Unabhängig vom Geschäftszweck verarbeiten Unternehmen in aller Regel immer personenbezogene Daten von Beschäftigten. Der Fokus vieler Unternehmen liegt allerdings oftmals auf außenwirksamen Themen wie der Website, den Projekten mit Kund:innen oder den Verträgen mit Geschäftspartner:innen. Dabei wird nicht selten vergessen, dass auch der Blick nach innen wichtig ist.
Wir erläutern Ihnen daher in diesem Beitrag die grundlegenden Bestimmungen im Bereich Beschäftigtendatenschutz und zeigen auf, welche Maßnahmen nötig sind, um auch die personenbezogenen Daten Ihrer Beschäftigten wirksam zu schützen.
Der rechtliche Rahmen
Die Verarbeitung von Beschäftigtendaten unterliegt grundsätzlich den allgemeinen Bestimmungen der Datenschutz-Grundverordnung (DSGVO). Das bedeutet erst einmal: Es bedarf einer Rechtsgrundlage, um personenbezogene Daten von Beschäftigten rechtmäßig verarbeiten zu dürfen.
Art. 88 DSGVO beinhaltet allerdings eine sogenannte Öffnungsklausel. Das bedeutet, dass der EU-Gesetzgeber an dieser Stelle ganz bewusst eine Lücke offen gelassen hat, damit die EU-Mitgliedstaaten eigene Regelungen für die Verarbeitung von Beschäftigtendaten innerhalb dieser Lücke treffen können. Deutschland hat diese Lücke mit dem § 26 Bundesdatenschutzgesetz (BDSG) gefüllt. In diesem werden insbesondere spezifische Rechtsgrundlagen für die Verarbeitung von Beschäftigtendaten normiert.
Der Begriff der „Beschäftigten“ ist in § 26 Abs. 8 BDSG im Übrigen klar definiert. Als Beschäftigte sind, neben den typischen Arbeitnehmer:innen, unter anderem Bewerber:innen, Auszubildende, Absolvent:innen des Bundesfreiwilligen- oder Jugendfreiwilligendienstes sowie auch arbeitnehmerähnliche Personen einzuordnen.
Die Regelungen des § 26 BDSG gelten zudem auch für solche Datenverarbeitungen, die nicht in einem Dateisystem gespeichert sind oder werden sollen (§ 26 Abs. 7 BDSG) und gehen in dieser Hinsicht somit sogar über die DSGVO hinaus.
So viel zum rechtlichen Rahmen des Beschäftigtendatenschutzes. Wann aber dürfen Sie personenbezogenen Daten Ihrer Beschäftigten verarbeiten?
Begründung, Durchführung und Beendigung von Beschäftigtenverhältnissen
26 Abs. 1 S. 1 BDSG normiert die für Datenverarbeitungen im Beschäftigungsverhältnis wichtigste Rechtsgrundlage:
„Personenbezogene Daten von Beschäftigten dürfen für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich ist.“
Wann immer also eine Datenverarbeitung tatsächlich notwendig ist, um das Beschäftigungsverhältnis zu begründen, durchzuführen oder zu beendigen, ist diese Datenverarbeitung gem. § 26 Abs. 1 S. 1 BDSG auch legitimiert. Klingt erst einmal einfach.
In der Praxis gibt es trotzdem manchmal Streitpunkte, ob § 26 Abs. 1 S. 1 BDSG für bestimmte Datenverarbeitungen herangezogen werden kann. Der Knackpunkt ist dann in den überwiegenden Fällen das Wort „erforderlich“, welches in der Regelung enthalten ist. Denn das Wort „erforderlich“ signalisiert in diesen Fällen die Notwendigkeit einer Verhältnismäßigkeitsprüfung. Die zu legitimierende Datenverarbeitung muss also nicht nur der Begründung, Durchführung und Beendigung von Beschäftigungsverhältnissen dienen, sondern auch das sog. mildeste Mittel darstellen, um diese Zwecke zu erfüllen. Das bedeutet, es darf keine gleich geeigneten, weniger beeinträchtigenden Mittel der Datenverarbeitung geben, um denselben Zweck zu erreichen. Zudem dürfen auch die Interessen der Beschäftigten als betroffene Personen nicht überwiegen.
Beispiel:
Zur Begründung eines Beschäftigungsverhältnisses ist es in aller Regel erforderlich, den Lebenslauf sowie ggf. ein persönliches Anschreiben der betroffenen Person zu verarbeiten. § 26 Abs. 1 S. 1 BDSG dient daher als einschlägige Rechtsgrundlage für diese Datenverarbeitung.
Nicht erforderlich ist im Rahmen des Recruitings jedoch regelmäßig die Abfrage von Sozialversicherungsinformationen, Steuerinformationen oder der Kirchenzugehörigkeit. § 26 Abs. 1 S. 1 BDSG ist – auf der Stufe des Recruitings – daher (noch) nicht einschlägig.
Erforderlich wird eine solche Datenverarbeitung aber dann, wenn es zur Einstellung der betroffenen Person kommt. Erst dann ist § 26 Abs. 1 S. 1 BDSG wieder die einschlägige Rechtsgrundlage für diese Datenverarbeitung.
Die Einwilligung im Beschäftigtendatenschutz
Ist die Datenverarbeitung nicht gem. § 26 Abs. 1 S. 1 BDSG erforderlich, so kann in bestimmten Fällen auch die Einwilligung der Beschäftigten für die Legitimation einer Datenverarbeitung eingeholt werden (§ 26 Abs. 2 BDSG). Dabei gelten grundsätzlich dieselben Anforderungen an die Einwilligung nach Art. 4 Nr. 11, 7 DSGVO. Hierbei sind allerdings die Besonderheiten im Beschäftigungsverhältnis zu beachten. So gelten aufgrund der Abhängigkeit zwischen den Beschäftigten und dem Arbeitgeber besondere Anforderungen an die Freiwilligkeit einer Einwilligung. Gemäß § 26 Abs. 2 S. 2 BDSG kann eine freiwillige Einwilligung im Beschäftigungskontext insbesondere dann angenommen werden,
„wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen“.
Eine Einwilligung ist deshalb besonders für die Legitimation von Datenverarbeitungen in Bezug auf zusätzliche Sonderleistungen, wie beispielsweise die Bereitstellung eines betrieblichen Gesundheitsmanagements oder die Verteilung von Geburtstagsgeschenken im Unternehmen relevant.
Sobald mit der Datenverarbeitung allerdings negative Folgen für die Beschäftigten einhergehen könnten, wird man in aller Regel nicht von einer freiwilligen Einwilligung ausgehen können; § 26 Abs. 2 BDSG ist dann folglich nicht anwendbar. Beschäftigte können daher beispielsweise nicht wirksam darin einwilligen, dass Sie von der im Unternehmen implementierten Videoüberwachung erfasst werden.
Verarbeitung von besonders sensiblen Daten im Beschäftigtenverhältnis
Im Beschäftigungsverhältnis können auch besonders schützenswerte Kategorien personenbezogener Daten anfallen, wie beispielsweise Gesundheitsdaten. Auch für die Verarbeitung solcher Daten hält der § 26 BDSG eine Rechtsgrundlage bereit. Gem. § 26 Abs. 3 S. 1 BDSG können besondere personenbezogene Daten dann verarbeitet werden, wenn die Datenverarbeitung
„zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt.“
26 Abs. 3 S. 2 BDSG stellt darüber hinaus klar, dass sich auch Einwilligungen von Beschäftigten (sofern gültig, s.o.) auf die Verarbeitung besonderer personenbezogener Daten beziehen können.
Datenverarbeitung zur Aufdeckung von Straftaten
In besonderen Situationen können personenbezogene Daten von Beschäftigten auch zum Zweck der Aufdeckung von Straftaten verarbeitet werden.
„Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.“ (§ 26 Abs. 1 S. 2 BDSG)
Die Voraussetzungen für eine solche Verarbeitung sind relativ eng und vom Gesetz schon ziemlich konkret vorgegeben. So ist eine Datenverarbeitung zur Aufdeckung von Straftaten erlaubt, wenn
- ein Verdacht besteht, der durch tatsächliche Anhaltspunkte begründet wird,
- dieser Verdacht hinreichend dokumentiert worden ist,
- es sich um eine im Beschäftigungsverhältnis begangene Straftat handelt, die durch die Datenverarbeitung aufgedeckt werden soll,
- die Datenverarbeitung zur Aufdeckung der Straftat erforderlich ist und
- keine schutzwürdigen Interessen der betroffenen Person überwiegen.
In der Praxis ist es in solchen Fällen wichtig, eine differenzierte Interessenabwägung durchzuführen. Zudem ist immer zu prüfen, ob der Zweck (die Aufdeckung der Straftat) auch mit milderen Mitteln zu erreichen ist. Je stärker der Verdacht und je schwerwiegender die vermutete Straftat, desto eingriffsintensiver können grundsätzlich die Mittel sein, die zur Aufdeckung der Straftat genutzt werden. Das bedeutet im Umkehrschluss allerdings auch, dass es bei Bagatelldelikten kaum Spielraum für entsprechende Datenverarbeitung gibt. Interne Untersuchungen oder die Einführung von Systemen zur Aufdeckung von Straftaten sollten daher in jedem Fall gemeinsam mit dem oder der Datenschutzbeauftragten geprüft werden. Ist im Unternehmen ein Betriebsrat vorhanden, ist dieser darüber hinaus ebenfalls einzubinden.
Legitimation durch Kollektivvereinbarungen
Die Erlaubnis zur Datenverarbeitung im Beschäftigungskontext kann sich auch aus Kollektivvereinbarungen ergeben. § 26 Abs. 4 BDSG regelt hierzu:
„Die Verarbeitung personenbezogener Daten, einschließlich besonderer Kategorien personenbezogener Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses, ist auf der Grundlage von Kollektivvereinbarungen zulässig. 2 Dabei haben die Verhandlungspartner Artikel 88 Absatz 2 der Verordnung (EU) 2016/679 zu beachten.“
Als Kollektivvereinbarung in diesem Sinne gelten insbesondere Betriebsvereinbarungen, Dienstvereinbarungen sowie Tarifverträge. Werden in solchen Vereinbarungen Prozesse geregelt, bei denen auch personenbezogene Daten verarbeitet werden (z.B. eine Vereinbarung zur Nutzung von E-Mail und Internet im Unternehmen), so kann im Rahmen der Vereinbarung auch geregelt werden, dass die einhergehende Datenverarbeitung zulässig ist. Die Kollektivvereinbarung stellt dann selbst die entsprechende Rechtsgrundlage zur Datenverarbeitung dar, sofern sie hinreichend bestimmt ist und inhaltlich den Anforderungen der DSGVO entspricht.
Weitere Informationen dazu, inwiefern Kollektivvereinbarungen als Rechtsgrundlage dienen können, finden Sie auch in unserem Beitrag zum Thema Betriebsrat und Datenschutz.
Was, wenn keine Rechtsgrundlage aus § 26 BDSG passt?
Was passiert nun aber, wenn keine der Rechtsgrundlagen aus § 26 BDSG für Ihren Fall anwendbar ist? Ist ein Rückgriff auf die in Art. 6 Abs. 1 DSGVO genannten Erlaubnistatbestände möglich?
Diese Frage ist umstritten. Eine Ansicht geht davon aus, dass der § 26 BDSG neben dem Art. 6 Abs. 1 DSGVO anwendbar ist. Liegt kein Erlaubnisgrund aus § 26 BDSG vor, könnte demnach eine Rechtsgrundlage aus Art. 6 Abs. 1 DSGVO herangezogen werden.
Andere Ansichten gehen jedoch davon aus, dass der § 26 BDSG die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis abschließend regelt. Dann wiederum kann bei Fehlen eines Erlaubnisgrundes aus § 26 BDSG kein Rückgriff auf Art. 6 Abs. 1 DSGVO erfolgen.
Ausblick
Gegebenenfalls müssen wir uns allerdings demnächst keine Gedanken mehr um die parallele Anwendung von § 26 BDSG und Art. 6 Abs. 1 DSGVO machen. Denn der Europäische Gerichtshof hat aktuell ein Vorabentscheidungsverfahren (Rs. C-34/21) vorliegen, in welchem es um die Bewertung der Rechtsgrundlage aus § 23 des Hessischen Datenschutz- und Informationsfreiheitsgesetzes (HDSIG) geht. Der § 23 HDSIG ist dabei nahezu gleichlautend wie der § 26 BDSG. Der Generalanwalt vertritt dabei in seinen Schlussanträgen die Ansicht, dass der § 23 HDSIG keine spezielle Rechtsvorschrift darstellt, die die Öffnungsklausel des Art. 88 DSGVO ausfüllt. § 23 HDSIG, sei „irrelevant bzw. überflüssig“, sodass auch im Beschäftigungskontext nur die Erlaubnistatbestände aus Art. 6 Abs. 1 DSGVO Anwendung finden. Sollte sich der EuGH im abschließenden Urteil dieser Ansicht anschließen, wird sicherlich zu diskutieren sein, ob die Einordnung unmittelbar auch auf § 26 BDSG zu übertragen ist.
Parallel dazu beschäftigt sich der nationale Gesetzgeber schon seit längerer Zeit mit einem einheitlichen Beschäftigtendatenschutzgesetz – bisher allerdings ohne wirkliches Ergebnis. Ein interdisziplinärer Beirat, der die Notwendigkeit eines separaten Beschäftigtendatenschutzgesetzes prüfen sollte, kam im Januar 2022 lediglich zu dem Ergebnis, dass die Schaffung eines einheitlichen Gesetzes notwendig sei. Diesem Ergebnis schloss sich auch die Datenschutzkonferenz, also der Zusammenschluss aller Datenschutz-Aufsichtsbehörden in Deutschland, an und forderte den Gesetzgeber explizit auf, ein eigenständiges Beschäftigtendatenschutzgesetz zu schaffen. Passiert ist jedoch bis dato nichts.
Im Bereich des Beschäftigtendatenschutzes bleibt es also auch in Zukunft spannend. Es ist damit zu rechnen, dass sowohl durch den EuGH, als auch gegebenenfalls durch den nationalen Gesetzgeber neue Regelungen geschaffen werden, die den Umgang mit personenbezogenen Daten im Beschäftigungsverhältnis regeln. Wir halten Sie auf dem Laufenden!
Fazit: Wichtig für Ihre Praxis
Stellen Sie in jedem Fall vor Beginn einer neuen oder veränderten Datenverarbeitung sicher, dass eine entsprechende Rechtsgrundlage für die Verarbeitung vorliegt. Ziehen Sie dabei Ihre:n Datenschutzbeauftragte:n sowie ggf. auch einen etwaigen Betriebsrat hinzu.
Neben der Frage, welche Rechtsgrundlage im Beschäftigungsverhältnis anwendbar ist, gibt es im Beschäftigtendatenschutz allerdings weitere Dinge zu beachten. Denn die weiteren Vorschriften der DSGVO (und gegebenenfalls ja sogar auch Art. 6 DSGVO) sind ohne Einschränkung auch im Beschäftigungskontext anwendbar. Das führt unter anderem dazu, dass insbesondere die Informationspflichten aus Art. 13, 14 DSGVO umgesetzt werden müssen. Auch solche Verarbeitungen, die „nur“ personenbezogene Daten von Beschäftigten enthalten, müssen zudem im Verarbeitungsverzeichnis gem. Art. 30 DSGVO dokumentiert werden.
In der Praxis benötigen Sie daher in jedem Fall eine entsprechende Datenschutzerklärung für Beschäftigte. Auch Bewerber:innen müssen im Vorfeld über stattfindende Datenverarbeitungen informiert werden. Wir unterstützen Sie gern!
Louisa El-Dbeissi ist Beraterin für Datenschutz und Informationssicherheit, zertifizierte Datenschutzbeauftragte (IHK) und Senior Legal Consultant bei der Datenschutzkanzlei.