Der Begriff „Durchführung eines Beschäftigungsverhältnisses“ wird weit verstanden; darunterfallen, was der Zweckbestimmung des Arbeitsverhältnisses dient. Das beinhaltet z.B. die Erfüllung des Arbeitsvertrags, Rechte und Pflichten aus Rechtsvorschriften oder Kollektivvereinbarungen, des Managements, der Planung und der Organisation der Arbeit, der Gleichheit und Diversität am Arbeitsplatz, der Gesundheit und Sicherheit am Arbeitsplatz sowie für Zwecke der Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen.
Personenbezogene Daten von Beschäftigten dürfen erhoben werden, wenn dies zum
Zwecke des Beschäftigungsverhältnisses erforderlich ist (§ 26 Abs. 1 BDSG).
D. h. grundsätzlich ist die Verarbeitung von Daten sowohl zur Wahrnehmung von Arbeitgeberrechten im Zusammenhang mit dem Arbeitsvertrag, zur Ausübung des Weisungs- und Kontrollrechts, als auch zur Erfüllung von Arbeitgeberpflichten (z.B. Meldungen an Behörden) erlaubt.
Des Weiteren dürfen personenbezogene Daten von Beschäftigten zur Ausübung oder Erfüllung von Rechten und Pflichten aus einem Gesetz, einem Tarifvertrag oder einer Betriebs- oder Dienstvereinbarung erhoben werden. Die Kollektivvereinbarungen dürfen allerdings nicht das Schutzniveau der DSGVO absenken.
Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere, die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen.
Im Beschäftigungsverhältnis kommt deshalb eine freiwillige und damit wirksame Einwilligung aufgrund des bestehenden Über-/Unterordnungsverhältnisses regelmäßig nicht in Betracht. Beschäftigte können dann freiwillig in eine Datenverarbeitung einwilligen, wenn für die Beschäftigten ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird. Dasselbe gilt, wenn Arbeitgeber und Beschäftigte gleichgelagerte Interessen verfolgen (weitere detaillierte Ausführungen unter C 6.a).
Zur Aufdeckung von Straftaten dürfen personenbezogene Daten von Beschäftigten nur dann verarbeitet werden, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat, die Verarbeitung zur Aufdeckung erforderlich ist und das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung nicht überwiegt, insbesondere Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig sind.
Nach dem Wortlaut ist der Anwendungsbereich damit wie bisher auf die Verarbeitung zur Aufdeckung von Straftaten beschränkt, die Aufdeckung anderer schwerer Verfehlungen wird nicht vom Wortlaut erfasst. Die Praxis und Rechtsprechung haben dies zum Teil aufgeweicht.
Trotzdem hat der Tatbestand eng formulierte Voraussetzungen, da er eine Überwachung mit erhöhter Eingriffsintensität (z.B. eine heimliche Videoüberwachung, technische Auswertungen wie E-Mail-Review, Durchsicht von Log-Dateien und Buchhaltungssystemen, konfrontative Interviews) erlaubt:
–Verdacht, der durch tatsächliche Anhaltspunkte begründet ist,
–im Beschäftigungsverhältnis begangene Straftat, wobei das Handeln zum Aufdeckungszweck erfolgt,
–Dokumentationsobliegenheit, und
–der Erforderlichkeit der Datenerhebung, -verarbeitung oder -nutzung steht kein überwiegendes schutzwürdiges Interesse des Betroffenen entgegen, insbesondere keine Unverhältnismäßigkeit von Art und Ausmaß im Hinblick auf den Anlass.
Und das Gesetz verlangt tatsächliche Anhaltspunkte, die den Verdacht begründen, dass der Betroffene eine Straftat im Beschäftigungsverhältnis begangen hat.
Personenbezogene Daten im Beschäftigungskontext
• Stammdaten der Arbeitnehmer*in, wie Name und Adresse, sowie Daten, die sich auf die Arbeitsbedingungen beziehen, dürfen zur Durchführung des Beschäftigungsverhältnisses verarbeitet werden. Der Arbeitgeber ist nach § 2 Abs. 1 NachwG gesetzlich zum Nachweis dieser Informationen gegenüber dem Arbeitnehmer verpflichtet.
• private Telefonnummern und E-Mail-Adressen sind grundsätzlich nicht zu erfassen, außer es besteht ein dienstliches Interesse (z.B. Rufbereitschaft). Persönliche Informationen, Bekannte und Verwandte sind nicht zu erfassen, außer bei Interessenkonflikten (z.B. Insiderrecht) oder bei der Erfassung von Notfall-Kontakten. Unternehmens- und konzerninterne Mitarbeiterverzeichnisse sind grundsätzlich möglich, sollten aber auf die Kontaktdetails beschränkt werden.
• Daten, die für die Personalplanung und Beschäftigung von Bedeutung sind (Ausbildung, Studium, Berufserfahrung, Sprachkenntnisse, ggf. Führungszeugnis und Eignungstest etc.) können je nach Erforderlichkeit für die Tätigkeit erfasst werden.
• Daten im Zusammenhang mit der Personalverwaltung sowie Lohn- und Gehaltsabrechnung, insbesondere Daten zur Erfüllung der sozialversicherungsrechtlichen und steuerrechtlichen Pflichten stellen kein Problem dar.
• Daten im Zusammenhang mit dem Gesundheitszustand, wenn dies für den Vertragszweck eine wesentliche und entscheidende Anforderung ist (z.B. HIV-Test bei Chirurgen, psychologischer Test bei Piloten), bei Störung des Vertragsverhältnisses und in jedem Fall, wenn insoweit gesetzliche Pflichten bestehen (z.B. Erfassung von Krankheitszeiten zur Erfüllung des Entgeltfortzahlungsgesetz, Details zu Behinderung oder Krankheit, um ggf. einen leidensgerechten Arbeitsplatz zur Verfügung stellen zu können oder ein Eingliederungsmanagement durchzuführen oder auch bestimmte Gesundheitsdaten nach § 84 Abs. 2 SGB IX, wobei vorab ein Datenschutzhinweis an den Mitarbeiter zu erfolgen hat bzw. eine Einwilligung einzuholen ist).
• Daten zur Erfüllung gesetzlicher Pflichten (z.B. Bundeselterngeld- und Elternzeitgesetz, Mutterschutzgesetz, Sozialauswahlkriterien nach § 1 Abs. 3 Kündigungsschutzgesetz, Vorlagepflicht polizeiliches Führungszeugnis § 7 Abs. 3 Nr. 3 Luftsicherheitsgesetz; Auszeichnungspflichten beim Wertpapierhandel nach Wertpapierhandelsgesetz).
• Daten, die zur Erledigung der Arbeitsaufgabe im Beschäftigungsverhältnis notwendig sind, z.B. wenn Kundenkontakt Teil der Aufgabe ist, sowie zur Organisation des Betriebes oder zum Personaleinsatz im Rahmen von bestimmten Veröffentlichungspflichten (Wertpapier-Prospekte, Veröffentlichungspflichten in Geschäftsberichten, Veröffentlichungen auf der Internetseite des Arbeitgebers). Aber zu beachten ist, dass die Veröffentlichung von beschäftigungsbezogenen Personendaten im Internet ohne Zustimmung der Beschäftigten grundsätzlich als nicht erforderlich gilt.
Verhaltens- oder Leistungskontrolle
Eine anlasslose und lückenlose Vollkontrolle sowie umfassende Bewegungs- und Leistungsprofile, wie bei einer Videoüberwachung oder die dauerhafte und systematische Zeiterfassung jeder Pause und jedes Toilettengangs sind wegen des persönlichkeitsrechtsverletzenden Überwachungsdrucks unzulässig. Der heimliche Einsatz von Videoüberwachung oder eines Software-Keyloggers, mit dem alle Tastaturangaben des Beschäftigten aufgezeichnet werden, ist grundsätzlich ohne begründeten Verdacht einer Straftat unzulässig und kann zu einem Beweisverwertungsverbot führen.
Erlaubt ist, zur Aufdeckung von Straftaten personenbezogene Daten von Beschäftigten zu verarbeiten, allerdings nur dann, wenn zu dokumentierende tatsächliche Anhaltspunkte den Verdacht begründen. Immer noch umstritten ist, ob auch die Aufdeckung schwerer Pflichtverletzungen im Arbeitsverhältnis sowie präventive Kontrollen zur Vermeidung von Straftaten darunterfallen. Wenn solche Maßnahmen eingeleitet werden sollen, muss es nach Rechtsprechungsgrundsätzen auf alle Fälle Teil der Verhältnismäßigkeitsprüfung im Sinne des BDSG berücksichtigt werden.
Regelmäßige Leistungs- oder Verhaltenskontrollen können ein wesentlicher Teil der Durchführung des Beschäftigungsverhältnisses und im Sinne eine ordnungsgemäßen unternehmerischen Compliance auch notwendig sein. Arbeitgeber haben zum Teil gesetzliche Pflichten, geeignete Maßnahmen und organisatorische Vorkehrungen zu treffen (§ 91 Abs. 2 AktG; §§ 30, 130, 9 OWiG), was datenschutzrechtlich relevante Kontrollen nach sich zieht.
Unter solche Regelkontrollen können neben der direkten Beschäftigtenbefragung, auch Telefondatenerfassung und eine eingeschränkte Kontrolle von Callcenter-Beschäftigten, stichprobenartige Tor- und Taschenkontrollen, Testkäufe und Zuverlässigkeitstest sowie die Kontrolle geschäftlicher Korrespondenz (wenn private Nutzung ausgeschlossen wurde) fallen.
Eine Zeiterfassung und Zugangskontrolle mittels Stechuhren, Zeiterfassungssystemen etc. ist regelmäßig zur Durchführung des Arbeitsverhältnisses erforderlich, da der Arbeitgeber ein berechtigtes Interesse hat, die Gegenleistung der Beschäftigten zu kontrollieren.
Verdachtsunabhängige Routineuntersuchungen in Bezug auf Alkohol- oder Drogensucht sind im Allgemeinen unzulässig (Ausnahmen bei Flugkapitänen, Busfahrer, Fluglotsen, etc.).
Aber auch solche Regelkontrollen wie z.B. die Zeiterfassung ist durch die Eingriffsintensität der Maßnahme begrenzt. So ist eine anlasslose und lückenlose Vollkontrolle unzulässig. Also umfassende Bewegungs- und Leistungsprofile, Videoüberwachung oder auch die dauerhafte und systematische Zeiterfassung jeder Pause und jedes Toilettengangs ist unzulässig. Der heimliche Einsatz solcher Überwachungsmöglichkeiten (z.B. Videoüberwachung, Software-Keylogger) ist nicht nur unzulässig, sondern führt in der Regel zu einem Beweisverwertungsverbot.
Eine (verdeckte) Überwachungsmaßnahme durch den Einsatz eines Detektivs zur Aufklärung eines auf Tatsachen gegründeten konkreten Verdachts einer schwerwiegenden Pflichtverletzung des Arbeitnehmers ist datenschutzrechtlich relevant und kann nach § 26 Abs. 1 Satz 1 BDSG zulässig sein, selbst wenn es nicht um die Aufdeckung einer im Beschäftigungsverhältnis begangenen Straftat geht. Allerdings sind die Anforderungen streng – rechtswidrige Überwachung kann sogar zur Strafbarkeit führen. Die Rechtsprechungsgrundsätze zu den Voraussetzungen für die Zulässigkeit einer solchen Maßnahme sind im Vorfeld Teil der Verhältnismäßigkeitsprüfung.
IT-Nutzung im Beschäftigungsverhältnis
Beim Einsatz von IT-Systemen im Beschäftigungskontext verarbeitet der Arbeitgeber personenbezogene Daten seiner Beschäftigten. Das betrifft nicht nur die E-Mail-Nutzung und die Internetnutzung, sondern auch den Einsatz von Systemen wie Data Loss Prävention-Systeme, Überwachung im Rahmen Mobile Device Management (MDM), Sicherheitssoftware (Firewalls), Client Management Systeme (CRM), Cloud-Anwendungen, Management des Home Office, BYOD und anderen IT-Nutzungen innerhalb und außerhalb des Betriebes. Da diese Systeme in der Regel eingriffsintensive Kontrollmöglichkeiten eröffnen, benötigt der Arbeitgeber auch im geschäftlichen Umfeld und ohne die Erlaubnis der privaten Nutzung für diese Maßnahmen einen berechtigten Zweck und muss diese Zwecke transparent machen. Eine anlasslose Dauerüberwachung z.B. mittels Keylogger und Screenshots ist grundsätzlich unzulässig.
Der Umgang mit E-Mail und Internet am Arbeitsplatz wird ausführlich unter D IV dargelegt, den für die Kontrolle gelten komplexe Anforderungen. Bei der Erfassung und der Kontrolle von Daten im Zusammenhang mit E-Mails, die von Beschäftigten versandt und empfangen werden, sowie bei der Nutzung des Internets durch Beschäftigte ist im Wesentlichen zwischen einer ausschließlich dienstlichen und einer erlaubten privaten Nutzung zu unterscheiden.
Dienstliche E-Mails dürfen grundsätzlich eingesehen werden, da sie wie dienstlicher Briefverkehr zu bewerten sind; wobei hier auch bei der geschäftlichen Nutzung die Erforderlichkeit nach § 26 Abs. 1 Satz 1 BDSG beachtet werden müssen. Sachgerecht ist in diesem Zusammenhang auch die Differenzierung zwischen der Kontrolle von Verbindungsdaten, die generell kontrolliert werden dürfen und einer eingriffsintensiveren und mit höheren Hürden bei der Rechtfertigung verbundenen Inhaltskontrolle.
Bei einer erlaubten privaten Nutzung des E-Mail-Systems des Arbeitgebers ist die Situation komplexer. Fraglich ist hier zunächst, ob die oft unkritisch angenommene Duldung der Nutzung mittels betrieblicher Übung tatsächlich eine erlaubte Nutzung begründet; im Ergebnis wird richtigerweise unter Anwendung der Rechtsprechung des BAG eine betriebliche Übung meist nicht vorliegen. Erlaubt der Arbeitgeber die E-Mail-Nutzung, ist umstritten, ob der Arbeitgeber als Telekommunikationsdienstleister nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) anzusehen ist und damit das engere Datenschutzregime des TTDSG sowie das Fernmeldegeheimnis (§ 3 TTDSG) einschlägig ist. Selbst wenn man diese Frage offenlässt, werden die Daten oftmals nicht vom TKG erfasst werden, wenn sie nicht mehr Teil der laufenden Kommunikation sind; daraus folgen für die Praxis eine Archivierung und Ablageerfordernis außerhalb der „Inbox“. Geht man jedoch ausnahmsweise von der Anwendbarkeit des TKG aus (z. B. wenn E-Mails schon vor Eingang in die Inbox abgefangen werden), wird es wegen des Vorrangverhältnisses regelmäßig nicht zu datenschutzrechtlichen Fragen nach dem Regime des BDSG kommen. Ansonsten gilt der Rechtfertigungsmaßstab für Kontrollmaßnahmen gemäß § 26 Abs. 1 BDSG.
Zu beachten ist, vor allem im Kontext der Schaffung von kollektiven Vereinbarungen zur Rechtfertigung des Umgangs mit den Daten, dass ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG bei der Einführung und Anwendung von Programmen besteht, die Inhalte von E-Mails und Verbindungsdaten systematisch und automatisch durchsuchen. Ein Mitbestimmungsrecht besteht auch, wenn bei einer erlaubten Nutzung bestimmte Vorschriften für den Umgang mit E-Mails etc. (§ 87 Abs. 1 Nr. 1 BetrVG) gemacht werden. Deshalb ist es empfehlenswert, die E-Mail und Internetnutzung mittels einer Betriebsvereinbarung zu regeln.
Bei der Überwachung der Internetnutzung von Beschäftigten gelten grundsätzlich dieselben Prinzipien, wie bei der E-Mail-Überwachung.
Die betriebliche Nutzung von Messenger-Diensten (wie z.B. Whats App) ist aus vielen Aspekten heraus problematisch (Verstoß gegen die Nutzungs-AGB, Aufbewahrungspflichten nach HGB, Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG) und datenschutzrechtlich i.d.R. nicht zulässig, jedenfalls wenn keine Verschlüsselung vorliegt oder der Kommunikationspartner nicht eingewilligt hat und vor dem Hintergrund der mangelnden Rechtfertigung der Verarbeitung der Daten durch den Dienstleister für den Verantwortlichen (Arbeitgeber).
Beteiligungsrechte der Interessenvertretungen
Die Beteiligungsrechte der Interessenvertretungen der Beschäftigten bleiben unberührt.
Diese Vorschrift stellt klar, dass der Beschäftigtendatenschutz nach § 26 BDSG und der im kollektiven Arbeitsrecht durch Beteiligungsrechte angelegte Beschäftigtendatenschutz gleichzeitig gelten und sich nicht verdrängen.
Zum Umfang der Mitbestimmung sagt die Regelung aber nichts aus. Ein allgemeiner Anspruch auf eine Mitbestimmung in datenschutzrechtlichen Fragen existiert leider nicht.
Im Sinne von Informations-, Unterlassungs- und Handlungsansprüchen ist die Überwachungspflicht des § 80 Abs. 1 Nr. 1 BetrVG (§ 68 Abs. 1 Nr. 2 BPersVG) sehr wichtig, die sich auch auf die Vorschriften des Beschäftigtendatenschutzes bezieht.
Zudem treffen die Betriebspartner – Arbeitgeber und Betriebsrat – nach § 75 Abs. 1 BetrVG (entsprechend § 67 BPersVG) zum einen eine Überwachungspflicht im Hinblick auf „Recht und Billigkeit“ und nach § 75 Abs. 2 BetrVG eine Schutz- und Förderpflicht im Hinblick auf „die freie Entfaltung der Persönlichkeit der im Betrieb beschäftigten Arbeitnehmer“, die beide gerade für den Datenschutz besondere Bedeutung haben.
In Bezug auf die zwingende Mitbestimmung des Betriebsrats ist vor allem § 87 Abs. 1 Nr. 6 BetrVG beim Einsatz von technischen Einrichtungen, die zu einer Überwachung geeignet sind (z.B. Software, Überwachungssysteme, Videoanlagen, Türschließsysteme etc.), relevant. Bei Regelung des Ordnungsverhaltens, also z.B. bestimmte Verhaltensregelungen im Datenschutz, die nicht arbeitsbezogen sind, kann § 87 Abs. 1 Nr. 1 BetrVG anwendbar sein. Zu beachten sind häufig außerdem im Zusammenhang mit dem Beschäftigtendatenschutz auch §§ 94 oder 95 BetrVG.