftragte darf demnach keine Informationen teilen, die „Rückschlüsse auf den Meinungsbildungsprozess des Betriebsrats zulassen“. Es ist jedoch kaum nachvollziehbar, wie der Datenschutzbeauftragte hier genau solche Informationen vernünftig herausfiltern und von anderen Informationen trennen soll, ohne dass seine Arbeit beeinträchtigt wird. Diese Situation ließe sich wohl nur vermeiden, wenn der Betriebsrat selbst Verantwortlicher wäre und damit einen eigenen Datenschutzbeauftragten benennen könnte.

Die Frage der Haftung

Nach dem § 79a S. 2 BetrGV soll im Außenverhältnis stets der Arbeitgeber haften, da der Betriebsrat eine unternehmensinterne Stelle ist. Es wäre allerdings eine Innenhaftung nach den Grundsätzen des „innerbetrieblichen Schadensausgleichs“ denkbar. Eine Haftungsprivilegierung von Betriebsratsmitgliedern gibt es grundsätzlich nicht (BGH, Urteil vom 25.10.2012, Az: III ZR 266/11 – Rn.45).

Kommt es zu einem Datenschutzverstoß außerhalb der Zuständigkeit des Betriebsrats, wäre der Arbeitgeber hingegen nicht verantwortlich. Das folgt aus Art. 82 Abs. 3 bzw. 28 Abs. 10 DSGVO. Zwar kann der Betriebsrat mangels Rechtspersönlichkeit nicht unmittelbar haften, allerdings ist eine persönliche Haftung von Betriebsratsmitgliedern möglich. Voraussetzung ist, dass diese auf Grund eines eigenen Entschlusses oder eines Betriebsratsbeschlusses außerhalb des Wirkungskreises des Betriebsrats tätig werden.

Stimmen, die die Regelung für unionsrechtswidrig halten, vertreten zudem die Ansicht, dass der Arbeitgeber überhaupt nicht für das datenschutzrechtliche Fehlverhalten des Betriebsrats haftet und man sich direkt an die Mitglieder des Betriebsrats als natürliche Personen halten könne.

Die Möglichkeiten von Arbeitgeber und Betriebsrat

Aufgrund der durch das Gesetz geschaffenen Unklarheiten, empfiehlt es sich, dass die betroffenen Parteien möglichst umfassende Regelungen selbst treffen. So kann sich der Betriebsrat intern durch seine Geschäftsordnung organisieren und der Arbeitgeber kann etwa die Bedingungen für die IT-Nutzung einmal faktisch und auch rechtlich bestimmen.

Ein Großteil der Themen muss jedoch gemeinschaftlich geregelt werden. Hier sollte unbedingt eine Betriebsvereinbarung über den Datenschutz beim Betriebsrat abgeschlossen werden, worin Verantwortungsbereiche festgelegt, Prozesse etabliert (z.B. für Melde- und Informationswege) und Pflichten konkretisiert werden, um die durch § 79a BetrVG geschaffenen Probleme zu lösen.

§ 79a BetrVG verursacht mehr Probleme, als das er sie löst

Abschließend dürfte die Regelung des § 79a BetrVG weder Arbeitgeber, wegen der drohenden Haftung, noch Betriebsräte, wegen etwaiger Offenlegungspflichten, sonderlich erfreut haben. Eine anvisierte Rechtssicherheit wurde durch die Norm kaum erreicht, da die dort getätigte Klarstellung betriebsverfassungsrechtliche Grundsätze nicht ausreichend berücksichtigt. Dies haben zwar bereits im Gesetzgebungsverfahren diverse Stellungnahmen, unter anderem der GDD, kritisiert, letztlich jedoch ohne großen Erfolg.

Vor der Veröffentlichung von Mitarbeiterfotos ist in vielen Fällen die Einholung einer Einwilligung durch den Arbeitgeber notwendig. Welche Anforderungen die Einwilligung aus welchen Gründen erfüllen muss und welche alternativen Regelungsmöglichkeiten es für welche Situationen gibt, das erfahren Sie in diesem Artikel.

Unterschiedliche Interessen von Arbeitgeber und Arbeitnehmer

Mit Fotos erreicht man die Menschen: Die „Best of“-Fotos der letzten Weihnachtsfeier vor Corona ins Intranet, um an das „Wir-Gefühl“ der Belegschaft zu erinnern. Fotos aller Kollegen im Intranet hochladen, um in Homeoffice-Zeiten die Identifikation der Mitarbeiter mit dem Unternehmen aufrecht zu halten. Die neuen Werbebroschüren mit den eigenen Amateurmodells bestücken, da Brad Pitt oder Heidi Klum leider außerhalb der eigenen finanziellen Reichweite liegen. Fotos eigener Mitarbeiter auf die Firmen-Webseite stellen oder gar den kompletten Fuhrpark mit ihnen bedrucken, um Kunden zu binden…

„Nähe erzeugen“ als Wettbewerbsvorteil

Gerade in der Corona-geplagten, digitaler werdenden Welt voller zwischenmenschlicher Distanz dürfte „Nähe erzeugen“ auf diese Art und Weise für Unternehmen wichtiger sein denn je, sollen sich sowohl Mitarbeiter als auch Kunden gut aufgehoben fühlen. Das Unternehmen hat also zunächst einmal ein nachvollziehbares Interesse an der Veröffentlichung dieser Mitarbeiterfotos.

Das „Nein“ des Mitarbeiters

Allerdings ist nicht immer garantiert, dass der betroffene Mitarbeiter die Interessen seines Arbeitgebers teilt. Wird ihm eine entsprechend vorbereitete Einwilligungserklärung vorgelegt, kann es sein, dass er diese nicht unterschreiben möchte, was unterschiedliche, mehr als nachvollziehbare Gründe haben kann: Er kann sich an die Weihnachtsfeier nur noch teilweise erinnern und erwartet jedenfalls nichts Gutes von den besagten Bildern. Er möchte zumindest zurzeit mangels Möglichkeit des Frisörbesuchs kein aktuelles Mitarbeiterfoto von sich im Intranet veröffentlicht sehen. Er sieht seine Fotos auf der gleichen Entlohnungsstufe wie Brad Pitt oder Heidi Klum. Oder er möchte sich nicht jedes Mal selbst sehen, wenn er die eigene Homepage besucht oder ein Auto seines Arbeitgebers durch die Straßen seines Wohnortes fährt.

Und nun? Muss es denn überhaupt die Einwilligung sein? Spätestens jetzt lohnt sich ein genauerer Blick auf die Angelegenheit.

Mitarbeiterfotos im Internet veröffentlichen

Grundsätzlich setzt die Veröffentlichung von Mitarbeiterfotos im Internet durch den Arbeitgeber stets eine Einwilligungserklärung voraus.

Vor der Einführung der DSGVO war hinsichtlich der Veröffentlichung von Mitarbeiterfotos im Internet das Kunsturhebergesetz (KUG) anzuwenden, das bereichsspezifisch Vorrang vor dem BDSG hatte (siehe § 1 Abs. 3 BDSG a.F.). Dem entsprechend hatte die einzuholende Einwilligungserklärung die Voraussetzungen des KUG zu erfüllen.

Seit Inkrafttreten der DSGVO stellt sich bis zum heutigen Tag die Frage, ob die Regelungen der DSGVO jene des KUG verdrängen, so dass nunmehr allein die strengeren Vorschriften der DSGVO maßgeblich wären. Bis zur Entscheidung dieses Streits muss aus Gründen der Rechtssicherheit jedenfalls von den strengeren Regelungen der DSGVO und des BDSG ausgegangen werden.

Anforderungen der DSGVO und des BDSG an die Einwilligung

Demnach muss nunmehr die Einwilligungserklärung folgende datenschutzrechtlichen Kriterien aus der DSGVO bzw. aus dem BDSG erfüllen:

• Der Arbeitnehmer muss die Einwilligung freiwillig erteilen. Er muss also tatsächlich die Wahl haben, ob er die Einwilligung erteilt oder nicht. Im Einwilligungstext ist zudem klarzustellen, dass eine Nichterteilung keine rechtlichen Konsequenzen für ihn hat.
• Die Einwilligung sollte aus Gründen der Beweissicherheit unbedingt „schriftlich“ § 26 Abs. 2 S. 3 BDSG vorliegen.
• § 26 Abs. 2 S. 4 BDSG verlangt, dass Betroffene die Tragweite ihrer Entscheidung abschätzen können müssen. Die Einwilligung muss konkretisierende Angaben zu Art, Ort und Kontext der Veröffentlichung enthalten.
• Der Arbeitgeber muss die allgemeinen Informationspflichten Art. 13, 14 DSGVO erfüllen.
• Der Beschäftigte muss über sein jederzeitiges Widerrufsrecht Art. 7 Abs. 3 DSGVO aufgeklärt werden.

Grundsätzlich gilt, dass die Einwilligungserklärung im Hinblick auf die beabsichtigte Verwertung möglichst konkret zu formulieren ist.

Ausnahmefälle – Mitarbeiterfotos benötigen keine Einwilligung, wenn…

Wie bereits angedeutet, gibt es vereinzelte Ausnahmen von der grundsätzlichen Erforderlichkeit einer Einwilligungserklärung für die Veröffentlichung von Mitarbeiterfotos im Internet:

• Grundlage Arbeitsvertrag
  Zum einen könnte die Veröffentlichung von Mitarbeiterfotos im Internet, insbesondere auf der Unternehmens-Homepage, auf der Grundlage des Arbeitsvertrages (§ 26 Abs. 1 BDSG) gerechtfertigt sein, wenn sie „zur Durchführung des Beschäftigungsverhältnisses erforderlich“ wäre. Das soll aber immer nur dann der Fall sein, wenn die visuelle Präsentation des Beschäftigten als Gegenstand des Arbeitsvertrages bewertet werden kann, wie z.B. bei Profi-Modells (S. 140). Damit dürfte sich diese Rechtsgrundlage in den allermeisten Fällen für die Veröffentlichung von Fotos im Internet erledigt haben. Angemerkt sei an dieser Stelle, dass etwas anderes für die Veröffentlichung von Daten wie Name, Titel, Funktion und dienstliche Erreichbarkeit hinsichtlich von Mitarbeitern, deren vertragliche Tätigkeit auch Beziehungen zu Außenkontakten mit sich bringen und die als direkter Ansprechpartner nach außen tätig sein müssen (S. 42). Dies betrifft neben dem klassischen Fall der Außendienstmitarbeiter auch Pressesprecher oder Geschäftsführer. Das Foto im Internet ist hingegen nicht auf dieser Basis möglich.
• Grundlage „berechtigte Interessen“
  Weiter bliebe noch die Möglichkeit, eine Veröffentlichung von Mitarbeiterfotos auf das „berechtigte Interesse“ gem. Art. 6 Abs. 1 lit. f DSGVO zu stützen. Die eigenen Unternehmensinteressen sind als „berechtigt“ schnell definiert, siehe oben. Doch die Anwendung der Norm ist deshalb im Zusammenhang mit der Veröffentlichung von Mitarbeiterfotos im Internet nicht möglich, da nun eine umfangreiche Interessenabwägung darüber erfolgt, ob die Interessen oder Grundrechte und Grundfreiheiten des betroffenen Mitarbeiters nicht überwiegen. Und diese Interessenabwägung berücksichtigt und bewertet stets u.a. die Tatsache, dass im Internet veröffentlichter Inhalt nur schwer wieder vollständig zu beseitigen ist. Er ist im Gegensatz dazu aber global zugänglich, leicht von Dritten weiter zu nutzen bzw. zu manipulieren und verbreitet sich unkontrollierbar. Außerdem können die gefundenen Informationen zu einer Person problemlos mit weiteren im Netz vorhandenen Daten zu Persönlichkeitsprofilen zusammengeführt werden. Daher verwundert es nicht, dass die Veröffentlichung von Mitarbeiterfotos im Internet auf der Grundlage des berechtigten Interesses bzw. ohne Vorliegen einer Einwilligungserklärung sowohl von Aufsichtsbehörden (S. 42), als auch von der Rechtsprechung (€) immer wieder abgelehnt wird.
• Grundlage separater Vertrag
  Durchaus möglich ist es aber, mit dem betroffenen Mitarbeiter einen separaten Vertrag über die Veröffentlichung der Fotos zu schließen (Rechtsgrundlage wäre dann Art. 6 Abs. 1 lit. b DSGVO). In einem solchen Vertrag wird einerseits die Aufnahme und deren Verwertung und andererseits eine Gegenleistung für die Verwendung der Fotos festgelegt. Diese Art des „Abkaufens der Fotos“ durch den Verwender entstammen dem Modell-Business und sind im Beschäftigungskontext nicht allzu verbreitet. Wichtiger Vorteil aber: Eine Widerrufbarkeit der Einwilligung ist vom Tisch und damit auch die zeitlich begrenzte Nutzung der Fotos. Eine Beratung hierzu muss im Einzelfall erfolgen.

Widerrufsrecht für Mitarbeiterfotos nach der Kündigung?

In der betrieblichen Praxis werden aber meistens Einwilligungen von den Mitarbeitern eingeholt. Findet das Arbeitsverhältnis mit dem abgelichteten Mitarbeiter dann ein Ende, bedeutet dies nicht automatisch, dass das Unternehmen die veröffentlichten Fotos nicht mehr nutzen darf, für die eine Einwilligung eingeholt wurde. Doch fraglich ist, was passiert, wenn der Mitarbeiter dann seine zuvor erteilte Einwilligung widerruft.

Anwendbares Recht klären

Bevor die DSGVO in Kraft getreten ist, gab es auf diese Frage eine Antwort des BAG. So stellte das oberste deutsche Arbeitsgericht mit Entscheidung vom 11.12.2014, 8 AZR 1010/13 im Zusammenhang mit der Veröffentlichung eines Videos zu Illustrationszwecken auf der Homepage des Arbeitgebers fest, dass das KUG anzuwenden war. Das bedeutete, dass der Arbeitnehmer seinen Widerruf begründen musste und eine Gesamtabwägung zu erfolgen hatte. Dann war nach dem BAG die Eingriffsintensität in das Persönlichkeitsrecht des Beschäftigten wesentlich und die Pflicht zur Entfernung sollte sich danach richten, ob das Bild nur illustrierenden Charakter hatte und kaum einen Bezug zur Persönlichkeit des Betroffenen aufwies, oder ob z.B. durch einen Text die Identität des Mitarbeiters hervorgehoben oder sein Name genannt wurde. Im letzteren Fall bestand ein Rechtsanspruch auf Löschung.

Streitig ist aber, ob diese Grundsätze des BAG auch nach Inkrafttreten der DSGVO bzw. des neuen BDSG weiter gelten.

Zum Teil wird dies von Aufsichtsbehörden vertreten, so dass sich das Widerrufsrecht nach dem KUG richten würde, zum Teil abgelehnt (S. 43), dies mit dem wichtigen Argument, dass Art. 85 Abs. 2 DSGVO jedenfalls nicht für nationale Rechtsvorschriften gedacht sei, auf die der Arbeitgeber zurückgreifen könne, wenn er nicht zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken Fotos seiner Mitarbeiter im Internet veröffentliche, sondern z.B. um sein Firmenimage zu stärken. Demnach muss sie die Einwilligung an den Vorschriften der DSGVO und des BDSG orientieren, so dass der Widerruf jederzeit und ohne Gründe möglich ist (Art. 7 Abs. 3 DSGVO).

Widerrufsmöglichkeit nach DSGVO / BDSG annehmen

Aus Gründen der Rechtssicherheit werden bis zu einer Klärung der Rechtslage wiederum die Vorschriften von DSGVO bzw. BDSG angewendet, so dass nach einem Widerruf durch den Mitarbeiter nach dem Ende eines Arbeitsverhältnisses Fotos oder auch Videos tatsächlich zu entfernen sind.

Bei Gruppenfotos kann es genügen, wenn der Kopf des betroffenen Mitarbeiters demontiert und der Kopf einer anderen Person eingesetzt wird.

Mitarbeiterfotos im Intranet oder zu dienstlichen Zwecken veröffentlichen

Die Veröffentlichung von Mitarbeiterfotos im Intranet unterscheidet sich von jener im Internet insbesondere dadurch, dass hier lediglich ein eingeschränkter Personenkreis Zugriff hat.

Aus Gründen der Rechtssicherheit werden wiederum DSGVO bzw. BDSG angewendet. Hier bietet sich dem Arbeitgeber grundsätzlich mit den „berechtigten Interessen“ bzw. mit Art. 6 Abs. 1 lit. f DSGVO eine weitere Rechtsgrundlage für die Veröffentlichung – sprich, es wäre eine Interessenabwägung durchzuführen, auf die Einholung von Einwilligungen könnte verzichtet werden.

Das bei einer Veröffentlichung im Internet an dieser Stelle auftretende Problem, dass die Aufnahmen quasi global zugänglich sind und dass eine unkontrollierte Verbreitung nicht ausgeschlossen ist, besteht bei einer Veröffentlichung nur im Intranet nicht. Das führt bei sorgfältiger Rücksichtnahme auf die Mitarbeiterinteressen im Ergebnis in vielen Konstellationen dazu, dass die Interessenabwägung bezüglich dieser Art der Veröffentlichung anders ausfällt als bei einer Veröffentlichung im Internet. Dies gilt nicht nur für die Veröffentlichung von Mitarbeiterfotos, sondern auch der Fotos der letzten Weihnachtsfeier oder des letzten Firmenevents im Intranet.

Im Rahmen der Interessenabwägung sollten allerdings die Mitarbeiterinteressen stets berücksichtigt werden, wie z.B.:

• Ist objektiv gesehen davon auszugehen, dass der Mitarbeiter mit der Veröffentlichung gerade dieses Fotos einverstanden ist?
• Ist die Veröffentlichung für den Beschäftigten transparent bzw. vorhersehbar im Sinne von wahrscheinlich?
• War der Mitarbeiter offensichtlich mit der Aufnahme des Fotos einverstanden, weil er z.B. deutlich in die Kamera lächelt?

Auf keinen Fall sollten die Fotos über soziale Netzwerke geteilt oder sonst wie dem Internet zugänglich gemacht werden.

Mitarbeiterausweise mit Lichtbild

Außerdem gibt es Fälle, in denen auch außerhalb des Internets die Fotos der Mitarbeiter „zur Durchführung des Arbeitsverhältnisses erforderlich“ sind, so dass die Nutzung durch den Arbeitgeber gem. § 26 Abs. 1 BDSG gerechtfertigt ist, demnach ist auch hier keine Einwilligung erforderlich ist. So verhält es sich z.B. hinsichtlich der Verwendung von Fotos für Mitarbeiterausweise mit Lichtbild.

Mitarbeiterfotos bei Firmenfeiern

Ein Problem für die Einwilligung stellen Firmenfeiern dar, hinsichtlich derer insbesondere bei großer Mitarbeiterzahl eine Umsetzung regelmäßig kaum möglich wäre.

Unternehmen versuchen, dieser Problematik aus dem Weg zu gehen, indem vor dem Event in den Einladungen auf die Anwesenheit eines Fotografen hingewiesen wird. Oft ist in dem Einladungstext folgender Satz enthalten:

„Mit der Teilnahme an dieser Feier erklären Sie sich mit der Aufnahme und Veröffentlichung von Fotos einverstanden.“

Gegen die Zulässigkeit eines solchen Vorgehens spricht jedoch zum einen, dass die Einwilligung im Beschäftigungsverhältnis immer schriftlich zu erfolgen hat. Außerdem erfordert eine Einwilligung nach EG 32 mehr als bloße Untätigkeit – danach kann die Teilnahme an einer Firmenfeier nicht einer Einwilligung gleichgesetzt werden.

Angemessen erscheint es daher, auch bei Firmenfeiern über das „berechtigte Interesse“ zu gehen. Das gilt jedoch nicht uneingeschränkt. Im Rahmen der Interessenabwägung müssen insbesondere folgende Punkte berücksichtigt werden:

• Transparenz und Offenkundigkeit wahren
  Die Beschäftigten sind per Einladung und Aushang über die Anwesenheit des Fotografen zu informieren. Heimliches Fotografieren ist zu vermeiden. Informationspflichten sind zu beachten.
• Hinweis auf Widerspruchsrecht
  Die Beschäftigten sind darauf hinzuweisen, dass sie den Aufnahmen und einer Veröffentlichung jederzeit widersprechen können.
• Ausübung des Widerspruchs berücksichtigen
  Durch organisatorische Maßnahmen sollte garantiert werden, dass ein bereits ausgeübter Widerspruch hinreichend berücksichtigt wird.
• Fotos mit Bedacht fertigen
  Diffamierende oder diskriminierende Fotos z.B. sind natürlich zu vermeiden. Kinder dürfen nur mit Zustimmung ihrer Eltern fotografiert werden.
• Art der Veröffentlichung beachten
  Strengere Maßstäbe gelten für eine Veröffentlichung im Internet, hier geht es nicht ohne Einwilligung.

Informationspflichten nicht vergessen

Egal, welchen Weg Sie wählen – die Einwilligung, den Vertrag oder die „berechtigten Interessen“, auf jeden Fall muss der Arbeitgeber den betroffenen Beschäftigten immer eine Datenschutzinformation über die konkrete Datenverarbeitung zur Verfügung stellen (Art. 13, 14 DSGVO).

Der Arbeitgeber als Verantwortlicher muss dabei auf die geplante Veröffentlichung hinweisen und den Betroffenen informieren über den Zweck, für den die Fotos verarbeitet werden, sowie über die Rechtsgrundlage und über mögliche Dritttransfers. Weiter hat der Arbeitgeber Informationen bereit zu stellen über die geplante Dauer der Verarbeitung und über die Rechte, die der betroffene Mitarbeiter geltend machen kann. Im Zusammenhang mit der Rechtsgrundlage des Art. 6 Abs. 1 lit. f DSGVO hat er auch über seine konkreten berechtigten Interessen zu informieren.

In Fällen, in denen dem Arbeitgeber ad hoc diese Informationen zu umfangreich sind, gibt es die Möglichkeit, ein zweistufiges Informationsmodell anzuwenden wie es die DSK erklärte. Demnach soll es zunächst genügen, in Stichpunkten folgende Basisinformationen zu geben:

• Name und Kontaktdaten des Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten
• Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung
• Benennung des berechtigten Interesses, soweit einschlägig
• Empfänger der personenbezogenen Daten
• Übermittlung in Drittstaaten
• Widerspruchsrecht nach Art. 21 DSGVO
• Hinweis auf Zugang zu weiteren Pflichtinformationen in zweiter Stufe (z.B. per QR-Code oder Link)

Bei unüberschaubaren Menschenmengen wird auf Art. 14 DSGVO Abs. 5 DSGVO abgestellt. Nach dieser Vorschrift entfällt die Pflicht zur individuellen Information des Betroffenen, wenn sich dies als unmöglich erweist oder es einen unverhältnismäßigen Aufwand bedeuten würde. Dann ist nach der Vorschrift die Information für die Öffentlichkeit bereitzustellen (etwa durch Aushang am Eingang zur Veranstaltung).

Bußgelder und Schadensersatz bei widerrechtlichen Veröffentlichungen von Mitarbeiterfotos

Im Fall rechtswidriger Veröffentlichungen von Mitarbeiterfotos drohen dem Arbeitgeber Bußgelder bzw. Unterlassungsklagen oder die Geltendmachung von Schadensersatzansprüchen durch die Betroffenen.

So geschehen z.B. in einem Rechtsstreit vor dem LG Frankfurt a.M. vom 13.09.2018 (2/3 O 283/18). Hier hat die Klägerin als Kundin des beklagten Friseursalons von diesem erfolgreich im Wege der einstweiligen Verfügung erstritten, dass die Beklagte das Video, in dem die an der Klägerin durchgeführte Haarverlängerung gezeigt wurde, von ihrer Facebook-Fanpage nehmen musste. Was dem Salon fehlte, war eine beweissichere, sprich schriftliche Einwilligung seiner Kundin, so dass eine Rechtsgrundlage für die Datenverarbeitung fehlte.

Noch schlimmer, wenn die Geltendmachung von Schadensersatz hinzutritt, wie beispielhaft in einem anderen Fall, der am 25.03.2021 (3 Ca 391/20) vor dem Arbeitsgericht Münster entschieden wurde. Hier wurde ein Bild der Klägerin in der Werbebroschüre ihrer beklagten Arbeitgeberin veröffentlicht – obwohl sie die ihr abverlangte schriftliche Einwilligung nicht erteilt hatte. In diesem Verfahren sprach das Gericht der Klägerin Ansprüche auf Entschädigung nach § 15 AGG bzw. auf Schadensersatz gem. § 82 Abs. 1 BDSG in Höhe von 5.000 Euro zu (immerhin die Hälfte des geltend gemachten Betrages). Natürlich darf die Beklagte die bereits gedruckten Broschüren auch nicht weiter verwenden.

Die Aufzählung ließe sich noch mit weiteren Gerichtsentscheidungen aus den Instanzen fortsetzen, was zeigt, dass die Veröffentlichung von Fotos oder auch Videos von Mitarbeitern ohne Einwilligung weiterhin kein Einzelfall ist.

Weniger ist mehr

Damit es erst gar nicht so weit kommt, dass plötzlich, kurz vor Veröffentlichung der kostspieligen Werbebroschüre, Unklarheiten auftreten, sollten sich Unternehmen am besten ganz zu Beginn der Planungen genau damit auseinandersetzen, unter welchen Voraussetzungen sie Fotos ihrer Beschäftigten veröffentlichen dürfen und was genau die Ausnahmen von dem Erfordernis der Einwilligung sind. In Einzelfällen kann die Ausgestaltung eines eigenen Vertrages mit dem Mitarbeiter als Alternative zur Einwilligung in Betracht kommen – vor allem, wenn im Falle des Widerrufs der Einwilligung extreme Kostenfolgen zu erwarten wären.

Die Risiken für die Betroffenen bei einer Veröffentlichung von Fotos oder auch Videos durch den Arbeitgeber im Internet bestehen darin, dass die globale Veröffentlichung unweigerlich zu einem Kontrollverlust über die Aufnahmen führt. Das sollte stets berücksichtigt werden und mit der Veröffentlichung von Mitarbeiterfotos sollte stets zurückhaltend umgegangen werden.

Gleichzeitig ruft die Darstellung der vorliegenden Regelungsmöglichkeiten ins Bewusstsein, dass es weiterhin an rechtlichen Grundstrukturen eines Bildnisschutzes für optische Medien im Beschäftigungskontext mangelt – insbesondere mit Blick darauf, dass die Tendenz in einzelnen Bereichen immer weiter in Richtung „Personality-Performance“ der eigenen Mitarbeiter geht.

Webinar zum Thema

Nicht nur die Fragen, welche Rechtsgrundlagen der Veröffentlichung von Mitarbeiterfotos zugrunde liegen und wie Einwilligungserklärungen datenschutzkonform auszugestalten sind, lassen sich mit vertieften Kenntnissen aus dem Bereich des Beschäftigtendatenschutzes beantworten.

Wenn Sie Ihr Fachwissen in diesem speziellen Rechtsgebiet für den Unternehmensalltag weiter vertiefen möchten, dann besuchen Sie doch unsere Webinare „Bewerber- und Beschäftigtendatenschutz“ oder „Informationspflichten nach DSGVO“.

Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.

Die Verwaltung der Personalakten ist beim Arbeitnehmerdatenschutz von besonderer Bedeutung, da sie naturgemäß eine Vielzahl personenbezogener Daten enthalten. Dabei gilt es einige wichtige Aspekte bezüglich Datenschutz und Datensicherheit zu beachten.

Die Personalakte und ihre Berührungspunkte mit dem Datenschutz

In einer Personalakte sind Unterlagen und Informationen enthalten, die die Person des Arbeitnehmers und das Arbeitsverhältnis betreffen. Grundsätzlich besteht keine gesetzliche oder vertragliche Verpflichtung zur Führung einer Personalakte. Gleichwohl ist bei einigen Dokumenten der Arbeitgeber gesetzlich zur Verwahrung verpflichtet, wie z.B. für Quittungsbelege über den Arbeitslohn (§ 257 HGB) oder für Lohnberechnungsunterlagen (§ 147 AO). Hinsichtlich des Inhalts der Personalakte ergibt sich aus § 26 Abs. 1 S. 1 BDSG, dass nur solche Beschäftigtendaten in ihr enthalten sein dürfen, die für die Durchführung des Beschäftigungsverhältnisses oder zu dessen Beendigung erforderlich sind. Informationen, die zur Personalakte genommen werden, müssen somit für das Arbeitsverhältnis maßgeblich sein, etwa weil sie Bedeutung für die Lohnabrechnung, die Personalplanung, den individuellen Werdegang haben oder einen Leistungsvergleich ermöglichen (Arbeitsvertrag, Zeugnisse, Krankheitsbescheinigungen, Urlaubsanträge, Kündigungsschreiben).

Die Personalakte enthält neben den Angaben zur Person und dem Lebenslauf zum Teil sehr sensible Daten, wie z.B. Angaben zur Gesundheit, zu den familiären Verhältnissen oder zur Religion des Arbeitnehmers. Sie stellt damit eine umfassende und detaillierte Datensammlung über eine Einzelperson dar.

Eine Ausnahme besteht allerdings für Gesundheitsdaten, welche von einem Betriebsarzt erhoben werden. Diese sind separat von der regulären Personalakte aufzubewahren und es darf kein Zugriff durch den Arbeitgeber oder sonstige unbefugte Dritte erfolgen.

Keine gesetzlichen Vorgaben im privaten Arbeitsverhältnis

Dem Arbeitgeber steht es frei, die Personalakte sowohl elektronisch als auch in Papierform zu führen. Er hat bei der Führung von Personalakten, in jedweder Form, bestimmte datenschutzrechtliche Regeln zu beachten, insbesondere hinsichtlich der Vertraulichkeit des Inhalts der Personalakten. Es gelten grundsätzlich die Anforderungen der DSGVO.

Rechtsgrundlage für die Speicherung

Die Zulässigkeit der Datenverarbeitung beurteilt sich, sofern keine Einwilligung oder Betriebsvereinbarung vorliegt, nach § 26 Abs. 1 S. 1 BDSG. Demnach muss sie für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung erforderlich sein. Auch wenn dies nicht gesondert in der Vorschrift geregelt ist, muss die Datenerhebung in einem zweiten Schritt dem Grundsatz der Verhältnismäßigkeit entsprechen, d. h. insbesondere angemessen sein. Hierbei ist jeweils eine Interessenabwägung unter Berücksichtigung grundrechtlicher Wertentscheidungen vorzunehmen.

Was darf in der Personalakte nicht stehen?

In der Personalakte dürfen keine Informationen gespeichert werden, die für das Arbeitsverhältnisses nicht erforderlich sind. Besonders anschaulich ist diesbezüglich der Fall des Modekonzerns „H&M“. Dort hatten Führungskräfte am Nürnberger Standort jahrelang Informationen über das Privatleben ihrer Angestellten gesammelt und auf einem Netzwerkordner gespeichert (u.a. Informationen zu Beziehungen, Fitnesszustand, Religionsbekenntnis). Auf diesen Ordner hatten bis zu 50 Personen Zugriff. Die betroffenen Mitarbeiter wussten von diesen Vorgängen nichts und nur durch Zufall wurden sie bekannt. Diese Daten waren offensichtlich nicht für die Durchführung des Arbeitsverhältnisses erforderlich. Die zuständige Datenschutzbehörde verhängte daraufhin ein beträchtliches Bußgeld in Höhe von 35,3 Millionen €. Für ein weiteres Beispiel unzulässiger Datenverarbeitung hat ein französischer Verkehrsbetrieb gesorgt. Dort wurde die Anzahl der Tage, an denen Beschäftigte an Streiks teilgenommen hatten, aktenkundig gemacht und bei Beförderungsentscheidungen einbezogen. Die französische Aufsichtsbehörde (CNIL) sah hierin einen Verstoß gegen den Grundsatz der Datenminimierung, da zwar die Anzahl der Fehltage für eine Beförderungsentscheidung notwendig sein könne, nicht jedoch ob diese Fehltage im Zusammenhang mit Streiks standen. Daraufhin wurde ein Bußgeld in Höhe von 400.000 € verhängt.

Datensicherheit: Wer darf die Personalakte einsehen?

Der Arbeitgeber hat gem. Art. 32 DSGVO gewisse Anforderungen an die Datensicherheit hinsichtlich der Personalakte zu erfüllen. Er muss dafür Sorge tragen, dass Unbefugte keinen Zutritt (physische Zugriffsmöglichkeit) und keinen Zugang (tatsächliche Nutzungsmöglichkeit) zu Datenverarbeitungsanlagen haben, mit denen Personalakten verarbeitet werden. Personalakten dürfen nicht sämtlichen Betriebsangehörigen allgemein zugänglich sein. Darüber hinaus muss er gewährleisten, dass auch der Kreis der Berechtigten tatsachlich nur auf die Daten zugreifen kann, für die die Berechtigung besteht. Zudem muss er Maßnahmen ergreifen, dass personenbezogene Daten nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Hierzu gehört auch, dass es Möglichkeiten gibt im Nachhinein festzustellen, ob und von wem personenbezogene Daten in Personalakten eingegeben, verändert oder entfernt worden sind.

Der Personenkreis, der Zugriff auf die Personalakte haben darf, ist dabei so klein wie möglich zu halten. Regelmäßig sind dies die Personalabteilung, die Geschäftsführung sowie der direkte Vorgesetzte.

Innerhalb von Konzernen besteht das Problem, dass andere Konzernunternehmen datenschutzrechtlich wie Drittunternehmen zu behandeln sind. Eine Datenweitergabe oder die Gewährung von Einsicht ist hier grundsätzlich unzulässig, es sei denn die konkrete Tätigkeit des Betroffenen hat einen Bezug zum Konzern. Ist dies nicht der Fall und ist eine Datenweitergabe innerhalb des Konzerns geplant, sollte frühestmöglich eine Einwilligung des Betroffenen eingeholt werden.

Im Falle unternehmensinterner Nachforschungen im Zuge von Compliance-Maßnahmen muss der Arbeitgeber ebenfalls die Vertraulichkeit der Personalakte wahren. Nur ausnahmsweise darf Externen Einsicht in die Personalakten gewährt werden und auch nur wenn es sich um Personen handelt, welche gesetzlich zur Verschwiegenheit verpflichtet sind (Wirtschaftsprüfer, Rechtsanwälte) oder sie eine Verschwiegenheitsverpflichtung unterzeichnet haben.

Wichtige Aspekte bei der Führung digitaler Personalakten

Für den Inhalt und den Umfang der elektronischen Personalakte gelten grundsätzlich dieselben Kriterien wie für die konventionelle Papier-Personalakte. Einige wichtige Aspekte sind im Folgenden herausgegriffen:

Betroffenenrechte

Selbstverständlich sind auch Arbeitnehmer Datensubjekte und können ihre Betroffenenrechte aus der DSGVO wahrnehmen. Gem. Art. 16 DSGVO hat die betroffene Person etwa das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen. Gleiches gilt hinsichtlich unvollständiger Daten. Der Arbeitgeber muss daher tätig werden, sollte ein Arbeitnehmer dieses Recht wahrnehmen.

Auch das Auskunftsrecht gem. Art. 15 DSGVO kann der Arbeitnehmer wahrnehmen. Er kann demnach über die zu seiner Person gespeicherten Daten Auskunft verlangen. Dies umfasst auch die Mitteilungen über die Herkunft und Empfänger der Daten. Dem Arbeitnehmer dürfen hierfür keine Kosten entstehen.

Beteiligungsrechte des Betriebsrats

Dem Betriebsrat steht nach § 87 Abs. 1 Nr. 6 BetrVG ein Mitbestimmungsrecht bei der Einführung und Anwendungen von technischen Einrichtungen zu, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Hierunter kann auch eine elektronische Personalakte fallen. Obgleich dies bislang umstritten ist, empfiehlt es sich in jedem Fall, den Betriebsrat einzubinden.

Des Weiteren hat der Arbeitgeber den Betriebsrat gemäß § 92 Abs. 1 BetrVG über die Personalplanung, insbesondere über den gegenwärtigen und künftigen Personalbedarf, sowie über die sich daraus ergebenden personellen Maßnahmen und Maßnahmen der Berufsbildung anhand von Unterlagen rechtzeitig und umfassend zu unterrichten sowie Art und Umfang der erforderlichen Maßnahmen mit dem Betriebsrat zu beraten.

Gesetzliche Vorgaben zu Schriftform und Originaldokumenten

Bei aller Digitalisierung darf nicht vergessen werden, dass bei bestimmten Unterlagen gesetzliche Verpflichtungen bestehen, diese im Original aufzubewahren bzw. ein Schriftformerfordernis besteht. Dies gilt u.a. für sozialversicherungsrechtliche Nachweise. Nach § 28a Abs. 2 S. 1 SGB IV hat der Arbeitgeber für jeden Beschäftigten, getrennt nach Kalenderjahren, Lohnunterlagen in deutscher Sprache zu führen und bis zum Ablauf des auf die letzte Prüfung folgenden Kalenderjahres im Original geordnet aufzubewahren.

Im Übrigen sollten auf jeden Fall wichtige arbeitsrechtliche Dokumente wegen vorgeschriebener Schriftform (insbesondere Kündigungen, Aufhebungsverträge oder nachvertragliche Wettbewerbsverbote) in Papierform aufbewahrt werden. Damit kann im Streitfall der Beweis über die formelle Wirksamkeit geführt werden.

Mögliche Aufbewahrungsfristen und Löschfristen bei Personalakten

Bei der Führung von Personalakten stellt sich die Frage, wie lange diese nach Beendigung des Arbeitsverhältnisses aufbewahrt werden dürfen. Grundsätzlich gilt im Datenschutz, dass personenbezogene Daten, deren Speicherung nicht mehr erforderlich ist, gelöscht werden müssen. Diesem generellen Grundsatz und der allgemeinen Regelung des § 26 Abs. 1 S. 1 BDSG stehen allerdings eine Vielzahl arbeitsrechtlicher und sonstiger Regelungen entgegen, welche vorrangig zu beachten sind.

Es ist hier zunächst jedem Arbeitgeber zu empfehlen, eine Personalakte für mindestens drei Jahre aufzubewahren (regelmäßige Verjährungsfrist gem. § 195 BGB). So lange kann ein ehemaliger Arbeitnehmer noch Ansprüche geltend machen. Er kann zum Beispiel Schadenersatzansprüche stellen oder ein Arbeitszeugnis einfordern. Es sollten dabei auch unbedingt diejenigen Dokumente in analoger Form aufbewahrt werden, für die das Gesetz die Schriftform vorsieht.

Eine einheitliche Aufbewahrungsfrist für die gesamte Personalakte gibt es nicht. Es kommt immer auf die in ihr enthaltenen Dokumente an. Im Folgenden sind typische Fälle aufgelistet:

Steuerrecht (§ 41 EStG)

• Belege für den Lohnsteuerabzug sind sechs Jahre lang aufzubewahren
• Unterlagen, die für die betriebliche Gewinnermittlung relevant sind, sind zehn Jahre aufzubewahren (z.B. Lohnlisten, Lohnsteuerdokumente, Jahresabschlüsse)

Sozialversicherungsrecht (§ 165 SGB VII)

• Lohnnachweise über die Arbeitsstunden und das an den Arbeitnehmer geleistete Entgelt müssen fünf Jahre aufbewahrt werden

Hinsichtlich sensibler Gesundheitsdaten gilt, dass diese nicht länger als nötig aufbewahrt werden sollten. So sollten etwa Krankheitsdaten von Arbeitnehmern nach einem Jahr gelöscht werden (Ausnahme: Die Fehlzeiten übersteigen sechs Wochen).

Weitergabe der Personalakte bei Betriebsübergang

Bei einem Betriebsübergang werden in aller Regel die Personalakten der Mitarbeiter vom Betriebserwerber übernommen. Mit Betriebsübergang tritt der Erwerber an die Stelle des bisherigen Arbeitgebers. Eine Übergabe der Personalakten an ihn dürfte damit als gem. § 26 Abs. 1 S. 1 BDSG erforderlich anzusehen sein. Der neue Arbeitgeber benötigt Zugang zu Informationen, wie etwa Zeugnissen, Lebensläufen und Weiterbildungen, damit er in der Lage ist, die Arbeitnehmer richtig einzusetzen und Gehalt zu zahlen. Zu beachten ist, dass der alte Arbeitgeber auch nach Übermittlung der Daten an den neuen Arbeitgeber die gesetzlichen Aufbewahrungsfristen beachten muss.

Demgegenüber ist eine Übermittlung der Personalakte oder einzelner personenbezogener Daten vor Betriebsübergang regelmäßig unzulässig. Der Datenschutz steht hier dem Interesse des Erwerbers entgegen, schon vor Betriebsübergang Einsicht in die Personalakten zu erhalten. Dies wäre lediglich mit Einwilligung der Betroffenen möglich. Andernfalls wäre höchstens eine Übermittlung anonymisierter Daten denkbar.

Entfernen einer Abmahnung mit dem Recht auf Löschung aus der DSGVO

Unter Umständen kann Arbeitnehmern, welche eine Abmahnung in ihrer Personalakte haben, der Datenschutz zur Seite stehen. Es ist denkbar, dass neben dem „klassischen“ Anspruch auf Entfernung einer Abmahnung aus der Personalakte gem. §§ 242, 1004 BGB analog auch der datenschutzrechtliche Löschungsanspruch gem. Art. 17 DSGVO greifen könnte. Das LAG Sachsen-Anhalt hat etwa entschieden, dass nach Beendigung des Arbeitsverhältnisses der Zweck der Abmahnung (Warnfunktion, Kündigungsmöglichkeit) entfallen sei und ein Löschanspruch demnach besteht. Eine höchstrichterliche Klärung steht diesbezüglich allerdings noch aus.

Damit hätten Betroffene eine Rechtsschutzmöglichkeit hinzugewonnen, da bisher bei beendeten Arbeitsverhältnissen der Anspruch gem. §§ 242, 1004 BGB analog nur in Ausnahmefällen gewährt wurde (wenn objektive Anhaltspunkte dafür bestehen, dass die Abmahnung dem Arbeitnehmer weiterhin schaden kann).

Bei bestehenden Arbeitsverhältnissen kann ein Arbeitnehmer grundsätzlich die Entfernung sowohl einer rechtmäßigen als auch einer rechtswidrigen Abmahnung aus seiner Personalakte mit dem „klassischen“ Anspruch erreichen. Ein Anspruch gem. Art. 17 DSGVO wäre gegeben, wenn die Speicherung der Abmahnung nicht mehr erforderlich wäre. Da für die Frage der Erforderlichkeit der Abmahnung für das Arbeitsverhältnis auf Kriterien zurückgegriffen wird, die die Rechtsprechung bereits zu §§ 242, 1004 BGB analog entwickelt hat, hat der datenschutzrechtliche Löschungsanspruch insoweit keine geringeren Anforderungen als die zivilrechtlichen. Datenschutzrechtlich drohen jedoch umfassendere Rechtsfolgen, wie das Beschwerderecht des Betroffenen gem. Art. 77 DSGVO, Schadensersatzansprüche gem. Art. 82 DSGVO sowie ein Bußgeld gem. Art 83 Abs. 5 DSGVO. Es empfiehlt sich daher regelmäßig zu prüfen, ob eine Abmahnung noch in der Personalakte des jeweiligen Arbeitnehmers verbleiben darf.

Den Datenschutz der Personalakte nicht vernachlässigen

Die Personalakte ist auf Grund ihrer Natur ein datenschutzrechtlich nicht zu vernachlässigender Faktor für eine umfassende Datenschutz-Compliance innerhalb des Unternehmens. Wegen der Vielzahl an personenbezogenen Daten, die sie typischerweise enthält, muss hier genau auf Sicherheit, Berechtigungen und den erforderlichen Inhalt geschaut werden. Der Fall „H&M“ macht hier noch einmal deutlich, dass die Aufsichtsbehörden beim Thema Arbeitnehmerdatenschutz mitunter keinen Spaß verstehen. Digitale Systeme bieten hier mitunter Vorteile, da bestimmte Vorgaben, wie die Einhaltung von Aufbewahrungspflichten, einfacher eingehalten werden können. Gleichwohl gilt der Datenschutz auch bei Personalakten in Papierform.

Wer länger, bedingt durch Krankheit abwesend war, hat den Anspruch auf die Durchführung eines betrieblichen Eingliederungsmanagements (BEM). Dadurch soll u.a. der Wiedereinstieg erleichtert und krankheitsbedingte Bedürfnisse an den Arbeitsplatz sowie das Arbeitsumfeld angepasst werden. Der folgende Beitrag soll ein Überblick über die datenschutzrechtlichen Anforderungen geben.

Rechtsgrundlage bestimmen

Der wichtigste Grundsatz im Rahmen eines BEM-Verfahrens ist, die freiwillige Teilnahme eines Beschäftigten an diesem Verfahren, denn das Gesetz spricht in § 167 Abs. 2 S. 1 SGB IX davon, dass das Verfahren „mit Zustimmung und Beteiligung der betroffenen Person“ erfolgen muss.

Da es sich beim BEM auch um eine Datenverarbeitung handelt, ist es erforderlich, dass eine Ermächtigungsgrundlage gegeben ist. In Frage kommen:

• die Betriebsvereinbarung oder
• die schriftliche Einwilligung der betroffenen Person.

Betriebsvereinbarung

Soll die Betriebsvereinbarung als Ermächtigungsgrundlage fungieren, so muss diese die Grundsätze der DSGVO einhalten; insbesondere Art. 5 DSGVO zur Verarbeitung personenbezogener Daten muss hierbei beachtet werden. Allerdings kann die rechtliche Aussagekraft einer solchen Vereinbarung in Bezug auf die Anforderungen der DSGVO in der Praxis nur schwer nachgewiesen werden.

Einwilligung der betroffenen Person

Als gesetzliche Ermächtigungsgrundlage kommt die Einwilligung nach Art. 6 Abs. 1 lit. a) iVm. § 26 Abs. 2 BDSG in Frage.

Eine Einwilligungserklärung muss immer freiwillig sein. Das bedeutet in der Praxis, dass der Arbeitnehmer genau darüber aufgeklärt wird, welche Daten für das BEM und wie diese verarbeitet werden.

Der Zweckbindungsgrundsatz besagt außerdem, dass Daten nur „für festgelegte, eindeutige und legitime Zwecke erhoben werden“ und „nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden“ dürfen, Art. 5 Abs. 1 lit. b DSGVO. Gemäß diesem Grundsatz müssen die Zwecke der Datenerhebung im Rahmen eines BEM-Verfahrens genauestens angegeben werden.

Die BEM-Akte

Wenn der betroffene Mitarbeiter in die Durchführung des BEM-Prozesses eingewilligt hat, muss eine von der Personalakte getrennte BEM-Akte angelegt werden.

Grund dafür ist, dass während des BEM-Prozesses sogenannte besonders schutzwürdige (Gesundheits-)Daten erhoben werden. Grundsätzlich ist gemäß Art. 9 Abs. 1 DSGVO die „Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“ untersagt.

Allerdings werden unter Art. 9 Abs. 2 DSGVO besondere Umstände definiert, nach denen eine Ausnahme zulässig ist, zu welchen auch die Durchführung eines BEM-Verfahrens gehört.

Wegen der Aufbewahrung und Nutzung dieser sensiblen und besonders schutzwürdigen Daten, gelten für die BEM-Akte hohe Anforderungen. Im Wesentlichen sind folgende Punkte zu beachten:

• Gesundheitsdaten aus der BEM-Akte dürfen nicht in die Personalakte übernommen werden
• BEM-Akte ist räumlich und funktional von der Personalakte getrennt aufzubewahren.
• Daten, die als Nachweis über das ordnungsgemäße BEM-Verfahren gelten, dürfen in die Personalakte übernommen werden: Zeitpunkt des BEM-Angebots sowie dessen Ergebnis; Angabe von konkreten Maßnahmen, die angeboten und umgesetzt wurden.
• Zugriff auf BEM-Akte ausschließlich für fest definierte und limitierte Personenzahl
• BEM-Akte wird in separat zu verschließendem Schrank aufbewahrt, der sich im Sicherheitsbereich eines BEM-Verantwortlichen befindet
• Zugriff auf BEM-Akte wird mit Datum und Unterschrift protokolliert

Kündigung

Die erhobenen Daten des BEM-Verfahrens dürfen nur für die in der Einwilligungserklärung festgelegten Zwecke genutzt werden.

Die erhobenen Gesundheitsdaten dürfen nicht dafür genutzt werden, um eine anschließende Kündigung vorzubereiten. Es darf in Kündigungsbegründung lediglich angeben werden, dass ein BEM-Prozess erfolgt ist, ohne jedoch auf die genauen Inhalte der BEM-Akte zuzugreifen.

Für die Wirksamkeit einer Kündigung ist das BEM keine formelle Voraussetzung. Allerdings muss ein solches vor einer krankheitsbedingten Kündigung erfolgen, weil ein BEM den Verhältnismäßigkeitsgrundsatz konkretisiert. Während der Durchführung eines BEM soll geprüft werden, ob mildere Mittel als eine Kündigung des Arbeitsverhältnisses bestehen.

Aufbewahrungsfrist der BEM-Akte

Die Aufbewahrungsfrist im Sinne der DSGVO entfällt nach dem Zeitpunkt, an dem der Zweck der Datenspeicherung endet. Ist ein BEM-Verfahren beendet, entfällt auch der Zweck für die BEM-Akte.

In der Praxis hat sich jedoch die folgende Handhabung bewährt:

• BEM-Verfahren wurde angenommen und durchgeführt:
  Die Akte wird ab der Beendigung des Verfahrens für drei Jahre aufbewahrt.
• BEM-Verfahren wird angeboten und abgelehnt bzw. die Einwilligung widerrufen:
  Die BEM-Akte wird umgehend gelöscht. In der Personalakte sind lediglich die notwendigen Nachweise über das ordnungsgemäße Anbieten des BEM-Verfahrens gespeichert.

Datenschutzhinweise nicht vergessen

Wie bereits in einem vorherigen Beitrag erläutert ist es wichtig, dass der Arbeitnehmer stets darüber informiert wird, was mit seinen Daten passiert und wie diese verarbeitet werden. Es ist darauf zu achten, dass Datenschutzhinweise vollumfänglich den BEM-Prozess korrekt wiederspiegeln. Gerade für den Arbeitgeber können sich gravierende Folgen ergeben, wenn die Datenschutzhinweise nicht vollständig oder falsch sind. Weil im BEM-Verfahren, äußerst sensible Daten, wie Gesundheitsdaten verarbeitet werden, sind die schützenswerten Interessen des Arbeitnehmers mithilfe der Einwilligung und deren Freiwilligkeit umzusetzen.

Komplexer Prozess, aber notwendig

Der Kündigung als „Ultima Ratio“ soll ein BEM-Prozess vorgehen. Um Risiken zu vermeiden ist es wichtig, dass die DSGVO-Anforderungen ernst genommen und dementsprechend umgesetzt werden. Neben der Einwilligung zur Teilnahme am BEM, ist auch die Einwilligung in die Datenverarbeitung für den BEM-Prozess einzuholen. Weiterhin ist der Arbeitnehmer über die Verarbeitung der Daten zu informieren durch vollständige Datenschutzhinweise.

Die unrechtmäßige Verarbeitung von Gesundheitsdaten stellt nicht nur einen Datenschutzverstoß dar, sondern kann auch zu arbeitsrechtlichen Konsequenzen führen. So sah das LAG Baden-Württemberg mit Urteil vom 25.03.2022 (Az. 7 Sa 63/21) die fristlose Kündigung eines Betriebsrats wegen der unbefugten Veröffentlichung von Gesundheitsdaten als wirksam an.

Verstoß gegen Datenschutzrecht als Kündigungsgrund

Der Kläger war seit September 1997 bei der Beklagten beschäftigt und seit 2006 Mitglied des Betriebsrats.

Gegenstand des vorliegenden Verfahrens ist die Wirksamkeit einer außerordentlichen Kündigung aufgrund der unbefugten Veröffentlichung von Gesundheitsdaten und der damit einhergehenden Persönlichkeitsverletzung der von der Veröffentlichung betroffenen Personen. Begründet wurde die Kündigung mit einem Verstoß gegen Bestimmungen des Datenschutzrechts. Der Kläger hatte Prozessakten aus einem vorherigen Kündigungsschutzverfahren zwischen den Parteien, insbesondere Schriftsätze der Beklagten, veröffentlicht, indem er einem größeren Verteilerkreis innerhalb des Betriebs mittels Dropbox Zugriff auf die Dokumente einräumte. Die Schriftsätze enthielten auch Gesundheitsdaten weiterer Mitarbeiter der Beklagten, die dort eindeutig benannt waren.

Der Kläger sah in seinem Verhalten keinen Datenschutzverstoß. Nach seiner Auffassung bestehe keine Geheimhaltungsverpflichtung im Hinblick auf Prozessakten. Auch habe er unter Berücksichtigung von Art. 2 Abs. 2 lit. c DSGVO ausschließlich im Rahmen „persönlicher oder familiärer Tätigkeiten“ gehandelt. Zudem habe er ein berechtigtes Interesse daran gehabt zu dem Fall Stellung zu nehmen und entsprechend zu informieren.

Das zuvor mit der Sache befasste Arbeitsgericht hatte den vom Kläger gestellten Kündigungsschutzantrag abgewiesen. Es war der Auffassung, dass der Kläger mit der Veröffentlichung weiter Teile der Prozessakten durch die Zurverfügungstellung eines Dropbox-Links in rechtswidriger Weise gegen datenschutzrechtliche Bestimmungen verstoßen hat (Arbeitsgericht Stuttgart – Az 25 Ca 1048/19, Urteil vom 04.08.2021).

Entscheidung des LAG Baden-Württemberg

Die vom Kläger beim Landgericht eingelegte Berufung gegen die Abweisung des Kündigungsschutzantrags blieb ohne Erfolg. Dies ergibt sich aus einer Pressemitteilung des LAG:

„Wer im Rahmen eines von ihm angestrengten Gerichtsverfahrens bestimmte Schriftsätze der Gegenseite, in denen Daten, insbesondere auch besondere Kategorien personenbezogener Daten (Gesundheitsdaten), verarbeitet werden, der Betriebsöffentlichkeit durch die Verwendung eines zur Verfügung gestellten Links offenlegt und dadurch auch die Weiterverbreitungsmöglichkeit eröffnet, ohne dafür einen rechtfertigenden Grund zu haben, verletzt rechtswidrig und schuldhaft Persönlichkeitsrechte der in diesen Schriftsätzen namentlich benannten Personen mit der Folge, dass vorliegend die außerordentliche Kündigung der Beklagten gerechtfertigt ist. Die Wahrnehmung berechtigter Interessen des Klägers lag jedenfalls insofern nicht vor, als die Entscheidungsgründe des Urteils des Arbeitsgerichts am Tage der Zurverfügungstellung des Links noch nicht vorlagen und dem Kläger auch noch die Möglichkeit offenstand, gegen das Urteil das Rechtsmittel der Berufung einzulegen, um in diesem Verfahren seinen Standpunkt darzulegen.“

Strenge Anforderung an die Verarbeitung von Gesundheitsdaten

Die Verarbeitung von Gesundheitsdaten unterliegt strengen Anforderungen. Gesundheitsdaten gehören nach Art. 9 DSGVO zu den besonderen Kategorien personenbezogener Daten. Solche Daten unterliegen aufgrund ihrer Sensibilität und den besonderen Risiken, die sich aus ihrer Verarbeitung ergeben können, erhöhten Schutzanforderungen. Die Verarbeitung solcher Datenkategorien setzt stets eine Rechtsgrundlage voraus, die sich aus Art. 9 DSGVO oder auch aus speziellen Vorschriften bspw. des Bundesdatenschutzgesetzes ergeben kann.

Nach Art. 9 Abs. 2 lit. f DSGVO dürfen personenbezogene Daten u.a. dann verarbeitet werden, wenn die Verarbeitung zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist. Die Verfolgung, Durchsetzung und Verteidigung von Rechtsansprüchen wird von der DSGVO als ein berechtigtes Interesse anerkannt, das prinzipiell auch eine Verarbeitung von besonderen Datenkategorien legitimieren kann. Allerdings unter der Voraussetzung, dass die Informationen in Bezug auf die konkreten Ansprüche bzw. Rechte für die gerichtliche Entscheidungsfindung notwendig sind.

Bisher liegt nur die Presseerklärung des LAG vor, die ausführlichen Urteilsgründe bleiben abzuwarten. Denn welchen Umfang die Daten genau haben bzw. wie die Konstellation der veröffentlichten Daten konkret ausgestaltet ist, geht aus der Presseerklärung nicht hervor. Allerdings dürfte es schwierig sein, für die Veröffentlichung von Gesundheitsdaten der eigenen Kollegen innerhalb des Betriebs – und das auch noch über einen Dropbox-Link – eine Rechtsgrundlage ausfindig zu machen. Eine Anwendung des Art. 9 Abs. 2 lit. f DSGVO für die in Rede stehende Veröffentlichung kommt jedenfalls nicht in Betracht, da es dem Kläger vorliegend nicht um die Rechtsdurchsetzung im Rahmen des Prozesses, sondern um die Darstellung seines Standpunkts innerhalb des Betriebs ging.

Stets die datenschutzrechtlichen Grundsätze im Blick behalten

Die wirksame fristlose Kündigung eines langjährigen Betriebsratsmitglieds ist außergewöhnlich, die Umstände jedoch auch. Was bleibt ist ein offensichtlicher Schluss; Die Grundsätze für die Verarbeitung personenbezogener Daten sind stets im Blick zu behalten – auch dann, wenn man sich vermeintlich unberechtigten Vorwürfen gegenübersieht und dazu Stellung beziehen möchte.

Hätte der Kläger bspw. die Interessen der in den Schriftsätzen benannten Personen berücksichtigt und zum Beispiel dafür gesorgt, dass Gesundheitsdaten bzw. Personenbezüge vorher entfernt bzw. unkenntlich gemacht werden, wären die Urteile im Hinblick auf den Vorwurf einer Datenschutzverletzung sicherlich anders bewertet worden.

In Deutschland besteht allgemein das Recht, sich als Arbeitnehmer einer Gewerkschaft anzuschließen. Neue Mitglieder vor Ort durch direkte Ansprache, Flyer oder Mundpropaganda anzuwerben, ist eine Sache. Bequemer und gezielter geht es aber, wenn die Gewerkschaften die betrieblichen E-Mail-Adressen der Beschäftigten nutzen könnten. In diesem Beitrag wird erläutert, ob der Arbeitgeber diese E-Mail-Adresse zu den genannten Zwecken übergeben darf.

Hat die Gewerkschaft einen Anspruch auf Herausgabe der dienstlichen E-Mail-Adresse?

Das Recht zur Bildung und dem Beitreten einer Gewerkschaft ist verfassungsrechtlich in Art. 9 Abs. 3 GG geschützt. Nach einem Urteil des Bundesverfassungsgericht (Az.: 1 BvR 601/92) erstreckt sich der Grundrechtsschutz des Art. 9 Abs. 3 GG über einen Kernbereich hinaus auf alle Verhaltensweisen, die koalitionsspezifisch sind. Hierzu gehört auch die Mitgliederwerbung, sodass diese vom Grundrechtsschutz umfasst wird.

Schon 1967 beschäftigte sich das Bundesarbeitsgericht (Az.: 1 AZR 494/65) mit der Frage, inwieweit der Arbeitgeber es dulden muss, dass Gewerkschaften die Mitarbeitenden in den Betriebsstätten ansprechen. Hierzu führte es aus:

„In den Betriebsräumen spielt sich das Arbeitsleben ab, und dort werden die Leistungen erbracht, für die die Arbeitnehmer tarifvertraglich entlohnt werden. Dort tauchen die Fragen auf, die sich aus der Zusammenarbeit zwischen Arbeitgeber und Arbeitnehmer und aus der Zusammenarbeit der Arbeitnehmer miteinander ergeben. Deshalb gehört es zum Kernbereich der verfassungsrechtlich den Koalitionen zugebilligten Werbe- und Informationsfreiheit, auch und gerade im Betrieb ihre Mitglieder zu informieren und neue Mitglieder zu werben.“

Zu dieser Zeit gab es nun noch keine E-Mail-Kommunikation. Das Urteil muss daher nach dem Sinn und Zweck der Entscheidung auf die heutige Zeit des digitalen Arbeitens und Homeoffice-Arbeitsplätzen übertragen werden. Insoweit spricht vieles dafür, dass Arbeitgeber verfassungsrechtlich verpflichtet sind, an Gewerkschaften die dienstlichen E-Mail-Adressen zum Zwecke der Werbung und Kontaktaufnahme der Arbeitnehmerschaft zu übermitteln.

Ob die betriebliche E-Mail-Adresse ausschließlich zu dienstlichen Zwecken oder auch privat vom Arbeitnehmer genutzt werden darf, ist hier gemäß der Rechtsprechung der Arbeitsgerichte irrelevant.

Darf die Gewerkschaft diese E-Mail-Adresse zur Mitgliederwerbung nutzen?

Diese arbeitsrechtliche Bewertung trifft allerdings keinerlei Aussage darüber, ob die Weitergabe der betrieblichen E-Mail-Adressen vom Arbeitgeber an die Gewerkschaft auch datenschutzrechtlich zulässig ist. Wie immer muss sich die Frage gestellt werden, auf welcher Rechtsgrundlage die Weitergabe und Nutzung der Daten gestützt werden kann.

Art. 9 Abs. 2 DSGVO wegen Gewerkschaftsbezug relevant?

Sobald Datenschützer den Begriff „Gewerkschaft“ hört, klingeln die Alarmglocken. Denn die Gewerkschaftszugehörigkeit fällt gemäß Art. 9 Abs. 1 DSGVO unter die besondere Kategorien personenbezogener Daten. In Absatz 2 werden die verschiedenen Rechtfertigungsgründe für die Datenverarbeitung genannt, deren Voraussetzungen im Vergleich zu Art. 6 Abs. 1 DSGVO wesentlich enger gefasst sind.

Wenn Gewerkschaften E-Mails an Mitglieder versenden, ließe sich hieraus bereits eine Zugehörigkeit zur Gewerkschaft ableiten, weshalb man bei den meisten Gewerkschaftstätigkeiten schnell im Bereich von Art. 9 DSGVO agiert. Insbesondere bei der Risikobewertung einer Datenpanne kann das relevant werden, wenn beispielsweise eine Rundmail in CC anstatt BCC versendet wird, sodass alle Mailempfänger erfahren können, wer Gewerkschaftsmitglied ist.

Wenn eine Gewerkschaft aber unabhängig von der Mitgliedschaft eine E-Mail an alle Mitarbeitende eines Unternehmens sendet, kann die Zugehörigkeit nicht mehr ohne weiteres abgeleitet werden. Dann befindet man sich ausnahmsweise nicht mehr im Bereich von Art. 9 DSGVO, sodass dessen strengen Voraussetzungen nicht beachtet werden müssen.

§ 26 Abs. 1 S. 1 BDSG als Kontext des Arbeitsverhältnisses?

Sobald Mitarbeiterdaten verarbeitet werden, denkt man auch schnell an § 26 Abs. 1 BDSG. Diese deutsche Spezialvorschrift findet hier aber keine Anwendung, da die Gewerkschaftstätigkeit nicht erforderlich für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses ist.

Hier käme mit Blick auf Art. 9 Abs. 3 GG allenfalls die vierte Variante Erfüllung der sich aus einem Gesetz ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten in Betracht. Als Datenschützer bekommt man bei einer derart weiten Auslegung allerdings wohl doch schon Bauchschmerzen. Schließlich wird Art. 9 Abs. 3 GG erst durch das obige Urteil hinsichtlich der möglichen Zwecke der Datenverarbeitung näher konkretisiert.

Art. 6 Abs. 1 lit. c DSGVO: Erfüllung einer Rechtspflicht?

Man könnte zwar meinen, dass es der Erfüllung von Art. 9 Abs. 3 GG dient, wenn Arbeitgeber die dienstlichen Kontaktdaten seiner Mitarbeitenden an Gewerkschaften übermittelt. Allerdings ist diese Rechtsgrundlage sehr eng gefasst und fordert, dass das Gesetz selbst eine bestimmte Form der Datenverarbeitung durch den Verantwortlichen verlangt. Es mangelt hier aber noch an einem solchen Gesetz, wonach Arbeitgeber ausdrücklich für die Datenweitergabe zum Zwecke der Ansprache der Mitarbeitenden durch die Gewerkschaft verpflichtet werden.

Art. 6 Abs. 1 lit. f DSGVO berechtigte Interessen der Gewerkschaft?

Durch die Datenweitergabe erfüllt der Arbeitgeber letztlich die Interessen der Gewerkschaft, einen Zugang zu potentiellen Neumitgliedern zu erhalten. Der Arbeitgeber selbst kommt seinen von den Arbeitsgerichten festgestellten Pflichten nach, den Kontakt zwischen Gewerkschaft und Mitarbeitenden zu ermöglichen.

Diese Drittinteressen der Gewerkschaft müssen mit denen der Arbeitnehmenden an Geheimhaltung abgewogen werden. Zugunsten der Gewerkschaft lässt sich sicherlich einwenden, dass diese ja letztlich Arbeitnehmerinteressen vertreten und diesen helfen wollen. Daher wird auch manch einer sich über die E-Mail der Gewerkschaft freuen und gerne beitreten. Auch ist die betriebliche E-Mail-Adresse nicht so schützenswert, da sie lediglich die berufliche (Sozial-)Sphäre des Einzelnen betrifft. Die Koalitionsfreiheit als verfassungsrechtlich geschütztes Gut kann hierbei auch nicht außer Acht gelassen werden. Die Interessenabwägung fällt hier also grundsätzlich zugunsten der Datenweitergabe aus.

Urteil vom ArbG Bonn zum Versand von E-Mails an Beschäftigte

Das Arbeitsgericht Bonn musste sich in seinem Urteil vom 11.05.2022, Az. 2 Ca 93/2, mit der Frage auseinandersetzen, ob eine Arbeitnehmervereinigung vom Arbeitgeber verlangen kann, dass dieser während der Pandemielage E-Mails an die Beschäftigte versendet, deren Inhalt von der Arbeitnehmervereinigung vorgelegt wurde. Das Gericht verneinte dies, im Wesentlichen aus folgenden Gründen:

• Der Adressatenkreis der E-Mails wurde nicht hinreichend von der Arbeitnehmervereinigung konkretisiert und es sei dem Arbeitgeber mit Blick auf den Arbeitsaufwand nicht zuzumuten, zu prüfen, für wen die Mails überhaupt relevant wären.
• Die Arbeitnehmervereinigung hatte nicht konkretisiert, wie oft diese Mails vom Arbeitgeber zu versenden wären. Im schlimmsten Fall ist daher von einem sehr hohen, unzumutbaren Arbeitsaufwand für den Arbeitgeber auszugehen.
• Der Arbeitgeber bietet der Arbeitnehmervereinigung bereits über die unternehmensinterne, intranetbasierte Kommunikationsplattform eine Möglichkeit, Informationsmaterial und Mitgliederwerbung auf dem bei der Beklagten üblichen Kommunikationsforum zu veröffentlichen.
• Insgesamt wäre die Arbeitnehmervereinigung nicht benachteiligt dadurch, dass die Mitarbeitenden zunehmend nur im Homeoffice arbeiten, da auch vor Ort sich nur Interessierte tatsächlich die Informationen durchlesen würde. Nichts anderes gelte für Massen-E-Mails.

Auf Grund dieser Argumentationen fiel die Interessenabwägung zwischen der Betätigungsfreiheit aus Art. 9 Abs. 3 GG und dem Eigentumsrecht des Arbeitgebers aus Art. 14 Abs. 1 GG zulasten der Arbeitnehmervereinigung aus.

Die ersten beiden Punkten ließen sich vielleicht durch entsprechende Konkretisierungen ausräumen. Der Zugriff auf das Intranet mag sicherlich das stärkste Argument sein, was sich auch gegen die Erforderlichkeit der Datenverarbeitung in Form des E-Mail-Versandes anführen. Damit schiede Art. 6 Abs. 1 DSGVO dann eindeutig als Rechtsgrundlage aus. Allerdings wird ein solcher Zugang zum Intranet nicht bei jeden Arbeitgeber gegeben sein.

Zu meinen, dass die Art der Mitgliederwerbung trotz geänderter Arbeitsweisen sich nicht anpassen müsste, überzeugt nicht. Wenn die digitale Mitgliederwerbung eingeschränkt wird, werden Gewerkschaften langfristig immer weniger Personen erreichen.

Worauf sollten Gewerkschaften achten?

Die Frage der Rechtsgrundlage lässt sich wie gezeigt nicht so leicht klären. Zwar käme Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage grundsätzlich in Betracht. Bei der Interessenabwägung muss aber u.a. die berechtigten Erwartungen der Angesprochenen berücksichtigt werden. So müssen die Informationspflichten, insbesondere hinsichtlich der Herkunft der Daten und dem Widerspruchsrecht erfüllt werden. Letzteres kann beispielsweise durch einen Link zum Abmelden erleichtert werden. Auch sollte sich der Inhalt der E-Mail auf die Mitgliederwerbung beschränken. Werbung für die eigene Rechtsschutzversicherung oder parteipolitische Stellungnahmen zur Bundestagswahl würden negativ in die Interessenabwägung einfließen.

Mitgliederwerbung = Werbung im Sinne des UWG?

Nun könnte man aber überlegen, ob hier nicht eine Form der werblichen Ansprache vorliegt. Werbung … gab es da nicht auch eine Spezialvorschrift? Tatsächlich könnte man an § 7 UWG denken. Dieser regelt, wann es sich bei Werbemaßnahmen um unzumutbare Belästigungen handelt und daher eine Einwilligung benötigt wird. Da sich hieraus der Erwartungshorizont des Betroffenen ableiten lässt, fließen dessen Wertungen in der Interessenabwägung von Art. 6 Abs. 1 lit. f DSGVO daher mittelbar ein. Kurz gesagt: Wenn nach § 7 UWG eine Einwilligung benötigt wird, dann brauche ich diese auch im Datenschutz.

Insbesondere bei Werbemails benötigt man fast immer eine Einwilligung, es sei denn die Voraussetzungen von § 7 Abs. 3 UWG sind kumulativ erfüllt. Dies scheidet hier aber aus, da die Gewerkschaft die Kontaktdaten nicht vom Mitarbeitenden selbst erhalten hat. Danach käme man also durchaus zu dem Ergebnis, dass Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage ausscheidet. Der Arbeitgeber müsste also explizit die Einwilligung der Mitarbeitenden einholen, bevor er deren betriebliche E-Mail-Adresse an die Gewerkschaft aushändigen dürfte.

Dieses Ergebnis dürften Gewerkschaften zu Recht als unbefriedigend erachten und rügen, dass hierdurch die Ausübung der verfassungsrechtlich garantierten Koalitionsfreiheit unterlaufen werde. Daher hatte das bereits das BAG in seinem Urteil vom 31.05.2005, Az. 1 AZR 141/04 entschieden, dass die reine Mitgliederwerbung einer Gewerkschaft keine „Wettbewerbshandlung“ im Sinne des UWG sei. Der Anwendungsbereich des UWG ist demnach nicht eröffnet und § 7 UWG muss daher auch nicht bei der Interessenabwägung in Art. 6 Abs. 1 lit. f DSGVO beachtet werden.

Welche Rechte habe ich als Arbeitnehmer?

Es ist durchaus denkbar, dass Mitarbeitende kein Interesse daran haben, einer Gewerkschaft beizutreten. Die Gründe können vielseitig sein und sind hier auch nicht weiter von Belang. Sie können ihrem Arbeitgeber insoweit vorab ausdrücklich mitteilen, dass sie eine solche Datenweitergabe nicht wünschen.

Falls die Gewerkschaft Sie bereits kontaktiert hat, können Sie sich auch direkt an diese wenden und der weiteren Datenverarbeitung nach Art. 21 DSGVO widersprechen sowie eine Löschung Ihrer Daten gemäß Art. 17 DSGVO wünschen. Falls Sie wissen möchten, welche Informationen der Gewerkschaft über Sie vorliegen, können Sie auch in einem ersten Schritt Auskunft nach Art. 15 DSGVO verlangen. Über den konkreten Umfang der verschiedenen Betroffenenrechte haben wir bereits in unzähligen Beiträgen berichtet.

Dreamteam: Datenschutz und Gewerkschaften

Sowohl der Datenschutz als auch Gewerkschaften machen sich für Arbeitnehmende stark. Wie bei jeder guten Partnerschaft ist es aber notwendig, sich aufeinander abzustimmen. Insoweit müssen auch Gewerkschaften die Vorgaben der DSGVO beachten. Interne oder externe Datenschutzbeauftragte können hierbei helfen.