Der Beschäftigtendatenschutz ist durch Art. 88 Abs. 1 DSGVO i. V. m. § 26 BDSG geregelt. Inhaltlich deckt sich § 26 BDSG mit § 32 BDSG a. F. weitestgehend, sodass die bisher bestehenden Grundsätze auch in Zukunft Geltung behalten werden.
1.2.1 Definition des Beschäftigten
Der Begriff des "Beschäftigten" ist gesetzlich in § 26 Abs. 8 BDSG definiert. Zu den Beschäftigten im Sinne der Datenschutzgesetze zählen neben den Arbeitnehmerinnen und Arbeitnehmern u. a. auch Auszubildende, Bewerberinnen und Bewerber sowie Personen, deren Beschäftigungsverhältnis bereits beendet ist.
1.2.2 Kündigungsschutz des Datenschutzbeauftragten
§ 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG regelt den besonderen Kündigungsschutz für den betrieblich bestellten Datenschutzbeauftragten (DSB), sofern die Bestellung eines DSB verpflichtend ist. Dieser darf hiernach während der Zeit seiner Bestellung und noch ein Jahr nach seiner Abberufung nicht gekündigt werden. Einzige Ausnahme ist das Vorliegen von Gründen für eine außerordentliche, fristlose Kündigung. Das bedeutet, dass ein wichtiger Grund vorliegen muss. Das Bundesarbeitsgericht (BAG) hat diese Grundsätze zwischenzeitlich bestätigt und den Kündigungsschutz des Datenschutzbeauftragten gestärkt. So hat das BAG klargestellt, dass ein solcher wichtiger Grund für eine Kündigung gegeben sein kann, wenn die weitere Ausübung der Funktion und Tätigkeit als Datenschutzbeauftragter unmöglich oder sie zumindest erheblich gefährdet erscheint, beispielsweise weil der betriebliche Datenschutzbeauftragte (DSB) die erforderliche Fachkenntnis und Zuverlässigkeit nicht (mehr) besitzt. Weiterhin hat das Gericht hier klargestellt, dass der interne DSB nicht abberufen werden darf, nur um ihn durch einen externen DSB zu ersetzen, und eine Mitgliedschaft im Betriebsrat steht der Tätigkeit als DSB nicht entgegen.
Rein wirtschaftliche oder organisatorische Gründe können nach Auffassung der Behörden nur in absoluten Ausnahmefällen eine Kündigung oder Abberufung des Datenschutzbeauftragten rechtfertigen.
1.2.3 Konkrete Zweckbindung von Beschäftigtendaten
Die Verarbeitung von Beschäftigtendaten ist grundsätzlich nur in einem engen Rahmen zulässig. Beschäftigtendaten dürfen in Einklang mit § 26 BDSG regelmäßig verarbeitet werden, wenn dies
- zur Begründung,
- Durchführung und
- Beendigung
des Beschäftigungsverhältnisses erforderlich ist. Der Begriff der "Erforderlichkeit" ist hierbei eng auszulegen. Nur, wenn die Verarbeitung unmittelbar in Zusammenhang mit der Begründung, Durchführung oder Beendigung steht, ist diese zulässig.
Zur Aufdeckung einer Straftat dürfen personenbezogene Daten über den verdächtigen Arbeitnehmer erst nach einer Interessenabwägung erhoben (verarbeitet oder genutzt) werden. Hierbei sind folgende Voraussetzungen zu beachten:
- Zu dokumentierende Anhaltspunkte für eine Straftat, begangen im Beschäftigungsverhältnis müssen vorliegen (wichtig: Präventive Maßnahmen sind hiervon nicht erfasst!).
- Die Daten müssen erforderlich sein für die Aufdeckung und
- im Rahmen einer Interessenabwägung ist zu entscheiden, ob nicht das (rechtmäßige) schutzwürdige Interesse des Betroffenen das Aufklärungsinteresse des Arbeitgebers überwiegt, mithin also ein unverhältnismäßig tiefer Eingriff in den Persönlichkeitsschutz des Beschäftigten vorliegt.
Nachfolgend einige Klarstellungen zum Begriff "Erforderlichkeit":
- Die Aufbewahrung von Bewerberunterlagen zum Abwarten der Klagefristen nach dem AGG für die Dauer von 6 Monaten ist zulässig und vom überwiegenden Interesse des Arbeitgebers.
- Die Recherche von Bewerberdaten in sozialen Netzwerken kann nach Art. 6 Abs. 1 Buchst. f DSGVO ggf. zulässig sein, sofern es sich um überwiegend berufliche Netzwerke (wie z. B. Xing oder LinkedIn) handelt. Werden durch die Recherche Daten erhoben, ist der Bewerber nach Art. 14 DSGVO über diese Erhebung zu informieren.
- Weiterhin ist die Erlaubnis zur Datennutzung beim Verdacht von Straftaten auf repressive Maßnahmen beschränkt. Was mit Datenerhebungen passieren darf, die der Vorbeugung und damit Verhinderung von Straftaten dienen, wie beispielsweise das Loggen von besuchten Internetseiten zur Missbrauchskontrolle oder präventiven Maßnahmen zur Korruptionsbekämpfung hat mittlerweile durch die Rechtsprechung einen gewissen Rahmen erfahren. Hier war insbesondere das schon erwähnte Urteil des BAG vom Juni 2013 wegweisend. Die Anforderungen an die in § 26 BDSG geforderte Interessenabwägung, insbesondere im Rahmen der dort geforderten Erforderlichkeit der Maßnahme, sollten vom Arbeitgeber künftig genau dokumentiert werden. Dabei sollte die Dokumentation für ggf. gerichtliche Maßnahmen sowohl auf unternehmerische Schadens- wie auch Compliance-Aspekte abzielen. Dies bet...