Datenschutz

Datenschutz im Allgemeinen

Ziel und Gegenstand des Datenschutzes ist sowohl nach den Normen des BDSG als auch der DSGVO, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten bzw. durch deren unzulässige Verwendung in seinem Persönlichkeitsrecht beschnitten wird.

Dazu hat das Bundesverfassungsgericht in seinem Grundsatzurteil (Volkszählungsurteil) vom 15.12.1983 festgehalten, dass die freie Entfaltung der Persönlichkeit unter den Bedingungen der modernen Datenverarbeitung den Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten voraussetzt. Wisse ein Bürger nicht, wer welche Daten über ihn besitzt und für welche Zwecke diese verarbeitet werden, so sei er in der Entfaltung seiner Persönlichkeit eingeschränkt.

Auf Grundlage dieses Urteils hat der Datenschutz verfassungsrechtliche Grundlagen.

Bestätigt wird dies mit dem Urteil des Bundesverfassungsgerichts zum Thema „Onlinedurchsuchungen“ (Az.: 1 BvR 370/07; BvR 595/07). In diesem Urteil entwickelt das Bundesverfassungsgericht das Recht auf Integrität und Vertraulichkeit informationstechnischer Systeme, welches, ebenso wie das Recht auf informationelle Selbstbestimmung, Ausfluss des allgemeinen Persönlichkeitsrechts ist.

Auch auf europäischer Ebene spielt der Datenschutz eine große Rolle.

Die EU hat im Jahre 1995 die EU-Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr erlassen. Die EU hat somit für alle Mitgliedsstaaten einheitliche Datenschutzziele vorgebeben und den ersten Schritt zur Harmonisierung des Datenschutzrechts innerhalb der EU getan.

Darüber hinaus folgten mit der Entwicklung elektronischer Kommunikation und Datenverarbeitung weitere EU-Richtlinien zur Verfolgung des Ziels der einheitlichen Datenschutzes.

Datenschutz im Betrieb
Einwilligung zur Datenerhebung
Wer ist Beschäftigter im Sinne des Datenschutzes?
Informationspflicht bei der Datenerhebung
Sanktionen bei Datenschutz-Verstößen

Datenschutz im Betrieb

Mit der BDSG-Novelle II ist mit Wirkung zum 01.09.2009 die Datenerhebung, -verarbeitung und -nutzung für Zwecke des Beschäftigungsverhältnisses im neu eingefügten § 32 BDSG gesondert geregelt. Mit dieser Bestimmung wurde das Datenschutzrecht im Beschäftigungsverhältnis konkretisiert und die bisherigen Regelungen zusammengefasst.

Danach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses erhoben, verarbeitet oder genutzt werden, wenn dies

Für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder
Nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder
Für dessen Beendigung erforderlich war.

§ 32 I 1 BSDG erlaubt die Erhebung, Verarbeitung oder Nutzung von Daten nur, wenn es zur Entscheidung über eine Bewerbung oder zur Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist.

§ 6 I DSAnpUG stellt einen Erlaubnistatbestand für die Verarbeitung von Personaldaten dar. Sind aber spezifischere Vorschriften einschlägig, so sind zunächst diese anzuwenden, § 6 I DSAnpUG ist somit subsidiär.

§ 6 I DSAnpUG greift in sachlicher Hinsicht für nicht öffentliche Stellen für die ganze oder teilweise automatisierte Verarbeitung von personenbezogenen Daten sowie für nichtautomatisierte Verarbeitungen, soweit diese Daten in einem Dateisystem gespeichert sind oder werden. Der Anwendungsbereich des § 6 DSAnpUG wird durch § 26 VII DSAnpUG erweitert, indem die Vorschriften des DSAnpUG auch auf solche Daten von Beschäftigten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen, Anwendung finden.

Jedoch gibt es auch hier Erlaubnistatbestände:

Begründung eines Beschäftigungsverhältnisses
Durchführung des Beschäftigungsverhältnisses
Beendigung des Beschäftigungsverhältnisses
Aufdeckung von Straftaten

Neben den datenschutzrechtlichen Normen ist besonders bei der Begründung eines Beschäftigungsverhältnisses zusätzlich zum Allgemeinen Gleichbehandlungsgrundsatz (AGG) die umfangreiche Rechtsprechung zum Fragerecht des Arbeitgebers zu berücksichtigen.

Dient die Datenerhebung der Aufdeckung einer Straftat so kann dies nur unter folgenden Voraussetzungen zulässig erfolgen:

Die Erhebung, Verarbeitung oder Nutzung ist zur Aufdeckung der Straftat erforderlich
Das schutzwürdige Interesse des Beschäftigten am Ausschluss der Erhebung, Verarbeitung oder Nutzung überwiegt nicht.
Im Hinblick auf den Anlass sind insbesondere Art und Ausmaß nicht unverhältnismäßig.

Wichtig ist, dass personenbezogene Daten zur Aufdeckung einer Straftat nur dann erhoben werden dürfen, wenn der begründete Verdacht besteht, dass sich die verdächtigte Person im Arbeitsverhältnis einer Straftat schuldig gemacht hat.

Bloße Gerüchte reichen für einen begründeten Verdacht nicht aus! Es müssen tatsächliche Anhaltspunkte vorliegen, aufgrund derer sich ein solche Verdacht stützen lässt. Weiter muss eine Straftat vorliegen, Ordnungswidrigkeiten werden von der Norm nicht erfasst, welche im Arbeitsverhältnis begangen wurde. Dies heißt, dass die Erhebung personenbezogener Daten bezüglich einer Straftat im Privatleben nicht geschützt ist.

Es ist immer darauf Acht zu nehmen, dass das mildeste Mittel gewählt werden muss. Die Maßnahmen zur Erhebung der personenbezogenen Daten müssen der schwere des Verdachts einer Straftat bzw. der schwere der Straftat selbst entsprechend verhältnismäßig sein.

Einwilligung zur Datenerhebung

Eine Einwilligung im Beschäftigungsverhältnis ist grundsätzlich zulässig, § 26 II DSAnpUG.

Vorausgesetzt wird mit der Regelung des Gesetzgebers, dass eine Einwilligung im Beschäftigungsverhältnis eine tragfähige Rechtsgrundlage für eine Verarbeitung von personenbezogenen Daten im Beschäftigungsverhältnis sein kann.

Bei der Beurteilung der Zulässigkeit der Einwilligung können insbesondere die

Abhängigkeit der beschäftigten Person,
Umstände, unter denen die Einwilligung erteilt wurde,
Aufklärung über den Zweck der Datenverarbeitung und über das Widerrufsrecht,
Schriftform

von Bedeutung sein.

Ausschlaggebendes Kriterium für eine wirksame Einwilligung ist die Freiwilligkeit dieser. Freiwilligkeit bedeutet, dass die Betroffenen eine echte Wahlmöglichkeit zwischen Erteilung und Versagung der Einwilligung haben müssen und dass den Beschäftigten das Versagen nicht zu einem Nachteil wird.

Wer ist Beschäftigter im Sinne des Datenschutzes?

Der Begriff des Beschäftigten ist in § 26 IIX DSAnpUG definiert. Darunter fallen:

Arbeitnehmer/innen, einschließlich Leiharbeiter/innen
Zur Berufsausbildung Beschäftigte
Rehabilitandinnen/Rehabilitanden
In anerkannten Werkstätten für behinderte Menschen Beschäftigte
Freiwillige, die einen Dienst nach dem Jugendfreiwilligengesetz/Bundesfreiwilligengesetzt leisten
Arbeitnehmerähnliche Personen
Heimarbeitende Personen
Beamte/Beamtinnen, Richter/innen, Soldaten/Soldatinnen als auch Zivildienstleistende
Bewerber/innen für ein Beschäftigungsverhältnis
Personen, deren Beschäftigungsverhältnis beendet ist

Informationspflicht bei der Datenerhebung

Der Arbeitnehmer ist im Vorfeld über die Nutzungen und Übermittlungen seiner Daten zu unterrichten, wenn er nicht bereits auf andere Weise über diese Informationen verfügt. Eine Erklärung kann gem. § 126b BGB durch einfache schriftliche Erklärung, beispielsweise per E-Mail oder Whatsapp-Nachricht, erfolgen. Eine Unterschrift oder elektronische Signatur ist nicht nötig.

In der Erklärung müssen Identität des Arbeitgebers und Zweck der Datenbestimmung offen liegen, es muss sich somit also zumindest aus dem Zusammenhang ergeben, sodass keinerlei Unterrichtung mehr nötig ist.

Nicht bloß über den Zweck der Datenverarbeitung muss informiert werden. Wird ein Dienstleistungsunternehmen aufgrund der Datenverarbeitung eingeschaltet oder werden personenbezogene Daten für konzernübergreifende Verfahren an die Muttergesellschaft geleitet, so bedürfen auch diese Handlungen einer Unterrichtung sowie Einwilligung.

Sanktionen bei Datenschutz-Verstößen

Art. 83 DSGVO legt die allgemeinen Bedingungen, sowie auch den Rahmen der Höhe der Geldbußen fest und stellt eine Rechtsgrundlage dar.

Die Aufsichtsbehörden haben das Bußgeld nach Art. 83 DSGVO so zu bemessen, dass sie den durch den Verstoß erlangten oder zu erlangenden Vorteil deutlich übersteigt. Die Geldbuße muss nach dem Grundsatz der Verhältnismäßigkeit zur Erreichung des Sanktionszwecks geeignet und angemessen sein.

Art. 83 IV DSGVO nennt einen Bußgeldrahmen von bis zu 10 Mio. Euro bzw. 2% des Jahresumsatzes.