Die Datenverarbeitung ist nur zulässig, wenn
- eine Rechtsvorschrift dies erlaubt, oder wenn
- der Betroffene einwilligt
(§ 4 Abs.1 BDSG), sog. datenschutzrechtlicher Erlaubnisvorbehalt. So ist die Verarbeitung von Arbeitnehmerdaten u. a. dann zulässig, wenn sie dem Arbeitsverhältnis dient (vgl. § 28 Abs. 1 Nr. 1 BDSG; § 36 LDSG Ba-Wü.), d. h. die Datenverarbeitung muss für Zwecke des Arbeitsverhältnisses erforderlich sein.
In der Regel zulässig ist die Speicherung von Geschlecht, Familienstand, Schule, Ausbildung in Lehr- und anderen Berufen, Fachschulausbildung, Fachrichtung, Abschluss, Sprachkenntnisse, krankheits- und Fehlzeiten. Die Erhebung von Daten über die Freizeitbeschäftigungen der Arbeitnehmer mag nützlich sein, sie ist für die Durchführung des Arbeitsvertrags i. d. R. nicht erforderlich und daher von § 28 BDSG nicht gedeckt.
Da die Erforderlichkeit nur anhand des konkreten, mit der Verarbeitung verfolgten Zwecks beurteilt werden kann, ist dieser gem. § 28 Abs. 1 S. 2 BDSG konkret festzulegen.
Der Gesetzgeber schreibt nicht vor, wie konkret die Einzelzwecke zu bezeichnen sind. Sicher nicht ausreichend ist es, einfach auf das Arbeitsverhältnis insgesamt Bezug zu nehmen. Wird der Zweck zu konkret festgelegt, bindet sich der Arbeitgeber unnötig, da eine Verarbeitung für andere Zwecke nur ausnahmsweise zulässig ist (vgl. nachfolgende Ausführungen). Es sollte daher ein mittlerer Abstraktionsgrad gewählt werden.
Für andere Zwecke ist eine Verarbeitung nur zulässig, wenn dies zur Wahrung berechtigter Interessen des Arbeitgebers erforderlich ist.
Es empfiehlt sich eine Trennung der Datenbestände im Betrieb. Diese Trennung sollte zumindest räumlich (getrennte, voneinander unabhängige Dateien) und soweit möglich auch personell, also hinsichtlich der Bearbeitungszuständigkeit, erfolgen.
Eine Verarbeitung sensitiver Daten ist – wie sonst auch – zulässig, wenn der Betroffene einwilligt, allerdings muss sich diese Einwilligung ausdrücklich auf diese Daten beziehen (§ 4a Abs. 3 BDSG). Ohne Einwilligung ist eine Verarbeitung nur unter den einschränkenden Voraussetzungen von § 28 Abs. 6 bis 9 BDSG zulässig. Für den Bereich des Arbeitsrechts ist der Rechtfertigungsgrund des § 28 Abs. 6 Nr. 3 BDSG von besonderer Bedeutung. Eine Verarbeitung sensitiver Daten ist danach dann zulässig, wenn dies zur Ausübung rechtlicher Ansprüche erforderlich ist und schutzwürdige Interessen des Betroffenen nicht überwiegen.
Solange das von der Bundesregierung in der Koalitionsvereinbarung angekündigte Gentestgesetz nicht ergangen ist, und somit eine bereichsspezifische Regelung fehlt, sind für genetische Untersuchungen die Normen des BDSG maßgebend. Der Zugriff auf die Gendaten eines Arbeitnehmers ohne dessen Einwilligung dürfte damit regelmäßig unzulässig sein. Die Einwilligung des Arbeitnehmers zu einer betriebsärztlichen Untersuchung umfasst nicht die Einwilligung in einen Gentest.
Soll eine Genomanalyse vorgenommen werden, ist eine schriftliche Einwilligungserklärung erforderlich, die die Art der Untersuchung möglichst konkret benennt.
Eine Betriebs- oder Dienstvereinbarung ist als andere Rechtsvorschrift i. S. von § 4 Abs. 1 BDSG anzusehen und kommt daher als Rechtfertigungsgrund für eine Datenverarbeitung in Betracht. Für das Landesrecht ist dies teilweise ausdrücklich so geregelt (vgl. § 36 Abs.1 LDSG Ba.-Wü. zu Personaldaten außerhalb von Personalakten).
Regeln Sie geeignete Sachverhalte, wie z. B. die Nutzung von Telefon, E-Mail und Internet durch die Arbeitnehmer, und die damit in Zusammenhang stehenden datenschutzrechtlichen Fragen in entsprechenden Betriebs- oder Dienstvereinbarungen.